پژوهشگران امنیتی از کشف یک آسیبپذیری تازه در پلتفرم Agentforce متعلق به شرکت سیلزفورس خبر دادهاند که میتوانست به مهاجمان اجازه دهد از طریق تزریق تزریق پرامپت (Prompt Injection)، دادههای حساس مشتریان را سرقت کنند. این حمله به کمک دامنهای که پیشتر در فهرست دامنههای مورد اعتماد سامانه بود ممکن شد.
Agentforce ابزاری است که برای ساخت ایجنتهای هوش مصنوعی در محیط سیلزفورس طراحی شده است. این آسیبپذیری از یک پیکربندی نادرست دیاناس ناشی میشد و به مهاجمان اجازه میداد تا با وارد کردن دستوراتی در قسمت توضیحات فرم Web-to-Lead، ایجنت هوش مصنوعی را به واکشی اطلاعات مشتریان و ارسال آنها به سروری تحت کنترل خود ترغیب کنند.
در این سناریو، پژوهشگران دامنه منقضیشدهای به نام my-salesforce-cms.com را که همچنان در فهرست دامنههای مجاز سیلزفورس قرار داشت، به قیمت تنها ۵ دلار خریدند. سپس با وارد کردن دستورات خاصی در فیلد توضیحات که دارای محدودیت ۴۲هزار کاراکتری بود، موفق شدند ایجنت هوش مصنوعی را به افشای دادههای سیآرام و ارسال آنها از طریق یک تگ HTML به سرور خود وادار کنند.
این حمله از نوع تزریق غیرمستقیم بوده و برخلاف تزریق مستقیم که مهاجم مستقیما دستور را به سامانه میدهد، در این روش دستور مخرب از طریق واسط کاربر یا محتوای خارجی به سامانه منتقل میشود.
شرکت سیلزفورس ضمن تایید این آسیبپذیری اعلام کرد که اصلاحات لازم را انجام داده و از ۸ سپتامبر، محدودیتهایی برای دسترسی به آدرسهای غیرمجاز در سامانههای Agentforce و Einstein اعمال کرده است.
به گفته ساسی لوی، مدیر تحقیقاتی شرکت امنیتی Noma، این نقص امنیتی با امتیاز بحرانی ۹.۴ از ۱۰ نشان میدهد که ترکیب هوش مصنوعی و دادههای خارجی بدون نظارت انسانی میتواند تهدیدی جدی برای امنیت سازمانها باشد.
توضیحات بیشتر:
Prompt injection – and a $5 domain – trick Salesforce Agentforce into leaking sales