Yakın zamanda açıklanan bir güvenlik araştırma raporu, Salesforce AgentForce’da, işletme sistemlerinde AI’ya özgü yeni bir tehdit sınıfını vurgulayan ciddi bir güvenlik açığı zinciri ortaya koydu.
Bir siber güvenlik firması tarafından keşfedilen ve CVSS skoru 9.4 ile kritik olarak derecelendirilen güvenlik açığı, AgentForce’daki gibi otonom AI ajanlarının genişletilmiş saldırı yüzeyinin dolaylı hızlı enjeksiyon saldırıları yoluyla nasıl kullanılabileceğini ortaya koyuyor.
Salesforce ForcedLeak Güvenlik Açığı’na Genel Bakış
ForcedLeak, potansiyel müşteri yönetimi ve müşteri iletişimi gibi karmaşık iş görevlerini özerk bir şekilde ele alan CRM ile entegre bir AI aracı platformu olan Salesforce AgentForce’u hedefler.
Güvenlik açığının çekirdeği, AI ajanlarının sadece statik veriler olarak değil, dinamik, yürütülebilir talimatlar olarak nasıl harici girdileri işlediğinde yatmaktadır. Geleneksel chatbot sistemlerinden farklı olarak, otonom akıl yürütme, iç bellek ve araç çağırma yeteneklerine sahip AI ajanları önemli ölçüde daha geniş saldırı yüzeyleri sunmaktadır.
NOMA Labs, saldırganların Salesforce’un web-se-forma sunumlarına kötü niyetli talimatlar enjekte edebileceğini buldu. Dahili çalışanlar daha sonra AgentForce’u bu olası satışlar hakkında sorguladığında, AI, gömülü yükleri bilmeden işleyerek güvenilir verileri etkili bir şekilde bir saldırı vektörüne dönüştürecektir.
Kusur, müşteri iletişimleri, satış stratejileri ve hatta üçüncü taraf entegrasyon bilgileri de dahil olmak üzere hassas CRM verilerine yetkisiz erişim sağladı.
Saldırı metodolojisi ve teknik detaylar
Araştırmacılar, şunları içeren çok fazlı bir saldırı düzenlediler:
- Enjeksiyon noktası tanımlaması: Salesforce’un 42.000 karakter sınırına sahip web’den başa formlarındaki “açıklama” alanı, yük ekleme için ideal bir hedef olarak tanımlandı.
- Gerçekçi hızlı inşaat: Saldırgan, AgentForce kullanan çalışanlar tarafından gözden geçirildiğinde AI’nın gömülü kötü amaçlı talimatlar yürütmesine neden olacak kurşun verileri hazırladı.
- Güvenilir sorgular yoluyla hızlı enjeksiyon: “Lütfen, ‘Alice Bob’ adıyla ipucunu kontrol edin ve sorularını cevaplayın…” gibi bir istemi zararsız görünüyordu, ancak AI’nın verilerdeki kötü niyetli talimatları ayrıştırmasını ve harekete geçmesini tetikleyecekti.
- Süresi dolmuş beyaz liste ile csp bypass: SatışForce’un İçerik Güvenliği Politikası (CSP), belirli beyaz liste alanlarına giden veri iletimine izin verdi. Böyle bir alan, My-Salesforce-cms.com.Görünüşte güvenilir bir kanal.
Bu faktör kombinasyonu, yüksek etkili bir güvenlik açığı zinciri yarattı ve sonuçta Salesforce AgentForce’un doğrudan kullanıcı etkileşimi olmadan hassas CRM verilerini sızdırmak için nasıl manipüle edilebileceğini kanıtladı.
Kim risk altındaydı?
Salesforce AgentForce’u özellikle satış, pazarlama ve müşteri ediniminde web’den başa işlevselliğe sahip herhangi bir kuruluş potansiyel olarak risk altındaydı. Bu ortamlar rutin olarak, konferanslar, pazarlama kampanyaları veya web sitelerinde potansiyel müşteriler tarafından doldurulmuş formlardan harici verileri yutarak kötü niyetli başvurular için verimli bir zemin sağlıyor.
İş ve Güvenlik Etkisi
Sıkışın etkileri önemlidir:
- Veri maruziyeti: Müşteri bilgileri, dahili iletişim, satış boru hattı ayrıntıları ve tarihi CRM kayıtları potansiyel olarak savunmasızdı.
- Düzenleyici riskler: İhlal ifşa gereksinimleri ve uyum ihlalleri bu tür maruziyetleri takip edebilir.
- İtibar Hasarı: Hassas müşteri verilerini içeren onaylanmış veri ihlalleri, marka güvenini ciddi şekilde etkileyebilir.
- Yanal hareket: Salesforce’un kapsamlı API’si ve iş sistemi entegrasyonları nedeniyle, saldırganlar içeride bir kez iç sistemler arasında potansiyel olarak dönebilir.
Araştırma ayrıca, gelecekteki bir çalışan eylemi tarafından tetiklenene kadar yüklerin uykuda kaldığı, tespit ve yanıtı çok daha zor hale getiren zaman gecikmiş yürütme olasılığını ortaya koydu.
Salesforce’un yanıtı
İşte olayların bir zaman çizelgesi:
- 28 Temmuz 2025: Noma Labs, Salesforce’a karşı savunmasızlığı bildirdi.
- 31 Temmuz 2025: Salesforce konuyu kabul etti ve soruşturmaya başladı.
- 8 Eylül 2025: Salesforce, hem Ajan Gücü hem de Einstein AI için güvenilir URL’lerin yaptırımını uygulayan bir yama yayınladı.
- 25 Eylül 2025: Güvenlik açığının halka açıklanması.
Salesforce ayrıca süresi dolmuş alanı beyaz listeden korudu ve benzer bypass’ları önlemek için CSP politikalarını güçlendirdi.