Siber güvenlik araştırmacıları, saldırganların dolaylı bir bilgi istemi enjeksiyonu ile müşteri ilişkileri yönetimi (CRM) aracından potansiyel olarak duyarlı verileri potansiyel olarak püskürtmek için yapay zeka (AI) ajanları inşa etmek için bir platform olan Salesforce AgentForce’u etkileyen kritik bir kusuru açıkladılar.
Güvenlik açığı kodlandı Zorunlu (CVSS Puanı: 9.4) 28 Temmuz 2025’te sorunu keşfeden ve bildiren Noma Security tarafından.
Hacker News ile paylaşılan bir raporda, “Bu güvenlik açığı, AI ajanlarının geleneksel hızlı yanıt sistemlerine kıyasla temelde farklı ve genişletilmiş bir saldırı yüzeyi nasıl sunduğunu gösteriyor.” Dedi.
Günümüzde üretken yapay zeka (GENAI) sistemlerinin karşılaştığı en şiddetli tehditlerden biri, hizmet tarafından erişilen harici veri kaynaklarına kötü niyetli talimatlar eklendiğinde ortaya çıkan ve etkili bir şekilde yasaklanmış içerik üretmesine veya istenmeyen işlemler yapmasına neden olan dolaylı hızlı enjeksiyondur.
NOMA tarafından gösterilen saldırı yolu, hızlı bir enjeksiyon yoluyla kötü niyetli talimatları çalıştırmak için web’den başa açık bir şekilde açıklama alanını, bir tehdit oyuncusunun hassas verileri sızdırmasına ve 5 $ ‘a kadar satın alınmış olan Salesforce ile ilgili izin verilen bir alana sunmasına izin vermesi nedeniyle aldatıcı bir şekilde basittir.
Bu beş adımdan fazla gerçekleşir –
- Saldırgan, kötü niyetli bir açıklama ile web’den başa forma gönderir
- Dahili çalışan süreçleri, gelen olası satışları işlemek için standart bir AI sorgusu kullanarak lider
- AgentForce hem meşru hem de gizli talimatları yürütür
- Hassas olası bilgiler için sistem CRM sorgular
- Verileri PNG görüntüsü şeklinde şimdi saldırgan kontrollü alana iletin
Noma, “Bağlam doğrulamasındaki zayıflıklardan yararlanarak, aşırı izin veren AI model davranışı ve bir İçerik Güvenliği Politikası (CSP) bypass, saldırganlar aracı tarafından işlendiğinde yetkisiz komutlar yürüten kötü niyetli web’den sözlere gönderimler oluşturabilirler.” Dedi.
“Basit bir yürütme motoru olarak çalışan LLM, bağlamına yüklenen meşru veriler ile yalnızca güvenilir kaynaklardan yürütülmesi gereken kötü niyetli talimatlar arasında ayrım yapma yeteneğinden yoksundu.
Salesforce, o zamandan beri süresi dolmuş alanı yeniden sağladı, AgentForce ve Einstein AI ajanlarındaki çıktının bir URL izin listesi mekanizmasını uygulayarak güvenilmeyen URL’lere gönderilmesini önleyen yamalar sundu.
Şirket, bu ayın başlarında yayınlanan bir uyarıda, “Temel hizmetler güçlendirme aracısı, potansiyel hızlı enjeksiyon yoluyla kötü niyetli bağlantıların çağrılmamasını veya üretilmemesini sağlamak için güvenilir URL izin listesini uygulayacak.” Dedi. “Bu, başarılı bir enjeksiyondan sonra dış talepler aracılığıyla müşteri sistemlerinden kaçan hassas verilere karşı derinlemesine bir savunma kontrolü sağlar.”
Salesforce’un güvenilir URL’leri uygulamak için önerilen eylemlerini uygulamanın yanı sıra, kullanıcıların olağandışı talimatlar içeren şüpheli gönderimler için mevcut olası satış verilerini denetlemeleri, olası bilgi istemi enjeksiyonunu tespit etmek için katı giriş validasyonu uygulamaları ve güvenilmeyen kaynaklardan verileri sterilize etmeleri önerilir.
Levi, “ConccedLeak güvenlik açığı proaktif AI güvenliği ve yönetişiminin önemini vurguluyor.” Dedi. Diyerek şöyle devam etti: “Düşük maliyetli bir keşifin bile milyonlarca insanın potansiyel ihlal hasarlarını önleyebileceğini hatırlatıyor.”