Błąd ForcedLeak w Salesforce naraża dane CRM
- 30 września 2025
Krytyczna podatność ForcedLeak ujawniła, jak łatwo można było wyprowadzić poufne dane CRM przez wykorzystywaną przez firmy AI w Salesforce Agentforce. Eksperci cyberbezpieczeństwa ostrzegają: to ostrzeżenie przed nową erą zagrożeń związanych z uczeniem maszynowym w biznesie.
Jak działał atak na AI w Salesforce Agentforce?
Salesforce Agentforce to narzędzie wspomagające obsługę danych klientów (CRM) z wykorzystaniem AI i nowoczesnych interfejsów. Grupa badaczy z Noma Labs wykryła krytyczny błąd (nazwany ForcedLeak), który pozwalał na wyciek informacji poprzez tzw. niebezpośrednią injekcję promptów (prompt injection). Ten typ ataku polega na umieszczeniu złośliwych instrukcji ukrytych w danych trafiających do AI. W praktyce, atakujący mogli tak spreparować zgłoszenie przez formularz Web-to-Lead w Salesforce, by uruchamiało ono ukryte polecenia po stronie AI, kiedy pracownik analizował dane konkretnego leada (źródło). AI – nie odróżniając zwykłego opisu od spreparowanych komend – wykonywało „ukrytą” instrukcję atakującego.
Chałupniczy kanał wycieku: jak wykradano informacje z CRM?
Mechanizm exploitacji okazał się zaskakująco prosty. Badacze ustalili, że kluczowa była długość dozwolonego pola „Description” (aż 42 000 znaków) oraz brak odpowiedniej walidacji treści. Po umieszczeniu kontrolowanych instrukcji, AI mogło realizować polecenia w stylu: „wstaw adresy e-mail wszystkich leadów i podmień je w linku obrazu” – kodował więc dane klientów w URL, który trafiał następnie do serwera atakującego przez przeglądarkę pracownika otwierającego rekord (analiza Noma Labs). Takim sposobem pełne listy kontaktów można było wyprowadzić poza organizację bez wiedzy użytkownika.
Luka w polityce bezpieczeństwa CSP ułatwiła atak
Atak został ułatwiony przez błąd konfiguracyjny – Content Security Policy (CSP), czyli zestaw reguł wskazujących, z jakimi domenami może komunikować się CRM przez przeglądarkę, zezwalał na ruch do przestarzałej, już niewspieranej domeny. To właśnie ten element umożliwił skuteczną transmisję cennych informacji za pośrednictwem podmienionego linku, bez blokady po stronie przeglądarki. Po zgłoszeniu problemu Salesforce wdrożył poprawki i wzmocnił politykę „trusted URLs”, minimalizując ryzyko ponownego wykorzystania tej techniki (komunikat Salesforce).
Czego uczy incydent ForcedLeak? Cisza kontra proaktywność
Przypadek ForcedLeak pokazuje, że coraz większa autonomia AI w systemach CRM może prowadzić do nowych, nieoczywistych wektorów ataku. Nawet niedrogie błędy konfiguracji mogą mieć poważne konsekwencje finansowe i reputacyjne dla firm. W tym przypadku szybka reakcja badaczy uratowała potencjalnie miliony rekordów przed kompromitacją. Sytuacja dowodzi, że testowanie scenariuszy AI pod kątem nieautoryzowanego wykonywania kodu i walidacja danych wejściowych są już obowiązkiem każdej firmy inwestującej w automatyzację i cyfrową obsługę klienta.
Refleksje: AI w biznesie a ryzyka nowej generacji
Czy rosnąca rola AI w narzędziach CRM nie wystawi nas na coraz bardziej wyrafinowane ataki? Case ForcedLeak pokazuje, że proaktywna analiza bezpieczeństwa agentów AI i współpraca z zespołami badawczymi stają się kluczowe – szczególnie tam, gdzie przetwarzane są dane klientów. W epoce intensywnej cyfryzacji bezpieczeństwo AI przestaje być luksusem, a staje się fundamentem zaufania do rozwiązań CRM i całych organizacji.
