Los investigadores de ciberseguridad han revelado una falla crítica que impacta en Salesforce Fuerza de agenteuna plataforma para construir agentes de inteligencia artificial (IA), que podría permitir a los atacantes exfiltrar datos confidenciales de su herramienta de gestión de relaciones con el cliente (CRM) mediante una inyección indirecta de inmediato.
La vulnerabilidad ha sido nombrada en código Forzado (Puntuación CVSS: 9.4) por Noma Security, que descubrió e informó el problema el 28 de julio de 2025. Impacta a cualquier organización utilizando Salesforce AgentForce con el Funcionalidad web a favor activado.
«Esta vulnerabilidad demuestra cómo los agentes de IA presentan una superficie de ataque fundamentalmente diferente y ampliada en comparación con los sistemas tradicionales de respuesta rápida», Sasi Levi, lidera de investigación de seguridad en Noma, dicho En un informe compartido con The Hacker News.
Una de las amenazas más graves que enfrentan los sistemas generativos de inteligencia artificial (Genai) hoy es inyección indirecta de inmediatocual ocurre Cuando las instrucciones maliciosas se insertan en fuentes de datos externas accedidas por el Servicio, lo que hace que genere un contenido prohibido o tome acciones no deseadas.
La ruta de ataque demostrada por Noma es engañosamente simple, ya que coaxera el campo de descripción en forma web a líder para ejecutar instrucciones maliciosas por medio de una inyección rápida, lo que permite a un actor de amenaza que filtre datos confidenciales y lo exfiltren a un dominio de alquiler con permiso relacionado con la fuerza de ventas que había expirado y disponible para comprar por $ 5.
Esto tiene lugar en cinco pasos –
- El atacante envía un formulario web a plomo con una descripción maliciosa
- Los procesos internos de los empleados lideran el uso de una consulta de IA estándar para procesar los leads entrantes
- Agentforce ejecuta instrucciones legítimas y ocultas
- Consultas del sistema CRM para información confidencial de plomo
- Transmita los datos al dominio ahora controlado por el atacante en forma de imagen PNG
«Al explotar las debilidades en la validación de contexto, el comportamiento del modelo de IA excesivamente permisivo y un derivado de la política de seguridad de contenido (CSP), los atacantes pueden crear presentaciones maliciosas de web a liderazgo que ejecutan comandos no autorizados cuando Agentforce procesan», dijo Noma.
«El LLM, que funciona como un motor de ejecución directo, carecía de la capacidad de distinguir entre datos legítimos cargados en su contexto e instrucciones maliciosas que solo deberían ejecutarse a partir de fuentes confiables, lo que resulta en una fuga de datos confidentes críticas».
Desde entonces, Salesforce ha reescribido el dominio expirado, lanzados parches que evitan la producción en Agentforce y los agentes de Einstein AI que se envían a URL no confiables al hacer cumplir un mecanismo de la lista de alquiler de URL.
«Nuestros servicios subyacentes impulsan la fuerza de agente de la Force de la URL de confianza para garantizar que no se llamen o generen vínculos maliciosos a través de una inyección rápida potencial», la compañía dicho en una alerta emitida a principios de este mes. «Esto proporciona un control crucial de defensa en profundidad contra los sistemas de clientes que escapan de datos confidenciales a través de solicitudes externas después de una inyección inmediata».
Además de aplicar las acciones recomendadas de Salesforce para hacer cumplir las URL de confianza, se recomienda a los usuarios para auditar los datos de plomo existentes para envíos sospechosos que contienen instrucciones inusuales, implementan una validación de entrada estricta para detectar una posible inyección rápida y desinfectar datos de fuentes no confiables.
«La vulnerabilidad forzada destaca la importancia de la seguridad y el gobierno proactivos de la IA», dijo Levi. «Sirve como un fuerte recordatorio de que incluso un descubrimiento de bajo costo puede evitar millones en posibles daños por incumplimiento».
En una declaración compartida con Hacker News, Itay Ravia, Jefe de AIM Labs, describió Forcedleak como una variante del ataque Echoleak, pero que está específicamente orientado a Salesforce.
«Cuando AIM Labs reveló Ecolea (CVE-2025-32711), la primera vulnerabilidad de IA de clic cero que permite la exfiltración de datos, dijimos que esta clase de vulnerabilidad no estaba aislada a Microsoft «, dijo Ravia.
«En nuestras investigaciones, ha quedado bastante claro que muchas otras plataformas de agentes también son susceptibles. ForcedLeak es un subconjunto de estas mismas primitivas de ecoleak. Estas vulnerabilidades son endémicas para los agentes basados en el trapo y veremos más en los agentes populares debido a la mala comprensión de las dependencias y la necesidad de los Buinteres».
Fuente