Salesforce corrige la crítica vulnerabilidad «ForcedLeak» en Agentforce que podría exponer datos del CRM mediante inyección de prompts indirecta

Salesforce corrige la crítica vulnerabilidad «ForcedLeak» en Agentforce que podría exponer datos del CRM mediante inyección de prompts indirecta

Qué ocurrió

Investigadores de ciberseguridad de Noma Security revelaron una vulnerabilidad crítica en Salesforce Agentforce —la plataforma del proveedor para construir agentes impulsados por IA— que podría permitir a atacantes exfiltrar información sensible de una instancia de Salesforce CRM conectada aprovechando una forma indirecta de inyección de prompts. El problema, identificado por Noma como «ForcedLeak» y con una puntuación CVSS de 9,4, fue corregido por Salesforce tras la divulgación.

ForcedLeak (CVSS 9,4): una vía de inyección de prompts indirecta que puede provocar que el comportamiento del agente revele datos protegidos del CRM a un adversario.

Antecedentes y contexto: por qué importa

La inyección de prompts es una clase de ataques específica de sistemas que usan modelos de lenguaje de gran tamaño (LLMs) u otros componentes de IA generativa. En una inyección de prompts, un atacante inserta contenido manipulado en un canal de entrada o en una fuente de recuperación que el modelo de IA ingiere; el contenido malicioso hace que el modelo ignore las restricciones previstas o divulgue información que no debería.

Las plataformas de agentes como Salesforce Agentforce están diseñadas para que las organizaciones construyan asistentes automatizados que puedan recuperar, sintetizar y actuar sobre datos del CRM. Esa integración estrecha es también lo que convierte a dichas plataformas en objetivos atractivos: los sistemas CRM contienen rutinariamente información identificable personalmente, registros financieros, historiales de ventas y soporte, y otros datos sensibles para el negocio. Un ataque de exfiltración exitoso contra un agente con acceso a datos del CRM podría exponer una amplia gama de registros confidenciales.

Visión técnica y análisis para profesionales

La divulgación caracteriza ForcedLeak como una inyección de prompts indirecta. En la práctica, las inyecciones indirectas se producen cuando un adversario no puede introducir directamente prompts en la interfaz de chat del modelo, pero sí puede influir en el contenido que el agente recupera como parte de su proceso de toma de decisiones (por ejemplo, documentos externos, artículos de bases de conocimiento o registros enviados por usuarios). Cuando ese contenido recuperado no se sanea o no se somete a restricciones adecuadas, puede contener instrucciones que el agente sigue, lo que resulta en divulgación u otros comportamientos inseguros.

• Superficie de ataque: Los agentes que recuperan de forma autónoma contexto de registros del CRM, bases de conocimiento o fuentes web externas amplían la superficie de ataque. Cualquiera de esas fuentes puede contener cargas útiles manipuladas.
• Encadenamiento de privilegios: Los permisos del agente determinan cuánto datos sensibles podría obtener un adversario. Un agente con amplio acceso de lectura a los objetos del CRM es mucho más valioso para un atacante que uno limitado a un ámbito pequeño y no sensible.
• Modos de fallo: Los modos de fallo comunes incluyen la falta de validación del contenido, la separación insuficiente entre instrucciones y datos, y la ejecución automatizada de salidas del modelo sin confirmación humana.

Para los equipos de seguridad, la idea principal es que la presencia de un LLM o un agente de IA en el flujo de datos introduce nuevos límites de confianza. El filtrado tradicional de aplicaciones y los controles basados en roles siguen siendo necesarios, pero no siempre son suficientes para mitigar ataques que se dirigen al comportamiento interpretativo del modelo.

Incidentes comparables y contexto sectorial

Los ataques de inyección de prompts y otras interacciones adversariales con LLMs han sido un tema recurrente en la investigación de seguridad desde la adopción generalizada de sistemas basados en LLM. Investigadores y profesionales han demostrado formas en que entradas maliciosas o fuentes de recuperación manipuladas pueden alterar el comportamiento del modelo o causar la divulgación de información. Estas investigaciones han llevado a proveedores y clientes a tratar las canalizaciones de agentes y recuperación con el mismo nivel de escrutinio que las superficies de ataque web y de API.

