网络安全研究人员披露了一个影响Salesforce Agentforce的严重漏洞,这是一个用于构建人工智能(AI)智能体的平台,攻击者可能会通过间接提示注入的方式,从其客户关系管理(CRM)工具中窃取敏感数据。
该漏洞被Noma Security命名为ForcedLeak(CVSS评分:9.4),该公司于2025年7月28日发现并报告了此问题。它会影响所有使用Salesforce Agentforce且启用了网站到潜在客户功能的组织。
“这一漏洞表明,与传统的提示-响应系统相比,人工智能智能体呈现出一种截然不同且范围更广的攻击面,”Noma的安全研究主管萨西·列维在一份分享给《黑客新闻》的报告中表示。
如今,生成式人工智能(GenAI)系统面临的最严重威胁之一是间接提示注入</b0,当恶意指令被插入到服务所访问的外部数据源中时,就会发生这种情况,这实际上会导致系统生成原本被禁止的内容或采取非预期的行动。
Noma展示的攻击路径看似简单,它通过提示注入诱使Web-to-Lead表单中的“描述”字段运行恶意指令,使威胁执行者能够泄露敏感数据,并将其窃取到一个与Salesforce相关的允许列表域名中,该域名已过期且仅需5美元即可购买。
这分为五个步骤——
- 攻击者提交带有恶意描述的Web-to-Lead表单
- 内部员工使用标准的AI查询来处理进来的销售线索
- Agentforce会执行合法指令和隐藏指令
- 系统查询客户关系管理系统以获取敏感的潜在客户信息
- 将数据以PNG图像的形式传输到现在由攻击者控制的域名
诺玛表示:“通过利用上下文验证中的漏洞、人工智能模型过于宽松的行为以及内容安全策略(CSP)绕过技术,攻击者可以创建恶意的Web-to-Lead提交内容,这些内容在被Agentforce处理时会执行未授权命令。”
“作为简单执行引擎运行的大语言模型,无法区分加载到其语境中的合法数据与仅应从可信来源执行的恶意指令,导致了严重的敏感数据泄露。”
此后,Salesforce重新获取了已过期的域名,并推出了补丁。这些补丁通过实施URL白名单机制,防止Agentforce和Einstein AI智能体中的输出被发送到不可信的URL。
“我们为Agentforce提供支持的基础服务将执行可信URL白名单,以确保不会通过潜在的提示词注入来调用或生成任何恶意链接,”该公司在本月早些时候发布的一份警报中表示。“这为防止在提示词注入成功后,敏感数据通过外部请求从客户系统中泄露提供了关键的纵深防御控制。”
除了应用Salesforce推荐的操作来实施可信URL外,还建议用户审核现有的潜在客户数据,以排查包含异常指令的可疑提交内容,实施严格的输入验证以检测可能的提示词注入,并对来自不可信来源的数据进行清洗。
“ForcedLeak漏洞凸显了主动型人工智能安全与治理的重要性,”列维表示,“它有力地提醒我们,即便是低成本的发现,也能避免数百万美元的潜在漏洞损失。”
在与《黑客新闻》分享的一份声明中,Aim Labs负责人伊泰·拉维亚将ForcedLeak描述为EchoLeak攻击的一个变种,但它专门针对Salesforce。
拉维亚说:“当Aim Labs披露首个能够实现数据泄露的零点击人工智能漏洞EchoLeak(CVE-2025-32711)时,我们就曾表示,这类漏洞并非仅存在于微软产品中。”
“在我们的调查中,很明显许多其他智能体平台也容易受到影响。ForcedLeak是这些相同的EchoLeak基本要素的一个子集。这些漏洞是基于RAG的智能体所特有的,由于对依赖关系的理解不足以及对防护措施的需求,我们将在热门智能体中看到更多此类漏洞。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
