Noma的研究人员透露了一个迅速的注射脆弱性,称为“ ForceDleak”,影响了Salesforce的代理商自治AI代理。该缺陷使攻击者能够将恶意提示嵌入Web表单中,从而导致AI代理去除敏感的客户关系管理数据。该漏洞是Agensforce的目标,Agenforce是Salesforce生态系统中的AI平台,用于为业务任务创建自治代理。安全公司NOMA确定了一个关键的漏洞链,在CVSS严重程度量表上分配了10分中的9.4分。被称为“ ForceDleak”的攻击被描述为AI时代的跨站点脚本(XSS)。攻击者不是代码,而是将恶意提示播种到在线形式中,该表格后来处理,迫使其泄露内部数据。攻击向量使用标准的Salesforce Web表单,例如用于销售查询的Web-to-Lead表单。这些表格通常包含用于用户注释的“描述”字段,这是恶意提示的注射点。这种策略是历史攻击的演变,其中使用了类似领域来注入恶意代码。之所以存在漏洞,是因为AI代理可能无法区分良性用户输入和其中的伪装说明。为了建立攻击的生存能力,NOMA研究人员首先测试了代理AI的“上下文边界”。他们需要验证该模型是否为特定业务功能设计,是否会在其预期范围之外处理提示。团队提出了一个简单的非销售问题:“混合红色和黄色会得到什么颜色?” AI的回应“橙色”证实,除了销售互动之外,它将带来任何事情。该结果表明,该代理人容易受到处理任意说明的影响,这是及时注射攻击的前提。建立了AI的敏感性,攻击者可以将恶意提示嵌入到网络对铅形式中。当员工使用AI代理处理这些潜在客户时,代理执行隐藏的说明。尽管Agentforce旨在防止数据渗透到任意Web域,但研究人员发现了一个关键缺陷。他们发现Salesforce的内容安全策略白名单,包括一个过期的域:“ My-Salesforce-CMS.com”。攻击者可以购买此域。在他们的概念验证中,Noma的恶意提示指示代理商将内部客户潜在客户列表及其电子邮件地址发送给这个特定的白色列出域,并成功地绕过了安全控制。 Noma的联合创始人和CTO Alon Tron概述了成功妥协的严重性。 “这基本上就是游戏结束,”特隆说。 “我们能够妥协代理商并告诉它做任何事情。”他解释说,攻击者不仅限于数据渗透。折衷的代理也可以被指示更改CRM中的信息,删除整个数据库,或用作旋转其他公司系统的立足点,从而扩大了初始违规的影响。研究人员警告说,预言攻击可能会暴露出大量敏感数据。这包括内部数据,例如机密通信和业务策略见解。违规还可以揭示广泛的员工和客户详细信息。 CRMS通常包含具有个人身份信息(PII)的注释,例如客户的年龄,爱好,生日和家庭状况。此外,客户互动的记录处于危险之中,包括呼叫日期和时间,会议地点,对话摘要以及来自自动化工具的完整聊天笔录。交易数据,例如购买历史,订单信息和付款详细信息,也可能会受到损害,从而为攻击者提供了对客户关系的全面看法。 CIS Systems CISO的Andy Shoemaker评论了如何将这些被盗信息武器化。他说:“所有这些销售信息都可以使用,并针对每种类型的工程攻击。” Shoemaker解释说,通过获取销售数据,攻击者知道谁期望某些通信以及从谁那里进行,从而使他们能够进行高度针对性和可信的攻击。他总结说:“简而言之,销售数据可能是攻击者选择并有效地针对受害者的一些最佳数据。” Salesforce的初步建议减轻风险涉及用户端配置。该公司建议用户添加代理商依赖的任何必要的外部URL中的任何必要的外部URL,或将其直接包含在代理说明中。这适用于外部资源,例如来自Forms.google.com,外部知识库或其他属于代理合法工作流程的第三方网站的服务的反馈表格。为了解决特定的利用,Salesforce发布了技术补丁,以防止代理Force代理将输出发送给受信任的URL,直接对抗概念验证中使用的脱落方法。 Salesforce发言人提供了正式的声明:“ Salesforce意识到Noma报告的脆弱性,并发布了贴片,以防止代理商的代理商被发送到可信赖的URL。迅速注入的安全格局仍然是一个复杂而不断发展的领域,我们仍然在强大的安全控制中投资,并与我们的研究社区紧密合作,以保护我们的客户等级问题。根据诺玛(Noma)的阿隆·特隆(Alon Tron)的说法,虽然斑块有效,但仍存在基本挑战。他解释说:“这是一个复杂的问题,定义并让人工智能在提示中了解什么是恶意的。”这突出了从用户输入中嵌入的恶意指示中确保AI模型的核心困难。 Tron指出,Salesforce正在追求更深入的修复,并指出:“ Salesforce正在努力实际修复根本原因,并提供更强大的及时过滤类型。我希望他们会增加更强大的防御层。”
