Les chercheurs du NOMA ont révélé une vulnérabilité d’injection rapide, nommée «Forcedleak», affectant les agents d’IA autonomes de Salesforce de Salesforce. Le défaut permet aux attaquants d’incorporer des invites malveillantes sous des formulaires Web, ce qui fait que l’agent d’IA exfiltre les données de gestion de la relation client sensibles. La vulnérabilité cible Agentforce, une plate-forme d’IA au sein de l’écosystème Salesforce pour créer des agents autonomes pour les tâches commerciales. La société de sécurité Noma a identifié une chaîne de vulnérabilité critique, en lui attribuant un score de 9,4 sur 10 sur l’échelle de gravité CVSS. L’attaque, surnommée «Forcedleak», est décrite comme un équivalent de scripts croisés (XSS) pour l’ère AI. Au lieu d’un code, un attaquant plante une invite malveillante dans un formulaire en ligne qu’un agent traite ultérieurement, les obligeant à divulguer des données internes. Le vecteur d’attaque utilise des formulaires Web Salesforce standard, tels qu’un formulaire Web-to-Lead pour les demandes de vente. Ces formulaires contiennent généralement un champ « Description » pour les commentaires des utilisateurs, qui sert de point d’injection pour l’invite malveillante. Cette tactique est une évolution des attaques historiques où des champs similaires ont été utilisés pour injecter du code malveillant. La vulnérabilité existe car un agent d’IA peut ne pas distinguer les entrées utilisateur bénignes et les instructions déguisées. Pour établir la viabilité de l’attaque, les chercheurs du NOMA ont d’abord testé les « limites de contexte » de l’agentforce AI. Ils devaient vérifier si le modèle, conçu pour des fonctions commerciales spécifiques, traiterait des invites en dehors de sa portée prévue. L’équipe a soumis une question simple et non-vente: «Quelle couleur obtenez-vous en mélangeant le rouge et le jaune?» La réponse de l’IA, «Orange», a confirmé qu’elle divertirait les questions au-delà des interactions de vente. Ce résultat a démontré que l’agent était susceptible de traiter les instructions arbitraires, une condition préalable à une attaque d’injection rapide. Avec la sensibilité de l’IA établie, un attaquant pourrait intégrer une invite malveillante sous une forme Web. Lorsqu’un employé utilise un agent d’IA pour traiter ces prospects, l’agent exécute les instructions cachées. Bien que Agentforce soit conçu pour empêcher l’exfiltration des données dans des domaines Web arbitraires, les chercheurs ont trouvé une faille critique. Ils ont découvert que la politique de sécurité du contenu de Salesforce avait été liste à blanc de plusieurs domaines, dont un expiré: «My-SalesForce-CMS.com». Un attaquant pourrait acheter ce domaine. Dans leur preuve de concept, l’invite malveillante de Noma a demandé à l’agent d’envoyer une liste des prospects des clients internes et leurs adresses e-mail à ce domaine spécifique et liste à blanc, en contournant avec succès le contrôle de sécurité. Alon Tron, co-fondateur et CTO de Noma, a souligné la gravité d’un compromis réussi. « Et c’est essentiellement le jeu », a déclaré Tron. «Nous avons pu compromettre l’agent et lui dire de faire quoi que ce soit.» Il a expliqué que l’attaquant ne se limite pas à l’exfiltration des données. Un agent compromis pourrait également être invité à modifier les informations au sein du CRM, à supprimer des bases de données entières ou à être utilisées pour pivoter dans d’autres systèmes d’entreprise, élargissant l’impact de la violation initiale. Les chercheurs ont averti qu’une attaque Forcedleak pourrait exposer une vaste gamme de données sensibles. Cela comprend des données internes telles que les communications confidentielles et les informations sur la stratégie commerciale. Une violation pourrait également exposer les détails importants des employés et des clients. Les CRM contiennent souvent des notes avec des informations personnellement identifiables (PII) telles que l’âge d’un client, les passe-temps, l’anniversaire et le statut familial. En outre, les enregistrements des interactions des clients sont à risque, notamment les dates et les heures d’appel, les lieux de réunion, les résumés de conversation et les transcriptions complètes de chat à partir d’outils automatisés. Les données transactionnelles, telles que les antécédents d’achat, les informations de commande et les détails de paiement, pourraient également être compromises, offrant aux attaquants une vue complète des relations avec les clients. Andy Shoemaker, CISO pour CIQ Systems, a commenté comment ces informations volées pouvaient être armées. Il a déclaré que « toutes ces informations sur les ventes pouvaient être utilisées et cibler des attaques d’ingénierie de tous types ». Shoemaker a expliqué qu’avec un accès aux données de vente, les attaquants savent qui s’attend à certaines communications et à qui, leur permettant de réaliser des attaques hautement ciblées et crédibles. Il a conclu: «En bref, les données de vente peuvent être quelques-unes des meilleures données que les attaquants peuvent utiliser pour sélectionner et cibler efficacement leurs victimes.» La recommandation initiale de Salesforce pour atténuer le risque implique la configuration côté utilisateur. La société a conseillé aux utilisateurs d’ajouter toutes les URL externes nécessaires sur lesquelles les agents dépendent de la liste des URL de confiance Salesforce ou de les inclure directement dans les instructions de l’agent. Cela s’applique aux ressources externes telles que les formulaires de rétroaction de services comme Forms.google.com, les bases de connaissances externes ou d’autres sites Web tiers qui font partie du flux de travail légitime d’un agent. Pour aborder l’exploit spécifique, Salesforce a publié des correctifs techniques qui empêchent les agents d’agentforce d’envoyer la production à des URL de confiance, contrerant directement la méthode d’exfiltration utilisée dans la preuve de concept. Un porte-parole de Salesforce a fourni une déclaration officielle: «Salesforce est conscient de la vulnérabilité rapportée par NOMA et a publié des correctifs qui empêchent la production d’agents pour les agents de l’agent d’être envoyés aux URL de confiance. Le paysage de sécurité pour une injection rapide reste une zone complexe et évolutive, et nous continuons d’investir dans des contrôles de sécurité solides et de travailler en étroite collaboration avec la communauté de recherche pour protéger nos clients car ces types de problèmes surfacent sur la surface.». Selon Alon Tron de Noma, alors que les correctifs sont efficaces, le défi fondamental demeure. « C’est un problème compliqué, définir et amener l’IA à comprendre ce qui est malveillant ou non dans une invite », a-t-il expliqué. Cela met en évidence la difficulté fondamentale de sécuriser les modèles d’IA à partir d’instructions malveillantes intégrées dans la saisie de l’utilisateur. Tron a noté que Salesforce poursuit une solution plus profonde, déclarant: «Salesforce s’efforce de réparer réellement la cause profonde et de fournir des types de filtrage rapide plus robustes. Je m’attends à ce qu’ils ajoutent des couches de défense plus robustes.»
