Salesforce修補AI代理平臺重大漏洞ForcedLeak

最近幾個月許多知名科技業者、精品業者、金融業者、資安業者傳出雲端CRM系統Salesfroce資料外洩的情況，因此一旦有這套系統相關的消息，便格外引人注目。

例如，最近資安業者Noma Security公布的資安漏洞ForcedLeak，就是這種類型的例子。這項漏洞出現在Salesforce的AI代理平臺Agentforce，雖然目前沒有登記CVE編號，然而其CVSS風險值高達9.4（滿分10分），攻擊者有機會透過間接提示注入攻擊，竊取存放於CRM的敏感資料，相當危險。該公司於7月底向Salesforce通報此事並得到確認，Salesforce於9月上旬對Agentforce及Einstein AI用戶宣布，他們實作「受信任的URL」功能，並強制執行，來緩解這項資安漏洞。

對此，我們也向Salesforce臺灣分公司進一步了解，該公司表示已發布修補程式因應，防範Agentforce代理輸出資料到不受信任的URL。針對提示注入的領域，該公司將投資強大的安全控制，並與資安研究社群密切合作，以便在發現類似問題的時候能夠保護客戶。

對於ForcedLeak的發現，Noma Security認為突顯了AI代理有可能因受信任的資料來源當中，被嵌入了惡意指令而導致受害，攻擊者可透過AI對於內容驗證的弱點，過於寬鬆的模型行為，從而繞過內容安全政策（CSP），他們可提交有問題的Web-to-Lead內容，使得Agentforce在處理的過程執行未經授權的命令。

什麼是Web-to-Lead？這是允許外部使用者，例如：網站使用者、會議的與會者，以及潛在客戶，提供相關資訊給CRM系統的功能，通常會用於會議、展覽、市場行銷活動，以便從外部資料收集潛在客戶資訊。

Noma Security對於ForcedLeak形成的原因，大致分成4項，首先，是AI模型的邊界問題，對於查詢的範圍及內容未受到充分的管制；再者，則是輸入驗證不足，對於使用者控制的資料欄位，未進行適當的清理。

第三點源於內容安全政策，Agentforce的網域白名單管制相當寬鬆，竟允許存取過期資產；最後一點與人機互動方法有關，因為員工查詢的行為可被預測，而能被用來觸發攻擊者控制的資料。

究竟攻擊者如何利用這項漏洞？首先，他們提交特製的Web-to-Lead表單，並等待內部員工使用AI查詢。此時Agentforce就會一起執行正常與惡意的指令，從而導致系統查詢CRM的敏感資料，並傳送到攻擊者控制的伺服器。