Salesforce的Agentforce AI平台中存在一个严重的漏洞链,这可能会让外部攻击者窃取敏感的客户关系管理数据。
这个漏洞被发现它的诺玛实验室命名为ForcedLeak,其CVSS评分为9.4,是通过一种复杂的间接提示注入攻击来实施的。
这一发现凸显了与传统系统相比,自主人工智能智能体所展现出的更广泛且本质上不同的攻击面。
收到Noma Labs的通知后,Salesforce立即对该问题展开调查,并已部署补丁。此修复措施可阻止Agentforce智能体向不可信的URL发送数据,从而解决了当前的风险。
这项研究展示了人工智能智能体如何会被隐藏在通常被视为可信数据源中的恶意指令所危害。
强制泄露攻击
这次攻击利用了多个漏洞,包括上下文验证不足、AI模型行为过于宽松,以及一个关键的内容安全策略(CSP)绕过漏洞。
攻击者可能会创建包含未授权命令的恶意Web-to-Lead提交内容。当人工智能代理处理此销售线索时,大型语言模型(LLM)会将这些恶意指令视为合法指令,从而导致敏感数据被窃取。
大语言模型无法区分加载到其语境中的可信数据与攻击者植入的指令。
攻击向量是一种间接的提示词注入。与攻击者直接向人工智能输入命令的直接注入不同,这种方法是将恶意指令嵌入到人工智能在日常任务中稍后会处理的数据中。
在这种情况下,攻击者在一个网页表单的“描述”字段中植入了一段恶意代码,这段代码随后被存储到了客户关系管理系统中。当一名员工让人工智能代理查看这条销售线索时,该代理执行了这些隐藏的指令。
此次攻击成功的一个关键因素是发现了Salesforce内容安全策略中的一个漏洞。研究人员发现,my-salesforce-cms.com域名虽在白名单中,但已过期且可被购买。
通过获取这个域,攻击者可以建立一个可信的数据泄露通道。诺玛实验室说,人工智能代理会按照其指示,将敏感数据发送到攻击者控制的域,绕过通常会阻止此类操作的安全控制。
此后,Salesforce已重新获取了过期的域名,并实施了更严格的安全控制措施,包括对Agentforce和Einstein AI启用可信URL强制机制,以防止类似问题发生。
如果被利用,ForcedLeak可能会造成严重后果。该漏洞可能导致机密的客户联系信息、销售渠道数据、内部通讯以及历史互动记录被泄露。
任何使用Salesforce Agentforce且启用了Web-to-Lead功能的组织都可能存在漏洞,尤其是那些在销售和营销领域定期处理外部潜在客户数据的组织。
Salesforce建议客户采取以下措施:
- 应用推荐的更新,以强制实施Agentforce和Einstein AI的可信URL。
- 审核现有销售线索数据,排查包含异常指令的可疑提交内容。
- 实施严格的输入验证并对来自不可信来源的所有数据进行清理。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
