Falha ForcedLeak no agente de IA do Salesforce Agentforce expôs dados de CRM
Uma vulnerabilidade chamada ForcedLeak foi descoberta recentemente no Salesforce Agentforce, um sistema baseado em IA projetado para lidar com tarefas empresariais complexas em ambientes de CRM. A Noma Security identificou a falha crítica, inicialmente classificada como CVSS 9.1 e posteriormente atualizada para 9.4, permitindo que invasores remotos roubassem dados privados de CRM. A empresa compartilhou sua pesquisa com o Hackread.com.
O problema reside na forma autônoma como os agentes de IA trabalham. Ao contrário de chatbots simples, que são sistemas de "resposta rápida", esses agentes podem "raciocinar, planejar e executar tarefas empresariais complexas", tornando-os um alvo consideravelmente maior. O problema central aqui era um ataque indireto de injeção de prompt , que ocorre quando uma instrução incorreta é secretamente inserida em dados que o sistema de IA processa posteriormente.
No caso do Agentforce, os invasores utilizaram o recurso Web-to-Lead, comumente habilitado, que permite que visitantes do site enviem informações que vão diretamente para o CRM. Ao inserir código malicioso em um campo de entrada grande, como a caixa Descrição, o invasor armou uma armadilha. Quando um funcionário posteriormente fazia uma pergunta normal ao agente de IA sobre os dados do lead, o agente erroneamente tratava a instrução oculta como parte de seu trabalho.
De acordo com a publicação no blog da Noma Security, seus pesquisadores descobriram que a IA não conseguia diferenciar "dados legítimos carregados em seu contexto de instruções maliciosas". Para comprovar o risco, eles executaram uma Prova de Conceito (PoC), usando código malicioso para forçar a IA a obter dados confidenciais de CRM, como endereços de e-mail. O código induziu a IA a inserir os dados dentro do endereço da web para uma imagem. Quando o sistema visualizou a imagem, os dados privados foram transmitidos ao servidor dos pesquisadores, confirmando o roubo bem-sucedido.
Os dados em risco incluíam informações confidenciais, como detalhes de contato do cliente, dados do pipeline de vendas que revelavam estratégias de negócios, comunicações internas e registros históricos. A vulnerabilidade afetou qualquer organização que utilizasse o Salesforce Agentforce com o recurso Web-to-Lead habilitado, especialmente as de vendas e marketing.
O ataque também envolveu a exploração de uma parte desatualizada das regras de segurança do sistema ( Política de Segurança de Conteúdo , ou CSP). Os pesquisadores descobriram que um domínio (my-salesforce-cms.com) que ainda era considerado "confiável" havia expirado e estava disponível para compra por apenas US$ 5. Um invasor poderia usar esse domínio expirado, mas confiável, para enviar secretamente dados roubados para fora do sistema.
Após ser informada sobre o problema em 28 de julho de 2025, a Salesforce investigou rapidamente. Em 8 de setembro de 2025, a empresa implementou correções , incluindo a imposição de "URLs confiáveis" para o Agentforce e sua IA Einstein , para impedir o envio de dados para endereços da web não confiáveis, e a proteção do domínio expirado.
A empresa aconselhou os usuários a "imporem imediatamente URLs confiáveis para Agentforce e Einstein AI" e auditarem todos os dados de leads existentes em busca de envios incomuns. A vulnerabilidade foi divulgada em 25 de setembro de 2025.
A falha ForcedLeak é particularmente importante de ser discutida à luz das enormes violações de dados vinculadas à Salesforce que surgiram este ano. A Salesforce está no centro das operações comerciais de milhares de organizações, armazenando registros confidenciais de clientes, informações financeiras e estratégias de vendas.
Uma vulnerabilidade em seu sistema Agentforce com tecnologia de IA significa que invasores podem explorar uma plataforma confiável não apenas para roubar registros isolados, mas para automatizar a extração de dados em larga escala por meio de processos comerciais diários.
Como os dados de CRM geralmente são as joias da coroa das empresas, combinar vulnerabilidades de IA com ambientes Salesforce já de alto valor aumenta muito o risco, tornando essencial que as organizações reavaliem sua exposição e controles de segurança.
“É aconselhável proteger os sistemas em torno dos agentes de IA em uso, que incluem APIs, formulários e middleware, para que a injeção imediata seja mais difícil de explorar e menos prejudicial se for bem-sucedida”, disse Chrissa Constantine , arquiteta sênior de soluções de segurança cibernética da Black Duck.
Ela enfatizou que a verdadeira prevenção consiste em manter a configuração e estabelecer proteções em torno do design do agente, da cadeia de fornecimento de software, do aplicativo web e dos testes de API.
HackRead
