聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

网络安全研究员披露了影响 Salesforce AI代理构建平台Agentforce 的一个严重漏洞，可导致攻击者通过一个间接的提示注入，从其客户关系管理 (CRM) 工具中窃取敏感数据。

Noma 安全公司在2025年7月28日发现该漏洞并将其命名为 “ForcedLeak（CVSS评分9.4）”。它影响使用Salesforce Agentforce 并启用了 Web-to-Lead 功能的组织机构。

该公司的安全研发负责人 Sasi Levi 在一份报告中提到，“该漏洞证明了AI代理可成为域传统提示-响应系统完全不同且扩大的攻击面。” 当前生成式人工智能 (GenAI) 面临的最严重威胁之一是间接提示注入。当恶意指令被插入遭服务访问的外部数据来源时，就会导致其生成被禁内容或采取非预期操作。Noma 安全公司所演示的攻击路径极其简单，它诱骗 Web-to-Lead 表单中的“描述”字段通过提示注入来运行恶意指令，导致威胁人员泄露敏感数据并将其盗至与 Salesforce 相关的白名单域名中，而该域名已过期且只需5美元即可购买活动。所有这一切仅需五个步骤：

• 攻击者提交“描述”为恶意性质的 Web-to-Lead 表单。

• 内部员工通过标准的 AI 查询处理入站线索。

• Agentforce 同时执行合法和隐藏指令。

• 系统从 CRM 中查询敏感的线索信息。

• 将数据以 PNG 图像格式将数据传输至受攻击者控制的域名。

Noma 安全公司提到，“通过利用上下文验证中的弱点、权限过度的 AI 模型行为以及一个内容安全策略绕过，攻击者可制造恶意的 Web-to-Lead提交，在 Agentforce 处理时执行未授权命令。该LLM是一款简单的执行引擎，无法区分加载至上下文中的合法数据以及应仅从可信来源执行的恶意指令，从而导致关键的敏感信息遭泄露。”

Salesforce 公司之后重新加固了已过期域名的安全性，推出补丁，通过执行 URL 允许清单机制，阻止 Agentforce 和 Einstein AI 代理中的输出被发送到不可信的URL。该公司在本月早些时候发布的一份告警中提到，“我们推动 Agentforce 的底层服务将执行可信 URL 允许清单，确保不会通过潜在的提示注入调用或生成恶意链接。成功的提示注入可通过外部请求导致敏感数据逃逸客户系统，而上述纵深防御措施是对这种情况的控制措施。”

除了应用 Salesforce 公司推荐的措施，执行可信URL外，建议用户审计已有线索数据中包含异常指令的可疑提交，执行严格的输入验证，检测可能存在的提示注入并清理不可信来源中的数据。Levi 提到，“ForcedLeak 漏洞凸显了主动式 AI 安全和治理的重要性，它提醒我们，即使是低成本的发现也可阻止数据泄露造成的数百万美元损失。”

 开源卫士试用地址：https://oss.qianxin.com/#/login

 代码卫士试用地址：https://sast.qianxin.com/#/login

---

推荐阅读

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

Cursor IDE易受提示注入攻击

研究员在DeepSeek 和 Claude AI 中发现多个提示注入漏洞

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

原文链接

https://thehackernews.com/2025/09/salesforce-patches-critical-forcedleak.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~