Los investigadores de ciberseguridad han revelado un defecto crítico que impacta a Salesforce Agentforce, una plataforma para construir agentes de inteligencia fabricado (IA), que podría permitir a los atacantes exfiltrar datos confidenciales de su aparejo de diligencia de relaciones con el cliente (CRM) mediante una inyección indirecta indirecta.
La vulnerabilidad ha sido nombrada en código Forzado (Puntuación CVSS: 9.4) Por Noma Security, que descubrió e informó el problema el 28 de julio de 2025. Impacta a cualquier estructura utilizando Salesforce AgentForce con la funcionalidad web a veterano habilitada.
«Esta vulnerabilidad demuestra cómo los agentes de IA presentan una superficie de ataque fundamentalmente diferente y ampliada en comparación con los sistemas tradicionales de respuesta rápida», dijo Sasi Levi, líder de investigación de seguridad en Noma, en un mensaje compartido con Hacker News.
Una de las amenazas más graves que enfrentan los sistemas generativos de inteligencia fabricado (Genai) hoy en día es la inyección indirecta de inmediato, que ocurre cuando las instrucciones maliciosas se insertan en fuentes de datos externas a la que el Servicio accede, lo que hace que genere un contenido prohibido o tome acciones no deseadas.
La ruta de ataque demostrada por Noma es engañosamente simple, ya que coaxera el campo de descripción en forma web a líder para ejecutar instrucciones maliciosas por medio de una inyección rápida, lo que permite a un actor de amenaza que filtre datos confidenciales y lo exfiltren a un dominio de arrendamiento con permiso relacionado con la fuerza de ventas que había expirado y arreglado para comprar por $ 5.
Esto tiene oportunidad en cinco pasos –
- El atacante envía un formulario web a plomo con una descripción maliciosa
- Los procesos internos de los empleados lideran el uso de una consulta de IA en serie para procesar los leads entrantes
- Agentforce ejecuta instrucciones legítimas y ocultas
- Consultas del sistema CRM para información confidencial de plomo
- Transmita los datos al dominio ahora controlado por el atacante en forma de imagen PNG
«Al explotar las debilidades en la moral de contexto, el comportamiento del maniquí de IA excesivamente permisivo y un derivado de la política de seguridad de contenido (CSP), los atacantes pueden crear presentaciones maliciosas de web a liderazgo que ejecutan comandos no autorizados cuando Agentforce procesan», dijo Noma.
«El LLM, que funciona como un motor de ejecución directo, carecía de la capacidad de distinguir entre datos legítimos cargados en su contexto e instrucciones maliciosas que solo deberían ejecutarse a partir de fuentes confiables, lo que resulta en una fuga de datos confidentes críticas».
Desde entonces, Salesforce ha reescribido el dominio expirado, lanzados parches que evitan la producción en Agentforce y los agentes de Einstein AI que se envían a URL no confiables al hacer cumplir un mecanismo de la cinta de arrendamiento de URL.
«Nuestros servicios subyacentes que impulsan el agente de agente de la Force aplicarán la cinta de arrendamiento de URL de confianza para asegurar que no se llamen o generen vínculos maliciosos a través de una inyección potencial de inmediato», dijo la compañía en una alerta emitida a principios de este mes. «Esto proporciona un control crucial de defensa en profundidad contra los sistemas de clientes que escapan de datos confidenciales a través de solicitudes externas luego de una inyección inmediata».
Encima de aplicar las acciones recomendadas de Salesforce para hacer cumplir las URL de confianza, se recomienda a los usuarios para auditar los datos de plomo existentes para envíos sospechosos que contienen instrucciones inusuales, implementan una moral de entrada estricta para detectar una posible inyección rápida y desinfectar datos de fuentes no confiables.
«La vulnerabilidad forzada destaca la importancia de la seguridad y el gobierno proactivos de la IA», dijo Levi. «Sirve como un válido recordatorio de que incluso un descubrimiento de bajo costo puede evitar millones en posibles daños por incumplimiento».
