Salesforce vá lỗi nghiêm trọng ForcedLeak làm lộ dữ liệu CRM thông qua tấn công AI Prompt Injection

Các nhà nghiên cứu an ninh mạng đã tiết lộ một lỗ hổng nghiêm trọng ảnh hưởng đến Salesforce Agentforce, một nền tảng để xây dựng các AI agents, có thể cho phép kẻ tấn công trích xuất dữ liệu nhạy cảm từ công cụ quản lý quan hệ khách hàng (CRM) của nó thông qua một cuộc tấn công indirect prompt injection.

Lỗ hổng này được Noma Security đặt tên là ForcedLeak (điểm CVSS: 9.4) và được phát hiện, báo cáo vào ngày 28 tháng 7 năm 2025. Nó ảnh hưởng đến bất kỳ tổ chức nào sử dụng Salesforce Agentforce với chức năng Web-to-Lead được bật.

"Lỗ hổng này cho thấy các AI agents tạo ra một bề mặt tấn công về cơ bản khác và mở rộng hơn so với các hệ thống prompt-response truyền thống," Sasi Levi, trưởng nhóm nghiên cứu bảo mật tại Noma, cho biết trong một báo cáo chia sẻ với The Hacker News.

Một trong những mối đe dọa nghiêm trọng nhất mà các hệ thống generative artificial intelligence (GenAI) phải đối mặt hiện nay là indirect prompt injection, xảy ra khi các hướng dẫn độc hại được chèn vào các nguồn dữ liệu bên ngoài mà dịch vụ truy cập, khiến nó tạo ra nội dung bị cấm hoặc thực hiện các hành động không mong muốn.

Đường tấn công được Noma trình bày đơn giản một cách đáng ngạc nhiên ở chỗ nó lừa trường Description trong biểu mẫu Web-to-Lead để chạy các hướng dẫn độc hại bằng cách prompt injection, cho phép một tác nhân đe dọa rò rỉ dữ liệu nhạy cảm và trích xuất nó đến một domain được Salesforce cho phép (allowlisted domain) đã hết hạn và có thể mua lại với giá chỉ 5 đô la.

Điều này diễn ra qua năm bước -

• Kẻ tấn công gửi biểu mẫu Web-to-Lead với trường Description độc hại
• Nhân viên nội bộ xử lý lead bằng cách sử dụng một AI query tiêu chuẩn để xử lý các lead đến
• Agentforce thực thi cả các hướng dẫn hợp pháp và ẩn
• Hệ thống truy vấn CRM để lấy thông tin lead nhạy cảm
• Truyền dữ liệu đến domain hiện do kẻ tấn công kiểm soát dưới dạng ảnh PNG

"Bằng cách khai thác các điểm yếu trong context validation, hành vi mô hình AI quá khoan dung và Content Security Policy (CSP) bypass, kẻ tấn công có thể tạo ra các Web-to-Lead submissions độc hại thực thi các lệnh trái phép khi được Agentforce xử lý," Noma cho biết.

"LLM, hoạt động như một công cụ thực thi đơn giản, thiếu khả năng phân biệt giữa dữ liệu hợp pháp được tải vào ngữ cảnh của nó và các hướng dẫn độc hại chỉ nên được thực thi từ các nguồn đáng tin cậy, dẫn đến rò rỉ dữ liệu nhạy cảm nghiêm trọng."

Salesforce kể từ đó đã bảo mật lại domain đã hết hạn, triển khai các bản vá ngăn chặn đầu ra trong Agentforce và các AI agents của Einstein bị gửi đến các URL không đáng tin cậy bằng cách thực thi cơ chế URL allowlist.

"Các dịch vụ nền tảng của chúng tôi cung cấp năng lượng cho Agentforce sẽ thực thi Trusted URL allowlist để đảm bảo không có liên kết độc hại nào được gọi hoặc tạo ra thông qua prompt injection tiềm ẩn," công ty cho biết trong một cảnh báo được ban hành vào đầu tháng này. "Điều này cung cấp một biện pháp kiểm soát defense-in-depth quan trọng chống lại dữ liệu nhạy cảm thoát khỏi hệ thống khách hàng thông qua các yêu cầu bên ngoài sau một cuộc tấn công prompt injection thành công."

Ngoài việc áp dụng các hành động được Salesforce khuyến nghị để thực thi Trusted URLs, người dùng nên kiểm tra dữ liệu lead hiện có để tìm các submissions đáng ngờ chứa các hướng dẫn bất thường, triển khai input validation nghiêm ngặt để phát hiện prompt injection tiềm ẩn và làm sạch dữ liệu từ các nguồn không đáng tin cậy.

"Lỗ hổng ForcedLeak nêu bật tầm quan trọng của an ninh và quản trị AI chủ động," Levi nói. "Nó đóng vai trò như một lời nhắc nhở mạnh mẽ rằng ngay cả một khám phá chi phí thấp cũng có thể ngăn chặn hàng triệu đô la thiệt hại tiềm tàng do vi phạm."