随着人工智能技术在企业自动化领域的深入应用,安全风险也与日俱增。近期,谷歌安全团队发布消息称,黑客组织利用知名销售自动化平台Salesloft的AI代理工具发起针对多家企业的系统攻击,造成大量敏感数据泄露。此次事件不仅牵涉到Salesloft与其关联的Drift聊天机器人平台,还波及强关联的客户关系管理系统Salesforce及Google Workspace邮箱服务。事件发生后,谷歌、Salesloft及Salesforce等相关方迅速协同展开应急响应和调查,试图控制影响并防止攻击继续扩散。Salesloft是一款专注于销售自动化的平台,特别提供与多种第三方服务的集成方案,包括AI聊天机器人Drift和广泛应用的CRM平台Salesforce。这些集成为企业提升销售效率带来了极大便利,却也暴露在更复杂的安全威胁之下。
根据公开报道,攻击发生时间集中在2025年8月8日至18日,黑客成功利用安全漏洞及获取的OAuth和刷新令牌,这些令牌原本用于确保Drift与Salesforce和Google Workspace之间的安全通信。此次安全事件的核心在于黑客通过窃取的令牌访问权,跨越多个系统边界窃取用户信息与关键凭证,如Amazon Web Services的访问密钥、数据库身份验证令牌、内部密码等敏感数据。谷歌Threat Intelligence团队确认,实施此次攻击的黑客组织代号为UNC6395,此团队技术娴熟,能够有效隐藏攻击轨迹,包括删除操作记录以防追踪,但研究人员发现日志文件未被完全破坏,仍能提供重要线索。特别令人关注的是,黑客利用Salesforce的SOQL查询语言对客户支持系统中的数据进行搜索,提取认证令牌及密钥,进而扩展攻击范围和获得更多权限。此外,多项证据表明黑客使用了以Python为基础的定制工具,包括标识为python-requests和aiohttp的HTTP请求模块,以及专为Salesforce定制的工具集合,如Salesforce-Multi-Org-Fetcher和Salesforce-CLI,从而高效完成自动化数据抓取。谷歌安全团队同时披露,攻击行动涉及通过匿名网络Tor及多家云服务商如AWS和DigitalOcean的代理服务器掩盖IP来源和攻击指纹,增加了追踪难度。
值得注意的是,Drift集成的OAuth令牌不仅用于Salesforce接口,也广泛应用于Google Workspace邮件服务。攻击期间,黑客利用窃取的令牌访问少量Google Workspace账户邮件,极大地扩大了隐私泄露的范围。随着事件深入调查,安全专家建议所有使用Salesloft Drift解决方案的企业都应将储存或关联的身份认证令牌视为可能泄露,及时重置相关安全凭据。Salesforce已出于安全考虑,临时移除Drift应用程序于其AppExchange市场,并暂停了对相关集成的支持功能,直至安全问题彻底解决。此次网络事件的曝光引发业界对企业云服务安全防护的高度关注。在数字化转型浪潮中,企业日益依赖跨平台第三方集成技术,导致攻击面不断扩大。
专家强调,企业必须严格管控API访问权限和令牌管理,强化多因素认证机制,进行定期安全审计。同时,加强对进出系统的重要日志的监控,及时发现异常访问行为,是防止敏感数据泄漏和遏制攻击扩散的关键。此次事件也反映了当前网络犯罪集团的专业化水平显著提升,诸如UNC6395等组织不仅具备深厚的技术底蕴,还懂得利用现代化运营安全(OPSEC)手段来规避侦测,使防御变得愈发复杂。此外,黑客集团之间的分工协作愈发紧密,有报道称ShinyHunters和Scattered Spider这两个著名黑客组织在近期事件中也存在关联甚至合并运营,形成更具攻击能力的联盟。对广大企业用户而言,这场数据盗窃事件是重要的警钟。首先,确保所使用的第三方集成工具来源可信且定期更新,对于防止软件漏洞被恶意利用有着决定性作用。
其次,全面部署数据泄露响应计划,在发现异常时能迅速遏制影响范围并恢复业务正常,尽量减少损失。再次,加强员工安全意识培训,提升对钓鱼攻击、社交工程等手法的辨识能力,从源头上降低风险。网络安全形势依然复杂严峻,尤其是在AI和自动化平台日益普及背景下,安全挑战只会持续增长。此次Salesloft泄露事件提醒我们,技术创新必须与安全建设齐头并进,数据保护需要全方位系统化策略支持。未来,随着云架构和AI集成应用的深入,企业必须更加注重安全架构设计,强化跨平台的访问控制和身份认证机制,以抵御此类高级持续威胁。谷歌和各大安全厂商的实时预警和技术支持,对于业界建立防御壁垒意义重大。
只有不断完善安全措施,增强事件响应能力,企业才能在瞬息万变的数字环境中守住核心数据资产,保障客户信任和业务持续发展。 。
