AI代理平台曝高危漏洞，攻击者可窃取CRM敏感数据

最近几个月，多家知名科技企业、奢侈品牌、金融机构和网络安全企业相继传出其云端CRM系统Salesforce数据泄露事件，因此任何与该系统相关的安全动态都格外受到关注。

例如，近期网络安全公司Noma Security披露了一个名为ForcedLeak的安全漏洞，正是此类问题的典型案例。该漏洞存在于Salesforce的AI代理平台Agentforce，虽然目前尚未分配CVE编号，但其CVSS风险评分高达9.4（满分10分），属于严重级别。攻击者可能通过间接提示注入攻击，窃取存储在CRM系统中的敏感信息，威胁程度较高。该公司于7月底向Salesforce报告了该问题并获得确认，Salesforce在9月上旬向Agentforce及Einstein AI用户发布公告，宣布已实施“受信任URL”功能，并强制执行，以缓解此安全风险。

对此，我们进一步向Salesforce中国分公司了解情况。该公司表示，目前已发布修复程序，防止Agentforce将代理输出的数据发送至不受信任的URL。针对提示注入相关领域，公司将持续投入强化安全控制措施，并积极与安全研究社区合作，以便在发现类似问题时能够及时保护客户数据。

关于ForcedLeak漏洞的发现，Noma Security指出，这凸显出AI代理可能因所依赖的受信任数据源中被嵌入恶意指令而遭到利用。攻击者可利用AI在内容验证方面的弱点以及模型行为过于宽松的问题，绕过内容安全策略（CSP），提交存在问题的Web-to-Lead内容，导致Agentforce在处理过程中执行未经授权的操作。

什么是Web-to-Lead？这是一种允许外部用户（如网站访问者、会议参与者或潜在客户）向CRM系统提交信息的功能，常用于会议、展会或市场营销活动，以便从外部渠道收集潜在客户资料。

Noma Security分析ForcedLeak的成因，大致归结为四点：首先，是AI模型的边界控制问题，对查询范围和内容缺乏充分限制；其次，输入验证不足，对用户可控的数据字段未进行有效清理。

第三，源于内容安全策略的设计缺陷，Agentforce的域名白名单机制过于宽松，甚至允许访问已过期的资产资源；最后，与人机交互方式有关，由于员工的查询行为具有可预测性，攻击者可借此触发其控制的数据内容，实现攻击目的。

攻击者具体如何利用该漏洞？他们首先提交精心构造的Web-to-Lead表单，随后等待内部员工使用AI功能进行查询。此时，Agentforce会同时执行正常请求和恶意指令，导致系统检索CRM中的敏感数据，并将其传输至攻击者控制的服务器。