De forma más amplia, la comunidad de seguridad ha subrayado repetidamente que la IA introduce nuevos riesgos operativos incluso cuando automatiza tareas que antes realizaban humanos. Las organizaciones que exponen sistemas sensibles a la automatización impulsada por IA deben anticipar que adversarios dirigidos intentarán manipular los flujos de datos de esos sistemas.

Recomendaciones y mitigaciones prácticas

Responder a ForcedLeak y prevenir problemas similares requiere actualizaciones coordinadas del producto por parte de los proveedores y controles defensivos por parte de los clientes. Las siguientes recomendaciones están dirigidas a profesionales que construyen u operan agentes de IA conectados a CRM u otras fuentes de datos sensibles.

• Aplique los parches del proveedor de forma inmediata. Cuando un proveedor emite un parche para una vulnerabilidad identificada, priorice la validación y el despliegue en entornos de producción y preproducción.
• Minimice los privilegios del agente. Utilice el principio de menor privilegio para las credenciales del agente y limite los ámbitos de lectura/escritura solo a los datos necesarios para la tarea del agente.
• Refuerce las canalizaciones de recuperación. Trate cualquier contenido incorporado al contexto del agente como no confiable. Implemente saneamiento, validación del tipo de contenido y separación explícita entre instrucciones y datos antes del consumo por el modelo.
• Use filtros de contenido y políticas de información. Emplee filtros deterministas basados en reglas y controles de prevención de pérdida de datos (DLP) sobre las salidas del modelo como comprobación secundaria contra divulgaciones inadvertidas.
• Requiera intervención humana para acciones sensibles. Evite conceder a los agentes la capacidad de exportar, enviar por correo electrónico o compartir por otros medios registros sensibles de forma autónoma sin revisión humana o confirmación en varios pasos.
• Supervise y registre las interacciones del agente. Mantenga rastros de auditoría detallados de las consultas del agente, el contexto recuperado y las salidas. Use detección de comportamiento anómalo para sacar a la luz accesos inusuales o contenidos inusuales en las recuperaciones.
• Rotación y aislamiento de credenciales. Asegúrese de que las credenciales del agente sean de corta duración, estén supervisadas y se almacenen en sistemas dedicados de gestión de secretos; aisle las cuentas de servicio del agente de otros servicios críticos.
• Pruebas adversariales y ejercicios de red teaming. Incorpore escenarios de inyección de prompts y pruebas orientadas a la recuperación en las evaluaciones de seguridad regulares y en los modelos de amenaza para agentes de IA.
• Controles de red y aplicación. Aplique segmentación de red, límites de tasa de API y controles en WAF o gateways para reducir la capacidad de un atacante de manipular las entradas externas del agente a gran escala.

Implicaciones y evaluación del riesgo

Una puntuación CVSS de 9,4 denota severidad crítica: una falla con alta explotabilidad y potencial de impacto significativo. Para las organizaciones que usan Agentforce o plataformas similares, los riesgos principales incluyen la divulgación no autorizada de datos de clientes y empleados, exposición regulatoria y de cumplimiento, daños reputacionales y posibles costes financieros asociados a la respuesta al incidente y la remediación.

Más allá de la remediación técnica inmediata, los consejos de administración y la dirección de seguridad deberían considerar esta clase de vulnerabilidad en modelos de riesgo operacional más amplios para la adopción de IA. Eso implica actualizar listas de verificación de adquisiciones, requisitos contractuales de seguridad y planes de respuesta a incidentes para tener en cuenta vectores de ataque específicos de IA, como inyecciones de prompts, envenenamiento de datos y manipulación de las fuentes de recuperación.

Conclusión

ForcedLeak sirve como recordatorio de que integrar IA generativa con sistemas empresariales sensibles crea nuevas superficies de ataque accesibles a adversarios. El parche de Salesforce aborda la falla inmediata divulgada por Noma Security, pero las organizaciones deben combinar actualizaciones oportunas del proveedor con controles operativos: principio de menor privilegio, saneamiento de las recuperaciones, filtrado de salidas, revisión humana para acciones sensibles y monitorización. Trate a los agentes de IA como una nueva clase de sistema sensible en los modelos de amenaza empresariales y construya defensas en capas en consecuencia.

Source: thehackernews.com