近年来企业级 AI 代理快速普及,Salesforce 的 Agentforce 作为面向客户关系管理(CRM)的自动化代理平台,在提高工作效率与业务响应速度方面展现出巨大潜力。然而,一起名为 ForcedLeak 的安全事件暴露了 AI 代理在信任边界、外部数据依赖与域名管理等方面的脆弱性。研究团队仅凭一次提示注入与购买一个五美元的过期域名,就能诱使 Agentforce 泄露 CRM 中的销售线索数据,事件本身既令人震惊,也为企业提供了宝贵的防护教训。本文将从攻击原理、利用路径、技术细节、影响评估与实操防护等多个维度进行深入解读,帮助安全团队与开发者理解并修复类似风险。 事件回顾与关键要点 安全研究机构 Noma Security 发布的分析表明,ForcedLeak 利用了一种间接提示注入(indirect prompt injection)手法,结合 Salesforce 的 Web-to-Lead 功能与过期域名的重新购买,最终让 Agentforce 把 CRM 中的潜在客户邮箱等敏感信息发送到了研究者控制的服务器。研究人员发现 Salesforce 的内容安全策略(Content Security Policy)允许某个域名 my-salesforce-cms.com 访问或被嵌入,但该域名在当时已过期并可低价购买。
他们以五美元拿下该域名,并在 Web-to-Lead 表单的描述字段中植入富含指令的文本,诱导 AI 代理在后续交互中去检索并通过 img 请求将敏感数据回传到该域名下的资源,从而实现数据外泄。 攻击的关键环节包括 Web-to-Lead 表单的高容量描述字段、Agentforce 对外部内容嵌入的信任链、以及对已注册/许可域名的错误管理或过期失效未被及时回收的风险。Noma Security 使用 CVSS Version 4.0 计算出该问题的严重性评分为 9.4,认为这是一个危急等级的安全缺陷。Salesforce 随后发布修补措施,开始强制实施可信 URL 允许列表(Trusted URL allow-lists),并禁止 Agentforce 和 Einstein Generative AI 将输出发送到未信任的外部 URL。 提示注入与间接注入的本质差异 提示注入是针对语言模型与代理的攻击范式,攻击者通过构造恶意文本以改变模型的执行或输出行为。直接提示注入是攻击者在与模型直接交互时植入恶意指令,通常可即时触发不当行为。
间接提示注入则更为狡猾:恶意指令被嵌入到某个会被模型在未来阶段引用或渲染的外部数据中,模型在处理正常请求时无意中执行了这些隐藏指令。 ForcedLeak 的案例属于间接提示注入的典型应用。攻击者并不是直接对 Agentforce 发出"把所有客户邮箱发给我"的命令,而是通过合法的 CRM 表单把含有看似合理问题与 HTML 图像嵌入请求的文本写入描述字段。Agentforce 在构建响应或生成预览时,会将这些外部嵌入当作正常内容解析并触发对攻击者域名的请求,从而把内部敏感信息泄露出去。 为何过期域名会放大风险 域名生命周期与企业安全管理通常是被忽视的薄弱环节。企业在构建内容分发或第三方集成时,往往将外部域名加入 CSP、白名单或资源允许列表。
一旦这些域名到期,被攻击者以低价买下,原有的信任链就被轻易劫持。ForcedLeak 中,研究者仅以五美元买下 my-salesforce-cms.com,就能够利用 Salesforce 先前允许该域名的配置完成数据外传。 这说明在信任管理中,不仅要审查当前注册信息,还要持续监测关键依赖域名的到期状态与解析控制权,防止"信任被继承"的危险情况发生。供应链攻击、第三方 CDN 或自家子域的到期都会带来类似风险。 利用路径与技术还原 研究者首先利用 Web-to-Lead 表单,将精心构造的文本写入描述字段。该字段支持高达四万二千个字符,成为存放多步指令与 HTML 片段的理想位置。
