Los investigadores de ciberseguridad han revelado un defecto grave que afecta a Salesforce Agentforce, la plataforma para construir agentes de inteligencia artificial (IA).
La vulnerabilidad es codificada por código codificada FORCEDLEAK (puntaje CVSS: 9.4) por Noma Security, que descubrió e informó el problema el 28 de julio de 2025. Utilice Salesforce Agentforce con la función web a mayor para impactar cualquier organización.
«La vulnerabilidad ilustra cómo los agentes de IA presentan una superficie de ataque fundamentalmente diferente y ampliada en comparación con los sistemas tradicionales de respuesta rápida», dijo el líder de la investigación de seguridad de Noma, Sasi Levi, en un informe compartido con Hacker News.
Una de las amenazas más graves que enfrentan los sistemas de inteligencia artificial (GENAI) de la actualidad es la inyección rápida indirecta. Esto puede dar como resultado instrucciones maliciosas cuando se inserta una fuente de datos externa a la que se accede el servicio y genere contenido que esté prohibido o tome acciones no deseadas.
La ruta de ataque demostrada por Noma es aparentemente simple, ya que utiliza un campo de descripción de formato de lectura desde la web para realizar instrucciones maliciosas utilizando una inyección rápida.
Esto se hace en cinco pasos –
El atacante envía un formulario web a plomo con una descripción maliciosa, el proceso interno de los empleados utilizando clientes potenciales utilizando consultas de IA estándar para procesar clientes potenciales entrantes.
«Al aprovechar las debilidades de la validación contextual, la Política de comportamiento y la política de seguridad de contenido (CSP) de los modelos de IA demasiado tolerantes, los atacantes pueden crear presentaciones principales de redes maliciosas que ejecutan comandos ilícitos cuando Agentforce los maneja», dice Noma.
«Trabajar como un motor de ejecución simple, LLM tiene la capacidad de distinguir entre datos legítimos cargados en ese contexto e instrucciones maliciosas que solo deben ejecutarse a partir de fuentes confiables, lo que resulta en una fuga de datos sensibles críticos».
Salesforce luego reubicó el dominio expirado, los parches desplegados que impidieron la producción de Agentforce y los agentes de Einstein AI, e implementaron el mecanismo de Listic de URL, que les impidió enviar a URL no confiables.
«Nuestro servicio subyacente, Powering Agent Force, obliga a una lista de alquiler de URL de confianza a evitar que se llamen o generen vínculos maliciosos a través de inyecciones potencialmente rápidas», dijo la compañía en una alerta emitida a principios de este mes. «Esto proporciona un control detallado importante sobre los datos confidenciales que escapa al sistema de clientes a través de solicitudes externas después de una inyección rápida exitosa».
Además de aplicar la acción recomendada de Salesforce para hacer cumplir una URL confiable, se alienta a los usuarios a auditar los datos de plomo existentes para envíos sospechosos que contienen pedidos inusuales.
«Las vulnerabilidades forzadas subrayan la importancia de la seguridad y el gobierno proactivos de la IA», dijo Levi. «Sirve como un fuerte recordatorio de que incluso los hallazgos de bajo costo pueden evitar que millones de personas con daños por posibles violaciones».
Source link
