Pesquisadores de cibersegurança revelaram uma falha crítica que afeta o Salesforce Agentforce, plataforma para criação de agentes de inteligência artificial (AI), e que pode permitir a exfiltração de dados sensíveis da ferramenta de CRM por meio de uma injeção de prompt indireta.
A vulnerabilidade, batizada de ForcedLeak (pontuação CVSS: 9,4) pela empresa Noma Security, foi descoberta e reportada em 28 de julho de 2025.
Ela impacta qualquer organização que utilize o Salesforce Agentforce com a funcionalidade Web-to-Lead ativada.
Segundo Sasi Levi, líder de pesquisa em segurança da Noma, em relatório compartilhado com o The Hacker News, “essa falha demonstra como agentes de AI apresentam uma superfície de ataque muito mais ampla e diferente em comparação com sistemas tradicionais de prompt-resposta.”
Uma das maiores ameaças atuais aos sistemas de inteligência artificial generativa (GenAI) é a injeção indireta de prompt.
Essa técnica acontece quando instruções maliciosas são inseridas em fontes externas de dados acessadas pelo serviço, levando a AI a gerar conteúdos proibidos ou executar ações não intencionais.
No caso demonstrado pela Noma, o ataque ocorre por meio do campo Description (Descrição) no formulário Web-to-Lead.
Com a injeção de prompt, um invasor insere comandos maliciosos que acabam sendo executados, possibilitando o vazamento de dados críticos.
O ataque ainda conta com o uso de um domínio relacionado à Salesforce, que havia expirado e foi comprado pelo atacante por apenas US$ 5.
O processo de ataque envolve cinco etapas:
1. O invasor envia o formulário Web-to-Lead com uma descrição maliciosa.
2. Um funcionário interno processa o lead usando uma consulta AI padrão para analisar os dados recebidos.
3. O Agentforce executa tanto as instruções legítimas quanto as ocultas maliciosas.
4. O sistema consulta o CRM para obter informações sensíveis do lead.
5. Os dados são transmitidos para o domínio controlado pelo invasor, disfarçados em uma imagem PNG.
De acordo com a Noma, “explorando falhas na validação de contexto, comportamentos permissivos do modelo AI e uma falha na Content Security Policy (CSP), os atacantes conseguem criar envios de Web-to-Lead maliciosos que executam comandos não autorizados quando processados pelo Agentforce”.
Os modelos de linguagem grande (LLM) usados na plataforma funcionavam como um motor de execução simples e não conseguiam diferenciar dados legítimos de comandos maliciosos inseridos no contexto, resultando no vazamento de informações sensíveis.
Desde então, a Salesforce tomou medidas para proteger o domínio expirado e lançou patches que impedem que informações processadas por agentes Agentforce e Einstein AI sejam enviadas para URLs não confiáveis, por meio de um mecanismo de lista de permissões (allowlist) de URLs.
“Ao implementar a allowlist de URLs confiáveis, nossos serviços fundamentais garantem que nenhum link malicioso seja chamado ou gerado durante eventuais injeções de prompt”, afirmou a Salesforce em alerta divulgado neste mês.
“Essa medida traz uma camada crucial de defesa para evitar que dados sensíveis dos clientes escapem via solicitações externas após uma injeção bem-sucedida.”
Além de aplicar as recomendações da Salesforce para uso da allowlist, os usuários devem revisar os dados de leads já cadastrados em busca de envios suspeitos com instruções incomuns.
Também é essencial adotar validação rigorosa de entrada para identificar possíveis injeções de prompt e higienizar dados oriundos de fontes não confiáveis.
“Essa vulnerabilidade ForcedLeak ressalta a importância de uma postura proativa em segurança e governança de AI”, destaca Levi.
“Ela reforça que, mesmo descobertas de baixo custo podem impedir prejuízos milionários decorrentes de vazamentos.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...