I ricercatori di NOMA hanno rivelato una vulnerabilità a iniezione rapida, denominata “ForcedLeak”, che colpisce agenti AI Agentforce Agentforce di Salesforce. Il difetto consente agli aggressori di incorporare istruzioni dannose nelle forme Web, causando l’agente AI di esfiltrare i dati di gestione delle relazioni con i clienti sensibili. La vulnerabilità si rivolge a AgentForce, una piattaforma di intelligenza artificiale all’interno dell’ecosistema Salesforce per la creazione di agenti autonomi per compiti aziendali. La società di sicurezza Noma ha identificato una catena di vulnerabilità critica, assegnandolo un punteggio di 9,4 su 10 sulla scala di gravità CVSS. L’attacco, soprannominato “ForcedLeak”, è descritto come uno scripting siti (XSS) equivalente all’era AI. Invece di codice, un utente malintenzionato pianta un prompt dannoso in un modulo online che un agente succede in seguito, convincendolo a perdere dati interni. Il vettore di attacco utilizza forme Web Salesforce standard, come un modulo Web-to-lead per le richieste di vendita. Queste forme contengono in genere un campo “Descrizione” per i commenti dell’utente, che funge da punto di iniezione per il prompt dannoso. Questa tattica è un’evoluzione di attacchi storici in cui campi simili sono stati usati per iniettare un codice dannoso. La vulnerabilità esiste perché un agente di intelligenza artificiale potrebbe non distinguere tra input utente benigno e istruzioni mascherate al suo interno. Per stabilire la redditività dell’attacco, i ricercatori NOMA hanno testato per la prima volta i “confini del contesto” dell’AI AGEFFORCE. Avevano bisogno di verificare se il modello, progettato per specifiche funzioni aziendali, elaborasse i prompt al di fuori del suo ambito previsto. Il team ha presentato una semplice domanda non vendica: “Di che colore ottieni mescolando il rosso e il giallo?” La risposta dell’intelligenza artificiale, “Orange”, ha confermato che avrebbe intrattenuto questioni oltre le interazioni di vendita. Questo risultato ha dimostrato che l’agente era suscettibile all’elaborazione di istruzioni arbitrarie, un preliminare per un rapido attacco di iniezione. Con la suscettibilità dell’intelligenza artificiale stabilita, un aggressore potrebbe incorporare un prompt dannoso in una forma da web-to-lead. Quando un dipendente utilizza un agente AI per elaborare questi lead, l’agente esegue le istruzioni nascoste. Sebbene AgentForce sia progettato per impedire l’esfiltrazione di dati a domini Web arbitrari, i ricercatori hanno trovato un difetto critico. Hanno scoperto che la politica di sicurezza dei contenuti di Salesforce ha parlato di diversi settori, tra cui uno scaduto: “My-salesforce-CMS.com”. Un utente malintenzionato potrebbe acquistare questo dominio. Nella loro prova di concetto, il prompt dannoso di Noma ha incaricato l’agente di inviare un elenco di lead interni dei clienti e i loro indirizzi e-mail a questo specifico dominio whitelist, aggirando con successo il controllo di sicurezza. Alon Tron, co-fondatore e CTO di Noma, ha delineato la gravità di un compromesso di successo. “E questo è fondamentalmente il gioco”, ha affermato Tron. “Siamo stati in grado di compromettere l’agente e dirlo di fare qualunque cosa.” Ha spiegato che l’attaccante non si limita all’esfiltrazione di dati. Un agente compromesso potrebbe anche essere istruito a modificare le informazioni all’interno del CRM, eliminare interi database o essere utilizzato come punto d’appoggio per ruotare in altri sistemi aziendali, ampliando l’impatto della violazione iniziale. I ricercatori hanno avvertito che un attacco di accoglienza forzata potrebbe esporre una vasta gamma di dati sensibili. Ciò include dati interni come comunicazioni riservate e approfondimenti sulla strategia aziendale. Una violazione potrebbe anche esporre i dettagli di dipendenti e clienti estesi. I CRM spesso contengono note con informazioni personali identificabili (PII) come l’età, gli hobby, il compleanno e lo stato della famiglia di un cliente. Inoltre, i record delle interazioni con i clienti sono a rischio, comprese le date e gli orari delle chiamate, le posizioni delle riunioni, i riepiloghi di conversazione e le trascrizioni di chat complete da strumenti automatizzati. I dati transazionali, come storie di acquisto, informazioni sull’ordine e dettagli di pagamento, potrebbero anche essere compromessi, fornendo agli aggressori una visione completa delle relazioni con i clienti. Andy Shoemaker, CISO per CIQ Systems, ha commentato come queste informazioni rubate potessero essere armate. Ha dichiarato che “qualsiasi informazione di tutte queste vendite potrebbe essere utilizzata e per indirizzare gli attacchi di ingegneria di ogni tipo”. Shoemaker ha spiegato che con accesso ai dati di vendita, gli aggressori sanno chi si aspetta determinate comunicazioni e da chi, permettendo loro di creare attacchi altamente mirati e credibili. Ha concluso: “In breve, i dati di vendita possono essere alcuni dei migliori dati da utilizzare per gli aggressori per selezionare e indirizzare efficacemente le loro vittime”. La raccomandazione iniziale di Salesforce di mitigare il rischio prevede la configurazione lato utente. La società ha consigliato agli utenti di aggiungere tutti gli URL esterni necessari da cui gli agenti dipendono dall’elenco URL di fiducia di Salesforce o di includerli direttamente nelle istruzioni dell’agente. Ciò vale per risorse esterne come moduli di feedback da servizi come Forms.google.com, basi di conoscenza esterna o altri siti Web di terze parti che fanno parte del flusso di lavoro legittimo di un agente. Per affrontare lo sfruttamento specifico, Salesforce ha rilasciato patch tecniche che impediscono agli agenti Agentforce di inviare l’output agli URL di fiducia, contrastando direttamente il metodo di esfiltrazione utilizzato nella prova del concetto. Un portavoce di Salesforce ha fornito una dichiarazione formale: “Salesforce è a conoscenza della vulnerabilità segnalata da NOMA e ha rilasciato patch che impediscono la produzione negli agenti agenti di essere inviati a URL di fiducia. Il panorama della sicurezza per l’iniezione rapida rimane una area complessa e in evoluzione e continuiamo a investire in forti controlli di sicurezza e lavorare a stretto contatto con la comunità di ricerca per aiutare a proteggere i nostri clienti come tipi di superficie.” Secondo Alon Tron di Noma, mentre le patch sono efficaci, la sfida fondamentale rimane. “È un problema complicato, definire e convincere l’intelligenza artificiale a capire cosa è dannoso o non in un prompt”, ha spiegato. Ciò evidenzia la difficoltà di base nel garantire i modelli di intelligenza artificiale da istruzioni dannose incorporate nell’input dell’utente. Tron ha osservato che Salesforce sta perseguendo una soluzione più profonda, affermando: “Salesforce sta lavorando per fissare effettivamente la causa principale e fornire tipi più solidi di filtraggio rapido. Mi aspetto che aggiungano livelli di difesa più solidi”.
