Компания Noma Security обнаружила критическую уязвимость в AI-платформе Agentforce от Salesforce. Уязвимость, получившая название ForcedLeak, оценена в 9.4 балла по шкале CVSS и позволяла похищать конфиденциальные данные из CRM-системы. Атака осуществлялась с помощью метода косвенной инъекции команд (indirect prompt injection) через стандартную веб-форму.
Механизм атаки был нацелен на организации, использующие функциональность Web-to-Lead. Злоумышленник мог внедрить вредоносные инструкции в поле "Description" (Описание) при отправке данных через эту форму. Когда внутренний сотрудник компании использовал стандартный AI-запрос для обработки нового лида, система выполняла как его легитимную команду, так и скрытые вредоносные инструкции злоумышленника.
Саси Леви, руководитель отдела исследований безопасности в Noma Security, отметил: «Эта уязвимость демонстрирует, как AI-агенты представляют собой принципиально иную и расширенную поверхность атаки по сравнению с традиционными системами 'запрос-ответ'".
В результате выполнения вредоносного кода искусственный интеллект обманом заставляли запрашивать конфиденциальную информацию о других лидах из CRM-системы. Затем украденные данные преобразовывались в изображение формата PNG и отправлялись на внешний домен, контролируемый атакующим.
Ключевым элементом успешной атаки стал тот факт, что для вывода данных использовался связанный с Salesforce домен с истекшим сроком регистрации, который все еще находился в белом списке разрешенных адресов. Злоумышленники могли приобрести этот домен всего за 5 долларов, что делало финальный этап атаки крайне дешевым и эффективным.
Исследователи Noma Security выделили три основные технические причины, сделавшие уязвимость возможной: слабые механизмы валидации контекста, чрезмерно разрешительное поведение AI-модели и возможность обхода политики безопасности контента (Content Security Policy, CSP). Большой языковой модели (LLM) была отведена роль простого исполнителя, неспособного отличить доверенные инструкции от вредоносных данных, загруженных в ее контекст.
Об уязвимости было сообщено компании Salesforce 28 июля 2025 года. В начале текущего месяца компания уведомила своих клиентов о проблеме и предпринятых мерах. Информация о находке также была опубликована в издании The Hacker News.
В ответ на инцидент Salesforce выкупила и обезопасила истекший домен, использованный в ходе демонстрации атаки. Были выпущены исправления для платформ Agentforce и Einstein AI agents. Ключевым нововведением стало принудительное использование «Списка доверенных URL-адресов», который не позволяет AI-агентам отправлять данные на непроверенные ресурсы.
Представители Salesforce заявили: «Наши базовые сервисы, обеспечивающие работу Agentforce, будут принудительно применять список доверенных URL-адресов, чтобы гарантировать, что никакие вредоносные ссылки не будут вызваны или сгенерированы в результате потенциальной инъекции команд».
Пользователям систем Salesforce рекомендуется применить предложенные исправления и активировать список доверенных URL. Также необходимо провести аудит существующих данных, полученных через формы Web-to-Lead, на предмет подозрительных инструкций, внедрить строгую валидацию входящих данных для блокировки попыток инъекций и санировать все данные из ненадежных источников.
Саси Леви подытожил: «Уязвимость ForcedLeak подчеркивает важность проактивной безопасности и управления AI. Она служит убедительным напоминанием о том, что даже недорогое открытие может предотвратить миллионные убытки от потенциальных взломов».
Изображение носит иллюстративный характер
Механизм атаки был нацелен на организации, использующие функциональность Web-to-Lead. Злоумышленник мог внедрить вредоносные инструкции в поле "Description" (Описание) при отправке данных через эту форму. Когда внутренний сотрудник компании использовал стандартный AI-запрос для обработки нового лида, система выполняла как его легитимную команду, так и скрытые вредоносные инструкции злоумышленника.
Саси Леви, руководитель отдела исследований безопасности в Noma Security, отметил: «Эта уязвимость демонстрирует, как AI-агенты представляют собой принципиально иную и расширенную поверхность атаки по сравнению с традиционными системами 'запрос-ответ'".
В результате выполнения вредоносного кода искусственный интеллект обманом заставляли запрашивать конфиденциальную информацию о других лидах из CRM-системы. Затем украденные данные преобразовывались в изображение формата PNG и отправлялись на внешний домен, контролируемый атакующим.
Ключевым элементом успешной атаки стал тот факт, что для вывода данных использовался связанный с Salesforce домен с истекшим сроком регистрации, который все еще находился в белом списке разрешенных адресов. Злоумышленники могли приобрести этот домен всего за 5 долларов, что делало финальный этап атаки крайне дешевым и эффективным.
Исследователи Noma Security выделили три основные технические причины, сделавшие уязвимость возможной: слабые механизмы валидации контекста, чрезмерно разрешительное поведение AI-модели и возможность обхода политики безопасности контента (Content Security Policy, CSP). Большой языковой модели (LLM) была отведена роль простого исполнителя, неспособного отличить доверенные инструкции от вредоносных данных, загруженных в ее контекст.
Об уязвимости было сообщено компании Salesforce 28 июля 2025 года. В начале текущего месяца компания уведомила своих клиентов о проблеме и предпринятых мерах. Информация о находке также была опубликована в издании The Hacker News.
В ответ на инцидент Salesforce выкупила и обезопасила истекший домен, использованный в ходе демонстрации атаки. Были выпущены исправления для платформ Agentforce и Einstein AI agents. Ключевым нововведением стало принудительное использование «Списка доверенных URL-адресов», который не позволяет AI-агентам отправлять данные на непроверенные ресурсы.
Представители Salesforce заявили: «Наши базовые сервисы, обеспечивающие работу Agentforce, будут принудительно применять список доверенных URL-адресов, чтобы гарантировать, что никакие вредоносные ссылки не будут вызваны или сгенерированы в результате потенциальной инъекции команд».
Пользователям систем Salesforce рекомендуется применить предложенные исправления и активировать список доверенных URL. Также необходимо провести аудит существующих данных, полученных через формы Web-to-Lead, на предмет подозрительных инструкций, внедрить строгую валидацию входящих данных для блокировки попыток инъекций и санировать все данные из ненадежных источников.
Саси Леви подытожил: «Уязвимость ForcedLeak подчеркивает важность проактивной безопасности и управления AI. Она служит убедительным напоминанием о том, что даже недорогое открытие может предотвратить миллионные убытки от потенциальных взломов».
