随着人工智能技术的快速发展,企业级AI应用逐渐普及,但安全风险也随之增加。近期,Salesforce披露并修复了一处代号为ForcedLeak的关键漏洞,该漏洞利用AI提示注入的方式,可能使攻击者从客户关系管理(CRM)系统中窃取敏感数据信息。该事件再次引发业界对AI安全的广泛关注,提醒企业重视AI应用中的潜在威胁。ForcedLeak漏洞由Noma Security安全团队于2025年7月28日首次发现,漏洞的漏洞严重度达9.4(CVSS评分),涉及Salesforce的Agentforce平台。该平台旨在帮助企业构建AI代理工具,以提高业务自动化效率。值得注意的是,漏洞影响范围包括启用了Web-to-Lead功能的所有用户。
Web-to-Lead功能允许潜在客户通过网页表单提交信息,触发系统自动生成销售线索。攻击者借助该通道,有意向"描述"字段注入恶意指令。通过这种间接提示注入,存在导致AI代理执行隐藏命令的风险,从而从CRM系统中获取机密数据。整个攻击链条起始于攻击者提交带有恶意代码的Web-to-Lead表单。这些数据随后由内部员工在正常业务流程中处理,并通过Agentforce的AI模型进行分析和响应。由于AI模型无法辨识输入数据中隐藏的恶意指令,系统便会执行这些指令,访问并查询CRM数据库中的敏感信息。
最后,这些被窃取的数据被加密并隐藏在PNG图片中,通过一个之前属于Salesforce但已经过期并被攻击者以极低价格购买的允许列表域名,偷偷传输到攻击者控制的服务器。该漏洞能够成功利用的根本原因,源于AI模型对上下文的验证不足,以及执行引擎的权限过度宽容。此外,Salesforce的内容安全策略(Content Security Policy,简称CSP)被绕过,也为数据外泄提供了可乘之机。Noma Security研究负责人Sasi Levi指出,Agentforce平台在执行AI模型时缺乏区分有效指令和恶意指令的能力,致使敏感数据暴露在外。针对该漏洞,被称为ForcedLeak的安全风险已引起业内高度重视。Salesforce第一时间收回了被攻击者购买的过期域名,调整了系统设置。
通过引入严格的URL允许列表机制,限制Agentforce及Einstein AI代理服务器只能向经过验证的可信网址发送信息,极大降低了数据泄露的风险。官方公告中,Salesforce强调这是一项关键的深层防御措施,能够防止攻击者利用相似攻击路径继续发起数据泄露行为。此外,Salesforce建议用户审核现有线索数据,排查潜在的异常输入,特别是带有不寻常指令的表单字段。通过严格的输入验证和数据清洗,对来自不可信来源的数据加强检测和过滤,可以有效降低未来类似攻击成功的概率。AI提示注入,尤其是间接式提示注入,正逐渐成为生成式人工智能系统面临的主要威胁之一。这种攻击技术通过植入恶意指令,利用模型对上下文的自动解读机制,诱导模型执行未经授权的操作。
ForcedLeak案例突显了这一挑战的严重性,也验证了EchoLeak等已被披露的零点击AI漏洞类攻击并非个例。业内专家Itay Ravia指出,这类漏洞广泛存在于基于检索式问答生成(RAG)的多代理平台中,现有AI系统普遍缺少有效的防护策略和约束机制,亟需引入更为严密的设计原则和安全管理框架。未来,随着AI技术与企业应用的深度融合,AI安全治理将成为企业整体IT安全架构中不可或缺的一环。企业需要构建完善的AI威胁检测体系,结合人工审核、自动化安全扫描以及威胁情报共享,增强对AI模型潜在漏洞的识别和防护能力。同时培养基于零信任理念的访问控制机制,限制AI执行环境对外部网络请求权限,以切断攻击链的关键环节。ForcedLeak事件也提醒行业,从设计阶段就应纳入安全考虑,在AI模型构建和训练过程中强制分离和过滤潜在恶意输入,提升模型对异常指令的辨识度。
通过多层防线的架构设计,实现检测、阻断、响应的协同防御,从根本上降低攻击风险。总的来看,Salesforce对ForcedLeak漏洞的及时修复,大幅减少了客户数据可能遭受的泄漏威胁,也为广大企业敲响了警钟。在数字化转型加速的当下,AI相关工具与服务的广泛应用不可避免带来新的安全挑战。只有借助严格的安全规范、实时的监测系统及持续的风险管理,才能保障企业核心数据资产的安全可靠。未来,借助行业合作与技术创新,AI安全防护必将向更加智能化、自动化方向演进,为企业的数字生态体系铸就坚实的基石。 。
