近來,隨著多起涉及 Salesforce 雲端 CRM 系統的資料外洩事件曝光,全球科技、金融與精品產業都將目光聚焦於相關資安動態之上。此篇文章便揭露了一項最新的案例:資安業者Noma Security公布一個名為 ForcedLeak 的重大漏洞,出現在 Salesforce 的 AI 代理平臺 Agentforce,其 CVSS 風險評分高達 9.4(滿分 10 分),雖未被分配 CVE 編號,卻已被認定極具威脅性。
作者指出,攻擊者可藉由間接提示注入攻擊(Indirect Prompt Injection),竊取儲存在 CRM 系統內的敏感資料。這種攻擊方式的核心危險在於,AI 代理在處理來源資料時,若缺乏嚴格驗證,便可能執行被隱藏的惡意指令,從而導致資料外洩。Noma Security 已於 7 月底通報 Salesforce,並於 9 月上旬獲得官方確認。Salesforce 隨後針對Agentforce 與Einstein AI 用戶,強制啟用「受信任的 URL」防護機制,並同步釋出修補程式來降低風險。
另外也特別解釋了攻擊的關鍵觸發點── Web-to-Lead 功能。這是一項 CRM 系統常用的資料收集管道,允許外部使用者(例如網站訪客、會議與會者或潛在客戶)提交表單,直接進入系統。雖然此功能便於行銷與業務拓展,但一旦被攻擊者提交特製惡意表單,便可能成為滲透漏洞。
Noma Security 對ForcedLeak 形成的原因,提出了四大面向的分析:
- AI 模型邊界不清 —— 查詢範圍與內容缺乏充分管制。
- 輸入驗證不足 —— 使用者控制的欄位缺乏有效清理與檢核。
- 內容安全政策(CSP)過於寬鬆 —— Agentforce 網域白名單允許過期或不安全資產被存取。
- 人機互動可預測性 —— 員工查詢行為模式易被掌握,進而觸發惡意資料。
文章詳細描述攻擊流程:駭客先提交特製的 Web-to-Lead 表單,等待內部員工透過 Agentforce AI 執行查詢;此時 AI 便在正常指令之外,同時執行惡意命令,導致敏感資料被查詢後傳送至駭客控制的伺服器。這種結合AI弱點與企業作業流程的滲透手法,顯示出 AI 驅動服務在資安上的新挑戰。
對此,Salesforce 台灣分公司表示,公司已經釋出更新,防止 Agentforce 將資料輸出至不受信任的 URL,並強調將投入更多資源於提示注入防禦與資安研究合作,以便及早攔截類似問題,確保客戶安全。整體而言,本文凸顯了一個重要訊息:AI代理正逐漸成為新的攻擊面。即便是如 Salesforce 這般的全球雲端龍頭,也必須面對 AI 模型在內容驗證與行為邊界上的資安風險。未來,如何在 AI 普及化的同時,確保資料不被濫用,將成為各產業共同的挑戰。
