Los investigadores de ciberseguridad han revelado una falla crítica que afecta a Salesforce Fuerza de agentes , una plataforma para crear agentes de inteligencia artificial (IA) que podría permitir a los atacantes extraer potencialmente datos confidenciales de su herramienta de gestión de relaciones con los clientes (CRM) mediante una inyección inmediata indirecta.
La vulnerabilidad tiene un nombre en código Fuga forzada (puntuación CVSS: 9,4) de Noma Security, que descubrió e informó del problema el 28 de julio de 2025. Afecta a cualquier organización que utilice Salesforce Agentforce con Funcionalidad Web-to-Lead habilitada.
«Esta vulnerabilidad demuestra cómo los agentes de IA presentan una superficie de ataque fundamentalmente diferente y ampliada en comparación con los sistemas tradicionales de respuesta rápida», dijo Sasi Levi, líder de investigación de seguridad de Noma, dijo en un informe compartido con The Hacker News.
Una de las amenazas más graves a las que se enfrentan los sistemas de inteligencia artificial generativa (GenAI) en la actualidad es inyección inmediata indirecta , que ocurre cuando se insertan instrucciones malintencionadas en fuentes de datos externas a las que accede el servicio, lo que hace que genere contenido que de otro modo estaría prohibido o tome medidas no deseadas.
La ruta de ataque demostrada por Noma es engañosamente sencilla, ya que hace que el campo Descripción, en formato Web-to-Lead, ejecute instrucciones malintencionadas mediante una inyección rápida, lo que permite a un actor de amenazas filtrar datos confidenciales y filtrarlos a un dominio incluido en la lista de permitidos relacionado con Salesforce que había caducado y estaba disponible para su compra por tan solo 5 dólares.
Esto se lleva a cabo en cinco pasos -
- El atacante envía un formulario Web-to-Lead con una descripción maliciosa
- Los empleados internos procesan a los clientes potenciales mediante una consulta de IA estándar para procesar los clientes potenciales entrantes
- Agentforce ejecuta instrucciones tanto legítimas como ocultas
- El sistema consulta el CRM para obtener información confidencial sobre clientes potenciales
- Transmita los datos al dominio ahora controlado por el atacante en forma de una imagen PNG
«Al aprovechar las debilidades en la validación del contexto, el comportamiento excesivamente permisivo de los modelos de IA y la elusión de la Política de Seguridad del Contenido (CSP), los atacantes pueden crear envíos maliciosos de Web a Lead que ejecutan comandos no autorizados cuando Agentforce los procesa», afirma Noma.
«El LLM, que funcionaba como un motor de ejecución sencillo, carecía de la capacidad de distinguir entre los datos legítimos cargados en su contexto y las instrucciones maliciosas que solo deberían ejecutarse desde fuentes confiables, lo que provocó una filtración de datos confidenciales críticos».
Desde entonces, Salesforce ha vuelto a proteger el dominio caducado y ha lanzado parches que impiden que los resultados de los agentes de IA de Agentforce y Einstein se envíen a URL que no son de confianza mediante la aplicación de un mecanismo de lista de URL permitidas.
«Nuestros servicios subyacentes que impulsan a Agentforce aplicarán la lista de URL permitidas de confianza para garantizar que no se invoquen ni generen enlaces maliciosos mediante una posible inyección inmediata», dijo la empresa dijo en una alerta emitida a principios de este mes. «Esto proporciona una defensa crucial y un control exhaustivo contra los datos confidenciales que se escapan a los sistemas de los clientes a través de solicitudes externas tras una inyección rápida y exitosa».
Además de aplicar las acciones recomendadas por Salesforce para hacer cumplir las URL confiables, se recomienda a los usuarios que auditen los datos de clientes potenciales existentes para detectar envíos sospechosos que contengan instrucciones inusuales, implementen una validación de entrada estricta para detectar una posible inyección rápida y desinfecten los datos de fuentes no confiables.
«La vulnerabilidad ForcedLeak resalta la importancia de la seguridad y la gobernanza proactivas de la IA», dijo Levi. «Sirve como un claro recordatorio de que incluso un descubrimiento de bajo coste puede evitar millones de dólares en posibles daños por violación de datos».