NOMA Labs’taki siber güvenlik araştırmacıları, Salesforce’un Ajan Force AI platformunda saldırganların gelişmiş hızlı enjeksiyon teknikleri aracılığıyla hassas müşteri verilerini çalmasına izin verebilecek kritik bir güvenlik açığı keşfettiler.
“EffedLeak” olarak adlandırılan güvenlik açığı, maksimum ciddiyeti gösteren 9.4 CVSS puanı taşır.
Saldırı nasıl çalışır
ForceSleak güvenlik açığı, potansiyel bilgileri yakalamak için konferanslarda ve pazarlama kampanyalarında yaygın olarak kullanılan bir özellik olan Salesforce’un web-lip işlevselliğini kullanır.
Saldırganlar, kötü niyetli talimatları, çalışanlar bu veriler hakkında AI sistemini sorguladığında daha sonra yürütülen meşru görünüşte olası başvurular içine yerleştirebilir.
Geleneksel sohbet botlarından farklı olarak, AgentForce karmaşık iş görevlerini akıl yürütme, planlama ve yürütme yeteneğine sahip otonom bir AI ajanı olarak çalışır.
Bu genişletilmiş işlevsellik, bilgi tabanlarını, yürütülebilir araçları, dahili bellek ve bağlı sistemleri içerecek şekilde basit giriş istemlerinin ötesine uzanan çok daha büyük bir saldırı yüzeyi oluşturur.
Saldırı, AI’nın daha sonra işlediği verilere yerleştirildiği dolaylı hızlı enjeksiyondan yararlanır.
Çalışanlar olası satış bilgileri hakkında rutin sorgular yaptıklarında, AI uzlaşılmış verileri alır ve işler ve gizli kötü amaçlı komutları meşru talimatlar gibi yürütür.
Teknik sömürü detayları
Araştırmacılar, Web-Look Form’un açıklama alanını 42.000 karakter sınırından dolayı optimal enjeksiyon noktası olarak belirleyerek karmaşık çok aşamalı talimat setlerine izin verdiler.
Saldırı, üç kritik zayıflıktan yararlanarak başarılı oldu:
- AI’nın amaçlanan alan adı dışında istekleri işlemesine izin veren bağlam doğrulama hataları
- Meşru veriler ve kötü niyetli talimatlar arasında ayrım yapamayan aşırı izin veren AI model davranışı
- İçerik Güvenliği İlkesi Doldurulmuş Beyaz Heslemeli Alan Alanı (My-Salesforce-CMS.com)
Süresi dolmuş alan, potansiyel kötü niyetli kontrol altındayken güvenilir statüyü koruduğu için veri açığa çıkması için çok önemli olduğunu kanıtladı.
Saldırganlar hassas bilgileri çalmak için görünüşte meşru iletişim yolları oluşturabilirler.
Salesforce AgentForce kullanan kuruluşlar, web’den başa işlevselliğe sahip kuruluşlar, özellikle satış, pazarlama ve müşteri edinme iş akışlarında olmak üzere önemli risklerle karşı karşıyadır.
Başarılı sömürü, müşteri iletişim bilgilerini, satış boru hattı verilerini, dahili iletişim ve tarihsel etkileşim kayıtlarını ortaya çıkarabilir.
Temmuz 2025’te bildirim üzerine Salesforce, Eylül 2025’te hemen araştırıldı ve yayınladı.
Şirket, güvenilmeyen URL’lere çıktı iletimini önlemek ve süresi dolmuş beyaz liste alanını yeniden korumayı önlemek için AgentForce ve Einstein AI için güvenilir URL’ler uygulamasını uyguladı.
Kuruluşlar, AgentForce için güvenilir URL’leri uygulamak için Salesforce’un önerdiği güvenlik güncellemelerini derhal uygulamalıdır.
Ek koruyucu önlemler arasında şüpheli gönderimler için mevcut olası satış verilerinin denetlenmesi, katı giriş validasyonu uygulanması ve güvenilmeyen kaynaklardan veri sterilize edilmesi yer alır.
Bu güvenlik açığı, AI ajanlarının geleneksel sistemlere kıyasla temelde farklı güvenlik zorlukları sunduğunu ve AI-entegre iş ortamlarında tehdit modelleme ve güvenlik kontrollerine yeni yaklaşımlar gerektirdiğini vurgulamaktadır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.