表单的其他字段(姓名、公司、邮箱)字符限制较低,无法携带复杂注入内容,因此描述字段成为攻击载体。 在描述中嵌入的文本既包含对模型的引导性问题,也包含一个 HTML img 标签,其 src 指向研究者控制的 CDN 子域并带有查询参数,这些查询参数被设计为包含待窃取的邮箱数据。Agentforce 在处理用户输入并生成包含"预览图像"的输出时,会替换模板占位符并拼接来自 CRM 的数据,最终用浏览器或渲染引擎去请求攻击者的 URL,从而把敏感数据暴露给外部服务器。 防护原则与可行措施 面对这类将语言模型与外部资源混合使用引发的数据泄露风险,企业应当在多个层面采取防护措施。技术上,构建严格的外部请求策略至关重要。平台必须限制 AI 代理向外部 URL 发起请求的能力,只允许在可信列表中的域名,并对这些域名实施持续性审查与到期监控。
实现输出屏蔽或自动化审计,在生成包含外部资源引用的文本时进行沙箱化渲染与敏感数据检测,也能有效降低被滥用的可能性。 在开发层面,表单与输入点应当实施更严格的数据分离与字段粒度控制。并非所有用户可写字段都应允许 HTML 或外部资源引用,限制高容量字段的可解析内容类型,或对可疑内容进行脱敏处理与人工审核,可以阻断复杂注入链的形成。日志与监控同样重要,记录 AI 代理对外请求的元数据、用户输入与代理回复,配合告警规则能够在异常访问出现时快速响应。 治理与组织层面的建议不可或缺。企业应建立 AI 风险评估流程,将提示注入作为威胁建模的一部分,定期对公开表单、第三方集成与内容安全配置进行巡检。
对域名、证书与第三方服务的到期管理需要纳入资产管理体系,避免关键域名被恶意接管。供应链安全策略应覆盖 CDN、第三方 SDK 与外部插件,避免隐含信任链的断裂。 供应商责任与平台改进方向 像 Salesforce 这样的云服务提供商在引入生成式 AI 功能时,必须认识到新攻击面带来的挑战。平台应在默认设置中对外部 URL 做严格限制,提供更透明的依赖管理信息,并支持客户启用更细粒度的允许列表与自动化合规检测。对开发者而言,API 与 SDK 的设计需要考虑"安全默认值",避免把高权限能力(如任意外部请求、HTML 渲染)默认暴露给未经审计的代理逻辑。 此外,平台方应当提供便捷的域名到期监测服务或与客户共享信任域名的实时状态,帮助企业识别潜在的信任劫持风险。
对研究人员的负责任披露也同样重要,建立快速修补与透明沟通流程有助于减轻潜在的实际滥用危害。 检测与事后响应策略 对于可能受到类似攻击的组织,建立基于行为的检测机制比简单依赖签名更为有效。检测代理在生成内容时是否尝试嵌入外部资源、是否构造包含查询参数的 URL,以及对内部敏感字段的引用频率与模式,都可以作为异常指标。结合网络层日志,监控到对外部未知或近期注册域名的访问,会是及时发现数据外传的关键线索。 一旦怀疑存在数据泄露,应立即禁用受影响的智能代理或相关 Web-to-Lead 流程,并快速切断对未知域名的出站请求。组织应保留充分的审计日志以供取证,包括表单提交内容、代理决策链、外部请求记录与响应。
与法律与合规团队协作,评估是否需要告知客户或监管机构,并在必要时进行全面的安全通报与补救。 长远治理与文化建设 ForcedLeak 事件的启示不仅是技术层面的修补,更多是对企业如何在 AI 快速落地中构建安全文化的提醒。AI 功能往往以极高的自动化和便利性吸引业务团队,但在没有合适的安全框架与人机监督机制下,自动化本身可能成为放大失误的因素。企业应建立跨部门的 AI 风险委员会,把安全审查嵌入产品生命周期,从设计阶段就考虑数据边界、最小权限、可审计性与可解释性。 结语 Salesforce Agentforce 的 ForcedLeak 案例以其简单却致命的攻击链提醒所有采用生成式 AI 的组织:安全不是单点修补可以解决的问题,而是需要在平台、开发、运维与治理多层面共同发力的长期工程。过期域名、松散的外部资源信任与缺乏对提示注入的防护共同构成了这次事件的根源。
通过严格的可信域名白名单、对高容量可写字段的内容控制、持续的域名与第三方监控、行为驱动的检测与快速响应能力,企业可以显著降低类似风险。更重要的是,将 AI 风险管理纳入组织文化,使安全成为每一次自动化决策与每一个产品发布的自然组成部分,才能在 AI 时代真正保护好客户数据和企业信任。 。
