Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
AgentForce Ajan AI Aracı dolaylı hızlı enjeksiyon saldırılarına maruz kaldı
Mathew J. Schwartz (Euroinfosec) •
26 Eylül 2025
Salesforce, saldırganların müşteri verilerini çalmasına izin verecek ve CRM sisteminde depolanan olası satışları içeren ajan aracısı yapay zeka aracını içeren bir güvenlik açığı yamaladı.
Ayrıca bakınız: Ondemand | AI ile çalışan siber saldırılar tehdidinde gezin
AI Güvenlik Platformu satıcısı NOMA Labs’ın bir raporu, keşfettiği ve ForcedLeak olarak adlandırdığı dolaylı hızlı enjeksiyon güvenlik açıkları zincirini detaylandırıyor. Araştırmacılar, 28 Temmuz’da CRM devine kusur bildirdi ve CVSS eşdeğeri 9.4 puan alacağını hesapladılar.
Salesforce, güvenlik açığını araştırdığını ve AgentForce Ajan AI araç inşası ve Einstein üretken AI aracı için 8 Eylül’e kadar düzeltmeleri yerine getirdiğini söyledi.
Bir sözcü bilgi güvenliği medyası grubuna verdiği demeçte, “Salesforce, Noma tarafından bildirilen güvenlik açığının farkında ve ajan firması ajanlarındaki çıktının güvenilmeyen URL’lere gönderilmesini önleyen yamalar yayınladı.” Dedi. “Hızlı enjeksiyon için güvenlik manzarası karmaşık ve gelişen bir alan olmaya devam ediyor ve güçlü güvenlik kontrollerine yatırım yapmaya devam ediyoruz.”
Salesforce, AgentForce’u insan girdisine ihtiyaç duymadan çeşitli görevleri yerine getirebilen AI ajanları oluşturmak için tasarlanmış bir “ajan oluşturucu” olarak tanımlamaktadır. İşlevsellik, Salesforce platformunun herhangi bir yönü ile arayüz oluşturabilen bir Ajan AI katmanı olarak hizmet eder.
Salesforce, “Bu akıllı ajanlar, basit soruları cevaplamaktan karmaşık sorunları çözmeye – hatta çoklu görev hatası bile içerebilir.” Dedi. “En önemlisi, kendi kendine öğrenme yoluyla kendi performanslarını sürekli olarak geliştirebilirler. Bu, belirli görevler için insan girişi gerektiren geleneksel AI’dan farklıdır.”
Dolaylı hızlı bir enjeksiyon kullanarak otonom ajan force AI ajanlarından yararlanmak, araştırmacıların birkaç adım atmasını gerektiriyordu.
NOMA Labs, “Salesforce’un web sitesi ziyaretçileri, konferans katılımcıları veya potansiyel müşteriler gibi harici kullanıcıların CRM sistemiyle doğrudan entegre olan olası bilgiler göndermesine izin veren web’den başa özel özelliği etkinleştirdik.” Dedi. “Bu özellik, dış kaynaklardan potansiyel müşteri bilgilerini yakalamak için konferanslarda, fuarlarda ve pazarlama kampanyalarında yaygın olarak kullanılmaktadır.”
Araştırmacılar, Salesforce’un web’den başa formuna, 42.000 karakter sınırına sahip bir “açıklama” alanının, içinde kötü niyetli bir yük enjekte edebilecekleri, AgentForce’a bir dizi hassas veri toplamasını ve belirlenmiş bir sunucuya göndermelerini söylediklerini buldular. Sistem olası satış verilerini işledikten sonra, hassas bilgileri saldırgan kontrollü bir sunucuya göndererek bunu yapar.
Noma Labs, “Basit bir yürütme motoru olarak çalışan LLM, bağlamına yüklenen meşru veriler ile yalnızca güvenilir kaynaklardan yürütülmesi gereken kötü niyetli talimatlar arasında ayrım yapma yeteneğinden yoksundu.
Araştırmacılar, normalde, bu tür bir saldırının Salesforce’un içerik güvenlik politikası tarafından engelleneceğini söyledi. Bu politikayı incelerken, alan adını beyaz listelediğini buldular my-salesforce-cms.comSalesforce’un sahipliğini korumayı ihmal ettiği, bu da herkesin kaydolması için kullanılabilir hale gelmesine neden oldu. Araştırmacılar bunu 5 $ karşılığında yaptılar ve veri açma kavram kanıtı saldırısının başarılı olmasına izin veren beyaz listeli bir eksfiltrasyon kanalı kazandılar.
