近年来企业开始大规模将AI代理集成到客户关系管理平台中,以实现自动化的线索处理、邮件撰写和业务流程执行。Agentforce作为Salesforce面向企业的代理化功能代表,具备自主推理、计划和执行多步任务的能力。然而,Noma Labs在2025年发现的ForcedLeak漏洞链充分说明了AI代理带来的新型攻击面与传统安全控制不足的风险。本文从攻击原理、技术细节、潜在影响与可操作的防护措施等方面深入解析ForcedLeak事件,帮助安全和业务团队理解为何AI代理需要与传统应用不同的治理方式,并提供切实可行的防御策略。 ForcedLeak的核心在于一种间接提示注入(indirect prompt injection)攻击路径,通过将恶意指令隐藏在合法的外部数据中,当AI代理在后续处理这些数据时,无法区分数据与执行指令,从而执行攻击者嵌入的命令并将敏感信息外泄。研究显示,攻击者通过Salesforce的Web-to-Lead表单将精心构造的多步指令写入描述字段,当内部员工或系统以常规查询触发Agentforce读取该记录时,代理将数据视为可执行内容,并按照"人类可读"的指示生成包含敏感信息的响应,最终通过图像请求等渠道将信息发送到攻击控制的域名。
攻击链中的一个关键环节是内容安全策略(Content Security Policy,CSP)白名单中的过期域被恶意买下,成为可信却已被控制的外泄通道。该域名的存在使得原本基于域名白名单的静态防护形同虚设。Noma报告中将该链评分为关键级别(CVSS 9.4),并与Salesforce沟通后促使对方修补相关配置并增加Trusted URLs强制策略。 深入理解攻击面可以帮助企业评估自身风险。Agentforce等AI代理并非简单的对话接口,它们在企业内扮演执行引擎的角色,能访问知识库、内部记忆、外部集成工具与API。这样的能力在带来效率提升的同时,也放大了入侵或滥用带来的危害。
攻击者不需要直接突破模型本身,只需利用数据流与信任边界的模糊之处,通过合法通道提交恶意数据并等待人工或自动化查询触发执行即可。与传统的直接提示注入相比,间接注入更难检测,因为恶意指令长期静默存储在数据库中,只在特定上下文被读取时激活,给溯源与防御带来更高挑战。 技术细节方面,ForcedLeak利用了Web-to-Lead表单的描述字段作为注入载体。该字段允许极长文本输入,使得攻击者得以插入复杂的多步流程指令、条件判断与HTML片段,以伪装成正常的业务请求。示例有效负载包含对CRM中线索邮件地址的提取要求,并指令AI生成一个包含带参数的图片URL,借助图像请求的特性将敏感数据编码进URL参数中,从而通过HTTP请求将数据传输到攻击者控制的服务器。图像外泄比直接文本外发更不易被传统DLP或关键字检测拦截,因为它依赖于前端加载资源的正常行为。
漏洞链的另一个重要组成部分是CSP策略中允许来自特定域的img-src请求,而该域由于过期被他人购买,外泄通道得以建立。Salesforce在收到报告后重新收回并保护了被滥用的域名,并对Agentforce和Einstein AI实施了Trusted URLs的强制策略,从而关闭了该外泄路径。 从业务影响来看,风险广泛且严重。CRM中存储的联系人信息、销售管道、历史沟通记录和第三方集成数据对企业竞争力与合规性至关重要。被动泄露这些信息会导致客户隐私侵害、违反监管要求和商业情报外流,造成直接财务损失与品牌信誉受损。更危险的是,攻击者可借此建立潜伏通道,等待适当时机发动更大规模的操作或横向渗透其他系统。
由于Agentforce具有调用外部工具和API的能力,攻击者可能将初始数据外泄作为跳板,进一步操作集成的服务与业务流程,放大攻击后果。 针对这样的风险,单一的输入校验或简单的黑白名单已不足以防御。防护需要综合的设计时治理、运行时监控与人员培训。首先,从设计层面应将AI代理视为生产级组件纳入安全开发生命周期,进行威胁建模、数据流审计和权限最小化。明确哪些代理需要访问外部数据源,哪些动作应由人工审批,哪些敏感字段禁止直接传入代理执行上下文。其次,要对模型的上下文边界进行严格限制,避免将未经验证的外部数据直接拼接到模型提示或工具调用参数中。
