Los investigadores de NOMA han revelado una vulnerabilidad de inyección inmediata, llamada «ForceDleak», que afecta a los agentes de IA autónomos de Agente de Salesforce. El defecto permite a los atacantes incrustar las indicaciones maliciosas en formularios web, lo que hace que el agente de IA exfiltren los datos confidenciales de gestión de relaciones con el cliente. La vulnerabilidad se dirige a Agentforce, una plataforma de IA dentro del ecosistema de Salesforce para crear agentes autónomos para tareas comerciales. La firma de seguridad Noma identificó una cadena de vulnerabilidad crítica, asignándole un puntaje de 9.4 de 10 en la escala de gravedad de CVSS. El ataque, denominado «Forcedleak», se describe como un equivalente de secuencias de comandos de sitios cruzados (XSS) para la era de AI. En lugar del código, un atacante planta un aviso malicioso en un formulario en línea que un agente procesa posteriormente, lo que lo convierte en filtrar datos internos. El vector de ataque utiliza formularios web estándar de Salesforce, como un formulario web a plomo para consultas de ventas. Estos formularios generalmente contienen un campo de «descripción» para los comentarios de los usuarios, que sirve como punto de inyección para el mensaje malicioso. Esta táctica es una evolución de ataques históricos donde se usaron campos similares para inyectar código malicioso. La vulnerabilidad existe porque un agente de IA puede no distinguir entre la entrada benigna del usuario y las instrucciones disfrazadas dentro de ella. Para establecer la viabilidad del ataque, los investigadores de NOMA probaron por primera vez los «límites de contexto» de la AI de la fuerza del agente. Necesitaban verificar si el modelo, diseñado para funciones comerciales específicas, procesaría las indicaciones fuera de su alcance previsto. El equipo presentó una pregunta simple y sin ventas: «¿Qué color obtienes al mezclar rojo y amarillo?» La respuesta de la IA, «Orange», confirmó que entretería cosas más allá de las interacciones de ventas. Este resultado demostró que el agente era susceptible a procesar instrucciones arbitrarias, una condición previa para un ataque de inyección inmediata. Con la susceptibilidad de la IA establecida, un atacante podría incrustar un aviso malicioso en una forma web a líder. Cuando un empleado usa un agente de IA para procesar estos clientes potenciales, el agente ejecuta las instrucciones ocultas. Aunque Agentforce está diseñado para evitar la exfiltración de datos a dominios web arbitrarios, los investigadores encontraron un defecto crítico. Descubrieron que la política de seguridad de contenido de Salesforce se dirigió a varios dominios, incluidos uno vencido: «my-salesforce-cms.com». Un atacante podría comprar este dominio. En su prueba de concepto, el aviso malicioso de Noma instruyó al agente que enviara una lista de clientes potenciales internos y sus direcciones de correo electrónico a este dominio específico y con la lista blanca, evitando con éxito el control de seguridad. Alon Tron, cofundador y CTO de Noma, describió la gravedad de un compromiso exitoso. «Y ese es básicamente el juego», dijo Tron. «Pudimos comprometer al agente y decirle que haga lo que sea». Explicó que el atacante no se limita a la exfiltración de datos. También se podría instruir a un agente comprometido para alterar la información dentro del CRM, eliminar bases de datos completas o usarse como punto de apoyo para pivotar en otros sistemas corporativos, ampliando el impacto de la violación inicial. Los investigadores advirtieron que un ataque forzado podría exponer una amplia gama de datos confidenciales. Esto incluye datos internos como comunicaciones confidenciales y ideas de estrategia comercial. Una violación también podría exponer extensas detalles de empleados y clientes. Los CRM a menudo contienen notas con información de identificación personal (PII), como la edad, los pasatiempos, el cumpleaños y el estado familiar de un cliente. Además, los registros de las interacciones del cliente están en riesgo, incluidas las fechas y horarios de las llamadas, ubicaciones de reuniones, resúmenes de conversación y transcripciones completas de chat de herramientas automatizadas. Los datos transaccionales, como los historiales de compra, la información del pedido y los detalles del pago, también podrían verse comprometidos, proporcionando a los atacantes una visión integral de las relaciones con los clientes. Andy Shoemaker, CISO para CIQ Systems, comentó cómo podría ser armada esta información robada. Dijo que «cualquier información de ventas podría usarse y atacar ataques de ingeniería de cada tipo». Shoemaker explicó que con acceso a datos de ventas, los atacantes saben quién espera ciertas comunicaciones y de quién, lo que les permite crear ataques altamente específicos y creíbles. Concluyó: «En resumen, los datos de ventas pueden ser algunos de los mejores datos para que los atacantes usen para seleccionar y apuntar efectivamente a sus víctimas». La recomendación inicial de Salesforce para mitigar el riesgo involucra la configuración del lado del usuario. La compañía aconsejó a los usuarios que agregue las URL externos necesarias de las que dependen los agentes de la lista de URL de confianza de Salesforce o que las incluyan directamente en las instrucciones del agente. Esto se aplica a recursos externos, como formularios de retroalimentación de servicios como Forms.google.com, bases de conocimiento externos u otros sitios web de terceros que forman parte del flujo de trabajo legítimo de un agente. Para abordar el exploit específico, Salesforce publicó parches técnicos que impiden que los agentes de AgentForce envíen la producción a URL de confianza, contrarrestando directamente el método de exfiltración utilizado en la prueba de concepto. Un portavoz de Salesforce proporcionó una declaración formal: «Salesforce es consciente de la vulnerabilidad reportada por Noma y ha publicado parches que impiden la producción en agentes de agentes de Agente que se envían a las URL de confianza. El panorama de seguridad para la inyección rápida sigue siendo un área compleja y en evolución, y continuamos invirtiendo en controles de seguridad fuertes y trabajan estrechamente con la comunidad de investigación para ayudar a proteger a nuestros clientes como una superficie de problemas en superficie». Según Alon Tron de Noma, mientras que los parches son efectivos, el desafío fundamental sigue siendo. «Es un problema complicado, definir y hacer que la IA entienda lo que es malicioso o no en un aviso», explicó. Esto resalta la dificultad central para obtener modelos de IA de instrucciones maliciosas incrustadas en la entrada del usuario. Tron señaló que Salesforce está buscando una solución más profunda, afirmando: «Salesforce está trabajando para arreglar la causa raíz y proporcionar tipos más sólidos de filtrado rápido. Espero que agregue capas de defensa más sólidas».