Araştırmacılar, “Salesforce, süresi dolmuş beyaz liste alanı yeniden sağladı, potansiyel pesfiltrasyon riskini azalttı.” Dedi.
Salesforce, bu kontrollerin, araçların herhangi bir harici içerik çağırmasını veya üretmesini engelleyerek, “potansiyel hızlı enjeksiyon yoluyla kötü niyetli bağlantıların çağrılmamasını veya üretilmemesini sağlamak için” tasarlanmış “AgentForce ve Einstein için tasarlanmış yeni bir güvenilir URL izin listesi içerdiğini söyledi. Bu, harici belgelere veya sistemlere bağlantılara sahip herhangi bir iş akışını, onaylanmamış bir URL’yi içeren bir aracı yanıtına sahip iş akışlarını ve “harici, kaleforce olmayan alanlardan görüntüler veya zengin içerik üreten” iş akışlarını içerir.
Salesforce, geçici bir çözüm olarak, müşterilerin Salesforce ORG izinleri arasında uygulanacak güvenilir bir URL listesine harici URL’ler ekleyebileceğini söyledi.
Dolaylı hızlı enjeksiyon riskleri
Dolaylı hızlı enjeksiyon saldırıları, özellikle satıcılar kullanıcı girişi olmadan hareket etmek üzere tasarlanmış ajan özellikleri ekledikçe, birçok AI aracı için tekrarlanan bir sorundur.
Qualys Güvenlik Araştırma Müdürü Mayursh Dani, “Bu güvenlik açığının açıklanması bize yeni ve gelişmekte olan teknolojilerin sahip olduğu saldırı yüzeyinin genişliğini gösteriyor.” Dedi.
Taze özellikler yeni potansiyel tehdit vektörleri anlamına gelebilir. NOMA’dan Ciso, Diana Kelley, LinkedIn’e yaptığı bir yazıda, “Peter Parker’ın bilge amcası Ben’in dediği gibi: ‘Büyük güçle büyük sorumluluk geliyor'” dedi.
Kelley, “Otonom ajan AI sistemlerinin büyük gücü ve vaadi, ancak bu özerklikle ilgili sorumlulukları anlarsak ve yönetirsek gerçekleştirilebilir.” Dedi. Google Haziran ayında Google, bir araştırmacı, okunmamış e -postalarının bir özetini talep ettiklerinde son kullanıcılara aldatıcı mesajlar vermeyi kandırmanın bir yolunu keşfettikten sonra Gemini LLM’sine yeni savunmalar ekleyeceğini duyurdu (bkz: bkz:: İkizler ile e -postaları özetliyor musunuz? Hızlı enjeksiyon riskine dikkat edin).
Google, “Bir saldırganın kötü niyetli komutları doğrudan hızlı bir şekilde girdiği, dolaylı bir istemi enjeksiyonlarının harici veri kaynakları içinde gizli kötü niyetli talimatlar içerdiği doğrudan hızlı enjeksiyonların aksine.” Dedi. Diyerek şöyle devam etti: “Bunlar, AI’ye kullanıcı verilerini dışarı atmasını veya diğer haydut eylemleri yürütmesini söyleyen e -postalar, belgeler veya takvim davetlerini içerebilir.”
O zamanlar 0din’deki Genai Bug Bounty Programları yöneticisi Marco Figueroa, “Hızlı enjeksiyonlar yeni e -posta makroları” dedi. 2024 yılında Mozilla tarafından başlatılan üretken bir yapay zeka böcek platformu olan 0din, Gemini hata raporunu koordine etti.
Figueroa, “LLM’lerin sağlam bağlam izolasyonu kazanana kadar, model yutmalarınızın her üçüncü taraf metin parçası yürütülebilir koddur. Güvenlik ekipleri, AI asistanlarına saldırı yüzeyinin bir parçası olarak ele almalı, bunları enstrüman, bunları sandbox ve asla çıktılarının iyi huylu olduğunu varsaymalıdır.” Dedi.