Die Forscher von NOMA haben eine Anfälligkeit zur Anfälligkeit mit dem Namen „erzwungen“ mit dem Namen „erzwungen“ bekannt gegeben, die die Agentforce-AI-Agenten von Salesforce beeinflusst. Mit dem Fehler können Angreifer böswillige Eingabeaufforderungen in Webformulare einbetten, wodurch der AI -Agent sensible Daten für das Kundenbeziehungsmanagement einleiten kann. Die Sicherheitsanfälligkeit richtet sich an Agentforce, eine KI -Plattform innerhalb des Salesforce -Ökosystems zur Schaffung autonomer Agenten für Geschäftsaufgaben. Das Sicherheitsunternehmen NOMA identifizierte eine kritische Sicherheitsanfälligkeitskette und weist ihr eine 9,4 von 10 Punkten auf der CVSS -Schweregradskala zu. Der Angriff, der als „erzwungene Lake“ bezeichnet wird, wird als Cross-Site-Skript (XSS) beschrieben, das für die KI-Ära entspricht. Anstelle von Code steckt ein Angreifer eine böswillige Eingabeaufforderung in ein Online -Formular, das ein Agent später verarbeitet, und zwingt es, interne Daten zu verletzen. Der Angriffsvektor verwendet Standard-Salesforce-Webformulare, wie z. B. ein Web-to-Lead-Formular für Vertriebsanfragen. Diese Formulare enthalten in der Regel ein „Beschreibung“ -Feld für Benutzerkommentare, das als Injektionspunkt für die böswillige Eingabeaufforderung dient. Diese Taktik ist eine Entwicklung historischer Angriffe, bei denen ähnliche Felder verwendet wurden, um böswilligen Code zu injizieren. Die Sicherheitsanfälligkeit besteht, weil ein AI -Agent möglicherweise nicht zwischen benignen Benutzereingaben und verkleideten Anweisungen darin unterscheidet. Um die Lebensfähigkeit des Angriffs festzustellen, testeten NOMA -Forscher zunächst die „Kontextgrenzen“ der Agentforce AI. Sie mussten überprüfen, ob das Modell, das für bestimmte Geschäftsfunktionen entwickelt wurde, die Aufforderungen außerhalb seines beabsichtigten Umfangs verarbeiten würde. Das Team hat eine einfache Frage ohne Verkauf eingereicht: „Welche Farbe erhalten Sie, indem Sie Rot und Gelb mischen?“ Die Antwort der KI, „Orange“, bestätigte, dass sie sich über Vertriebsinteraktionen hinaus ansprechen würde. Dieses Ergebnis zeigte, dass der Agent anfällig für die Verarbeitung willkürlicher Anweisungen war, eine Voraussetzung für einen schnellen Injektionsangriff. Nachdem die Anfälligkeit der KI festgelegt wurde, konnte ein Angreifer eine böswillige Eingabeaufforderung in ein Web-to-Lead-Form einbetten. Wenn ein Mitarbeiter einen AI -Agenten verwendet, um diese Leads zu verarbeiten, führt der Agent die versteckten Anweisungen aus. Obwohl Agentforce so konzipiert ist, dass das Exfiltration von Daten für willkürliche Webdomänen verhindern, fanden die Forscher einen kritischen Fehler. Sie entdeckten, dass die Inhaltssicherheitsrichtlinie von Salesforce mehrere Domänen aufweist, darunter eine abgelaufene: „My-salesforce-cms.com“. Ein Angreifer könnte diese Domain kaufen. In ihrem Nachweis des Konzepts wies die böswillige Eingabeaufforderung von NOMA den Agenten an, eine Liste interner Kundenleitungen und deren E-Mail-Adressen an diese spezifische, whitelistete Domäne zu senden und die Sicherheitskontrolle erfolgreich zu umgehen. Alon Tron, Mitbegründer und CTO von NOMA, erläuterte die Schwere eines erfolgreichen Kompromisses. „Und das ist im Grunde das Spiel vorbei“, erklärte Tron. „Wir konnten den Agenten kompromittieren und ihm sagen, dass es alles tun soll.