Les chercheurs en cybersécurité ont divulgué une faille critique ayant un impact sur Salesforce Agentforce, une plate-forme pour construire des agents d’intelligence artificielle (IA), qui pourraient permettre aux attaquants d’exfiltrer potentiellement des données sensibles de son outil de gestion de la relation client (CRM) en raison d’une injection rapide indirecte.
La vulnérabilité a été nommée Forcedleak (Score CVSS: 9.4) par Noma Security, qui a découvert et signalé le problème le 28 juillet 2025. Il a un impact sur toute organisation utilisant Salesforce Agentforce avec la fonctionnalité Web-to-lead activée.
“Cette vulnérabilité démontre comment les agents de l’IA présentent une surface d’attaque fondamentalement différente et élargie par rapport aux systèmes traditionnels de réponse rapide”, a déclaré Sasi Levi, responsable de la recherche en sécurité au NOMA, dans un rapport partagé avec le Hacker News.
L’une des menaces les plus sévères auxquelles les systèmes d’intelligence artificielle générative (Genai) sont aujourd’hui une injection rapide indirecte, qui se produit lorsque des instructions malveillantes sont insérées dans des sources de données externes accessibles par le Service, ce qui l’a fait générer un contenu autrement interdit ou prendre des actions imprévues.
Le chemin d’attaque démontré par Noma est trompeusement simple en ce qu’il amène le champ description sous forme de Web à la merde pour exécuter des instructions malveillantes au moyen d’une injection rapide, permettant à un acteur de menace de divulguer des données sensibles et de l’exfiltrer à un domaine en liste autorisé lié à Salesforce qui était expiré et de devenir disponible pour l’achat pour aussi peu que 5 $.
Cela a lieu en cinq étapes –
- L’attaquant soumet un formulaire Web-to-lead avec une description malveillante
- Les processus internes des employés sont les maux de la requête IA standard pour traiter les prospects entrants
- Agentforce exécute des instructions légitimes et cachées
- Requêtes système CRM pour les informations de plomb sensibles
- Transmettez les données au domaine maintenant contrôlé par l’attaquant sous la forme d’une image PNG
“En exploitant les faiblesses dans la validation du contexte, le comportement du modèle AI trop permissif et un contournement de la politique de sécurité du contenu (CSP), les attaquants peuvent créer des soumissions de Web à la tête malveillantes qui exécutent des commandes non autorisées lorsqu’elles sont traitées par Agentforce”, a déclaré Noma.
“Le LLM, fonctionnant comme un moteur d’exécution simple, n’avait pas la capacité de distinguer les données légitimes chargées dans son contexte et les instructions malveillantes qui ne devraient être exécutées que à partir de sources de confiance, entraînant une fuite de données sensibles critiques.”
Salesforce a depuis réécrit le domaine expiré, déployé des correctifs qui empêchent la production dans les agents Agentforce et Einstein AI d’être envoyés à des URL non fiables en appliquant un mécanisme de liste d’autoroute URL.
“Nos services sous-jacents de l’agent pour l’agent pour appliquer la liste d’autorisation URL de confiance pour s’assurer qu’aucun lien malveillant n’est appelé ou généré par injection rapide potentielle”, a déclaré la société dans une alerte émise plus tôt ce mois-ci. “Cela fournit un contrôle crucial de défense en profondeur par rapport aux données sensibles échappant aux systèmes clients via des demandes externes après une injection rapide réussie.”
En plus d’appliquer les actions recommandées de Salesforce pour appliquer les URL de confiance, les utilisateurs sont recommandés pour auditer les données de plomb existantes pour des soumissions suspectes contenant des instructions inhabituelles, implémenter une validation des entrées stricte pour détecter une éventuelle injection rapide et désanitiser les données de sources non fiables.
“La vulnérabilité Forcedleak met en évidence l’importance de la sécurité et de la gouvernance proactives de l’IA”, a déclaré Levi. “Il nous rappelle fort que même une découverte à faible coût peut empêcher des millions de dommages-intérêts potentiels.”
