Salesforce Agentforce 協助企業建置和部署跨銷售、行銷和商務等職能的自主 AI 代理。這些代理可以獨立完成多步驟任務，無需人工持續干預。Noma 研究人員發現的 ForcedLeak 攻擊方法涉及 Agentforce 的 Web-to-Lead 功能，在名為 ForcedLeak 的攻擊中，攻擊者利用提示注入和過期網域來竊取 Salesforce 資料。 攻擊者可以濫用使用 Web-to-Lead 功能建立的表單來提交特製的信息，當 Agentforce 代理處理這些資訊時，會導致他們代表攻擊者執行各種操作。當員工要求 Agentforce 處理包含惡意負載的線索時，會觸發提示注入，並且儲存在 CRM 中的資料會被收集並洩漏到攻擊者的伺服器。
 

Noma研究人員發現，透過這種方法，攻擊者可以強制AI代理從Salesforce的CRM系統中提取敏感資訊，並將其傳送到攻擊者控制的過期網域。這一發現凸顯了在將AI代理整合到企業營運中時，對其安全防護和潛在濫用向量進行徹底評估的必要性。特別是，提示注入（Prompt Injection）被證明是此類攻擊的關鍵漏洞，攻擊者可以透過巧妙設計的輸入，繞過AI的安全措施，使其執行非預期的操作。
 

ForcedLeak 攻擊的核心利用了 Salesforce 中Web-to-Lead表單的固有特性。當企業利用這些表單從其網站捕獲潛在客戶資訊時，這些資訊通常會自動匯入 Salesforce CRM。透過提示注入，攻擊者可以在Web-to-Lead表單中嵌入惡意指令，當AI代理處理這些潛在客戶時，便會被欺騙執行惡意任務。由於AI代理在設計上具備高度自主性，能夠存取CRM中的資料，並執行多步驟任務，這使得惡意指令一旦成功注入，便能對企業數據造成廣泛影響。例如，AI代理可能被指示查詢特定客戶的詳細資訊，然後將這些資訊透過HTTP請求發送到攻擊者控制的網域。由於這些網域通常是過期的，攻擊者可以重新註冊它們，從而接收到AI代理洩漏的敏感資料。
 

更為複雜的是，攻擊者可以利用AI代理的自動化能力進行多步驟的資料竊取。例如，攻擊者可以要求AI代理總結特定客戶的購買歷史，然後將該摘要發送到指定的電子郵件地址或URL。這種攻擊方式對企業數據的機密性、完整性和可用性構成嚴重威脅，因為它不僅可能導致客戶資料洩露，也可能讓攻擊者得以操縱AI代理執行其他惡意操作，例如篡改數據或發送惡意訊息。

為了應對 ForcedLeak 攻擊，Salesforce 已經發布了相關的安全更新和建議，但這仍然需要企業採取積極的防禦措施：

1. 加強提示注入防護： 實施更嚴格的輸入驗證和過濾機制，以檢測並阻止惡意提示注入。這可能包括使用行為分析、語義分析或白名單方法來篩選AI代理接收的指令。

2. 限制AI代理權限： 對AI代理的存取權限實施最小權限原則，確保它們只能存取執行任務所需的最低限度數據，並限制其對外部資源的存取能力。

3. 定期監控AI代理行為： 實施強大的監控系統，追蹤AI代理的所有活動，特別是它們對CRM數據的存取和與外部網域的通訊。任何異常行為都應立即觸發警報。

4. 審核Web-to-Lead表單安全性： 定期審查所有Web-to-Lead表單的配置，確保它們沒有被惡意操縱的潛在風險。

5. 使用者教育與意識提升： 培訓員工識別潛在的提示注入攻擊，並告知他們在處理來自外部來源的資訊時應保持警惕。

ForcedLeak 攻擊是對AI驅動型企業解決方案安全性的嚴峻考驗。隨著AI代理在企業中扮演越來越核心的角色，確保這些系統的安全性將成為企業資訊安全策略的重中之重。