“ Er erklärte, dass der Angreifer nicht auf Daten -Exfiltration beschränkt ist. Ein gefährdeter Agent könnte auch angewiesen werden, Informationen innerhalb des CRM zu ändern, ganze Datenbanken zu löschen oder als Fuß zu fassen, um sich in andere Unternehmenssysteme zu drehen, wodurch die Auswirkungen des anfänglichen Verstoßes erweitert werden. Die Forscher warnten, dass ein erzwungener Angriff eine Vielzahl sensibler Daten aufdecken könnte. Dies umfasst interne Daten wie vertrauliche Kommunikations- und Geschäftsstrategieerkenntnisse. Ein Verstoß könnte auch umfangreiche Angestellte und Kundendetails aufdecken. CRMs enthalten häufig Notizen mit persönlich identifizierbaren Informationen (PII) wie Alter, Hobbys, Geburtstag und Familienstatus. Darüber hinaus sind Aufzeichnungen über Kundeninteraktionen gefährdet, einschließlich Anrufdaten und Zeiten, Besprechungsorten, Konversationszusammenfassungen und vollständigen Chat -Transkripten von automatisierten Tools. Transaktionsdaten wie Kaufverlauf, Bestellinformationen und Zahlungsdetails könnten ebenfalls beeinträchtigt werden, was den Angreifern eine umfassende Sicht auf die Kundenbeziehungen bietet. Andy Shoemaker, CISO für CIQ -Systeme, kommentierte, wie diese gestohlenen Informationen bewaffnet werden könnten. Er erklärte, dass „alle diese Verkaufsinformationen verwendet werden könnten und technische Angriffe aller Art abzielen“. Shoemaker erklärte, dass Angreifer mit Zugriff auf Verkaufsdaten wissen, wer bestimmte Kommunikation erwartet und von wem es ihnen ermöglicht, hoch gezielte und glaubwürdige Angriffe zu erzeugen. Er kam zu dem Schluss: „Kurz gesagt können Verkaufsdaten einige der besten Daten für die Angreifer sein, die sie verwenden können, um ihre Opfer auszuwählen und effektiv abzuzielen.“ Die erste Empfehlung von Salesforce zur Minderung des Risikos beinhaltet die Konfiguration der benutzerseitigen Konfiguration. Das Unternehmen riet den Benutzern, die erforderlichen externen URLs hinzuzufügen, von denen Agenten der vertrauenswürdigen von Salesforce vertrauenswürdigen URLS -Liste angewiesen sind oder sie direkt in die Anweisungen des Agenten einbeziehen. Dies gilt für externe Ressourcen wie Feedback-Formulare aus Diensten wie Forms.google.com, externen Wissensbasis oder anderen Websites Dritter, die Teil des legitimen Workflows eines Agenten sind. Um den spezifischen Exploit anzugehen, veröffentlichte Salesforce technische Patches, die verhindern, dass Agentforce-Agenten die Output an vertrauenswürdige URLs senden, und entgegenwirken direkt der im Proof-of-Concept verwendeten Exfiltrationsmethode. Ein Salesforce -Sprecher lieferte eine formelle Erklärung: „Salesforce ist sich der von NOMA gemeldeten Verwundbarkeit bewusst und hat Patches veröffentlicht, die verhindern, dass die Produktion in Agents -Agenten an vertrauenswürdige URLs gesendet wird. Die Sicherheitslandschaft für schnelle Injektion bleibt nach wie vor komplexe und sich entwickelnde Bereiche. Laut Alon Tron von Noma, während die Patches wirksam sind, bleibt die grundlegende Herausforderung bestehen. „Es ist ein kompliziertes Problem, das die KI definiert und dazu bringt, zu verstehen, was bösartig oder nicht in einer Aufforderung ist“, erklärte er. Dies unterstreicht die Kernschwierigkeit bei der Sicherung von KI -Modellen aus böswilligen Anweisungen, die in Benutzereingaben eingebettet sind. Tron stellte fest, dass Salesforce eine tiefere Lösung verfolgt und erklärt: „Salesforce arbeitet daran, die Grundursache tatsächlich zu beheben und robustere Arten der sofortigen Filterung zu liefern. Ich erwarte, dass sie robustere Verteidigungsebenen hinzufügen.“