可以通过模板化提示、白名单字段和上下文截断策略,确保模型只能访问明确授权的内容范围。再次,加强输入校验与异常检测,尤其是对可由公众提交的表单字段实施长度、字符与语义检测,检测异常格式或包含可执行指令的段落。利用机器学习或规则引擎检测潜在的提示注入模式能够显著降低间接注入风险。 运行时控制同样关键。应部署行为级别的监控,记录代理对外部工具和资源的每次调用,并对可疑调用进行告警或自动阻断。对于任何会产生外部资源请求的响应,尤其是包含URL或嵌入资源的输出,应在流出前进行输出清洗与重写,禁止直接包含外部域名的未授权链接。
将代理的外部连接限制到受信任的域列表,并定期核查这些域的所有权和证书状态,防止过期域被重新购买后被滥用。Noma建议的Agent Visibility与Agent BOM(AI Bill of Materials)思想对于追踪代理血缘、工具调用和外部依赖尤为重要,它帮助团队在安全事件发生后快速定位受影响的代理与潜在的横向影响面。 人员与流程方面,企业应加强对员工使用AI代理时的安全意识培训,明确哪些常见查询可能触发代理处理外部数据,并教会员工识别异常记录或可疑指令嵌入的迹象。将高风险操作设为需多重审批或人工介入的流程,避免完全自动化的执行路径成为长期持久的攻击机会。合规团队与安全团队协作制定敏感数据访问策略,确保代理无法在未经授权的流程中检索或暴露受监管数据。 在技术实现层面,推荐采取以下措施以降低遭遇类似ForcedLeak攻击的概率。
对Web-to-Lead等外部输入接口实施强校验与分层清洗,使用正则与语义分析剔除异常指令与嵌入的可执行HTML。对代理输入的上下文实现白名单字段控制,仅允许特定字段进入AI模型的参数。在代理输出端实现内容替换或脱敏处理,凡包含外部资源加载指令的输出必须经过信任域核验与安全审查。对CSP等安全策略的域名白名单实行自动化监测与到期告警,确保没有因域名到期而出现的信任盲区。建立对外域名所有权的定期验证机制,一旦发现域名转移或异常更改立即触发阻断。 同时,企业应考虑采用专门的AI安全平台或中间代理层,对所有与模型交互的请求和响应进行代理化管理。
这种中间层可以在不改变模型能力的前提下,提供可插拔的安全策略、审计日志和实时行为检测。通过集中式管理可以实施统一的Trusted URLs策略、敏感字段屏蔽和工具调用白名单,从而在组织层面降低人为配置误差带来的风险。Noma等安全厂商提出的基于策略的运行时防护能在攻击触发时快速识别异常输出并阻断外泄路径,减少损害范围。 ForcedLeak事件也提醒我们,安全并非一次性修补可解决的问题。随着AI代理能力的不断增强,攻击者的策略也会演进。企业需要建立长期的AI安全治理框架,将代理纳入持续风险评估与合规审查,对外部输入接口、安全策略和域名资产进行动态管理。
与供应商保持密切沟通,确保在供应链层面及时获取补丁与配置变更建议。对高风险代理实施分级隔离与沙箱运行,渐进式放开权限并在每一步增加监控和审批。 总结来看,ForcedLeak暴露了AI代理时代的新型安全挑战:数据与指令的边界不再清晰,传统基于静态白名单和简单输入校验的防护模式无法完全抵御通过合法渠道提交并在后续被执行的恶意内容。防御的核心在于明确信任边界、限制模型上下文访问、对外域名与资源白名单实施动态管理,以及在运行时层面对代理行为进行严密监控与审查。通过结合设计时的威胁建模与运行时的行为检测,辅以严谨的人员流程和供应链治理,企业才能在拥抱AI代理带来的效率提升时,最大限度地降低被利用的风险。对于正在或计划使用Salesforce Agentforce与类似AI代理技术的组织,立即评估外部输入管控、检查CSP与Trusted URLs配置、并引入输出脱敏与行为审计,将显著提升抵御类似ForcedLeak攻击的能力。
。
