CRM ortamlarındaki karmaşık iş görevlerini yerine getirmek için tasarlanmış AI güdümlü bir sistem olan Salesforce AgentForce’da yakın zamanda ForcedLeak olarak adlandırılan bir güvenlik açığı keşfedildi. NOMA Security, başlangıçta CVSS 9.1 olarak derecelendirilen ve daha sonra 9.4 olarak güncellenen kritik kusuru tanımladı ve uzak saldırganların özel CRM verilerini çalmasına izin verdi. Firma araştırmasını hackread.com ile paylaştı.
Saldırı nasıl çalıştı
Sorun, AI ajanlarının çalıştığı özerk şekilde yatmaktadır. “Hızlı yanıt” sistemleri olan basit sohbet botlarının aksine, bu ajanlar “karmaşık iş görevlerini akıl yürütebilir, planlayabilir ve yürütebilir”, bu da onları çok daha büyük bir hedef haline getirir. Buradaki temel sorun, AI sisteminin daha sonra işlediği verilerin gizlice yerleştirildiğinde gerçekleşen dolaylı bir hızlı enjeksiyon saldırısı oldu.
AgentForce söz konusu olduğunda, saldırganlar web sitesi ziyaretçilerinin doğrudan CRM’ye giren bilgileri göndermesini sağlayan yaygın olarak etkinleştirilmiş Web-Look özelliğini kullandılar. Kötü niyetli kodları açıklama kutusu gibi büyük bir giriş alanına koyarak, saldırgan bir tuzak ayarlar. Bir çalışan daha sonra AI temsilcisine bu olası satış verileri hakkında normal bir soru sorduğunda, ajan gizli talimatı yanlışlıkla işinin bir parçası olarak ele alacaktır.
Noma Security’nin blog yazısına göre, araştırmacılar AI’nın “bağlamına yüklenen meşru veriler arasındaki kötü amaçlı talimatlar arasındaki farkı” söyleyemediğini buldu. Riski kanıtlamak için, AI’yı e -posta adresleri gibi hassas CRM verilerini almaya zorlamak için kötü amaçlı kod kullanarak bir kavram kanıtı (POC) çalıştırdılar. Kod, AI’yı bir görüntü için web adresinin içindeki verileri doldurmaya kandırdı. Sistem bu görüntüyü incelediğinde, özel veriler başarılı hırsızlığı doğrulayarak araştırmacılar sunucusuna iletildi.
Çalınan veriler ve anında düzeltmeler
Risk altındaki veriler arasında müşteri iletişim bilgileri, satış boru hattı verileri iş stratejisi, dahili iletişim ve geçmiş kayıtları gibi hassas bilgileri içermektedir. Güvenlik açığı, Salesforce AgentForce’u Web-Sead-Seal özelliği ile kullanan herhangi bir kuruluşu, özellikle satış ve pazarlamada olanları etkiledi.
Saldırı aynı zamanda sistemin güvenlik kurallarının (içerik güvenlik politikası veya CSP) eski bir kısmını kullanmayı da içeriyordu. Araştırmacılar, hala ‘güvenilir’ olarak kabul edilen bir alanın (benim-Salesforce-cms.com) gerçekten süresi dolduğunu ve sadece 5 dolara satın alınabileceğini keşfettiler. Bir saldırgan, bu süresi dolmuş ancak güvenilir alan adını, çalıntı verileri gizlice sistemden göndermek için kullanabilir.
Salesforce, 28 Temmuz 2025’te sorun hakkında bilgilendirildikten sonra hızla araştırıldı. 8 Eylül 2025’e kadar şirket, verilerin güvenilmeyen Web adreslerine gönderilmesini durdurmak ve süresi dolmuş alanı yeniden güçlendirmek için Ajan Gücü ve Einstein AI için “güvenilir URL’lerin” uygulanması da dahil olmak üzere düzeltmeler yapmıştı.
Firma, kullanıcılara derhal “Ajan ve Einstein AI için güvenilir URL’leri uygulamalarını” ve olağandışı başvurular için mevcut tüm olası satış verilerini denetlemelerini tavsiye etti. Güvenlik açığı 25 Eylül 2025’te halka açıldı.
Neden önemli
ConstedLeak kusuru, bu yıl ortaya çıkan büyük Salesforce bağlantılı veri ihlalleri ışığında tartışmak için özellikle önemlidir. Salesforce, hassas müşteri kayıtları, finansal detaylar ve satış stratejileri olan binlerce kuruluş için iş operasyonlarının merkezinde yer almaktadır.
Yapay zeka ile çalışan ajanfor sistemindeki bir güvenlik açığı, saldırganların sadece izole kayıtları çalmak için değil, aynı zamanda günlük iş süreçleri aracılığıyla büyük ölçekli veri çıkarmayı otomatikleştirmek için güvenilir bir platformdan yararlanabileceği anlamına gelir.
CRM verileri genellikle işletmeler için taç mücevherleri olmasıyla, AI güvenlik açıklarını zaten yüksek değerli Salesforce ortamlarıyla birleştirmek riski büyük ölçüde artırır, bu da kuruluşların maruz kalma ve güvenlik kontrollerini yeniden değerlendirmelerini kritik hale getirir.
Uzman Görünümü
Black Duck’taki kıdemli siber güvenlik çözüm mimarı Chrissa Constantine, “Kullanılan AI ajanlarının etrafındaki sistemlerin API’ler, formlar ve ara katman yazılımı gibi güvence altına alınması tavsiye edilir, böylece hızlı enjeksiyonun kullanımı daha zor ve başarılı olursa daha az zararlıdır” dedi.
Gerçek önlemenin, ajan tasarımı, yazılım tedarik zinciri, web uygulaması ve API testi etrafında konfigürasyonu korumak ve korkuluklar oluşturmak etrafında olduğunu vurguladı.