HackerNews 编译,转载请注明出处:
网络安全研究人员披露了一个影响 Salesforce Agentforce 的严重漏洞。Agentforce 是一个用于构建人工智能(AI)代理的平台,该漏洞可能允许攻击者通过间接提示注入(indirect prompt injection)的方式,从其客户关系管理(CRM)工具中窃取敏感数据。
该漏洞被发现方 Noma Security 命名为 ForcedLeak,CVSS 评分 9.4。该团队于 2025 年 7 月 28 日发现并报告了该问题。漏洞影响所有启用了 Web-to-Lead 功能 的 Salesforce Agentforce 用户。
Noma 安全研究负责人 Sasi Levi 在提交给 The Hacker News 的报告中写道:“这个漏洞表明,与传统的提示-响应系统相比,AI 代理展现出了本质上不同且更大的攻击面。”
一、GenAI 系统的重大威胁:间接提示注入
生成式人工智能(GenAI)系统如今面临的最严重威胁之一就是 间接提示注入。该攻击手法通过在服务访问的外部数据源中插入恶意指令,使系统生成原本禁止的内容或执行非预期操作。
Noma 演示的攻击路径看似简单:攻击者利用 Web-to-Lead 表单中的 Description 字段 注入恶意指令,从而诱导系统泄露敏感数据,并将其外传到一个与 Salesforce 相关但已过期的白名单域名上。该域名已被攻击者以 仅 5 美元的成本重新注册并控制。
二、攻击步骤共五步
攻击者提交包含恶意描述的 Web-to-Lead 表单;
内部员工用标准 AI 查询处理线索;
Agentforce 执行合法与隐藏的双重指令;
系统查询 CRM 中的敏感线索信息;
将数据以 PNG 图像的形式传输到攻击者控制的域名。
Noma 表示:“通过利用上下文验证薄弱、AI 模型行为过度宽松以及内容安全策略(CSP)绕过,攻击者能够创建恶意的 Web-to-Lead 提交内容,使其在 Agentforce 处理时执行未经授权的命令。”
由于 LLM 仅作为直接执行引擎运行,它无法区分上下文中加载的合法数据与仅应来自可信来源的恶意指令,最终导致了关键敏感数据的泄露。
三、Salesforce 的应对措施
目前 Salesforce 已重新收回过期域名,并推出了补丁,防止 Agentforce 和 Einstein AI 代理的输出被发送到不受信任的 URL,方法是强制执行 URL 白名单机制。
Salesforce 在本月早些时候发布的安全警报中表示:“我们的底层服务将在 Agentforce 中强制执行可信 URL 白名单,确保不会通过提示注入调用或生成恶意链接。这为防御深度控制提供了关键一环,可防止在提示注入成功后,敏感数据通过外部请求泄露。”
四、安全建议
除了落实 Salesforce 的推荐措施并执行可信 URL 机制外,用户还被建议:
- 审计现有线索数据,检查是否存在包含异常指令的可疑提交;
- 实施严格的输入验证机制,以检测潜在的提示注入;
- 对来自不受信任来源的数据进行清理。
Levi 总结道:“ForcedLeak 漏洞凸显了 前瞻性 AI 安全与治理 的重要性。这是一个强有力的提醒,即使是低成本的发现,也能避免数百万美元的潜在损失。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
