Salesforce corrige falha crítica ForcedLeak que expunha dados do CRM via injeção de prompt de IA

Pesquisadores de segurança cibernética descobriram uma vulnerabilidade crítica na plataforma Salesforce Agentforce, usada para criar agentes de inteligência artificial. A falha, batizada de ForcedLeak (pontuação CVSS: 9.4), permite que atacantes extraiam dados sensíveis do sistema de CRM através de injeção indireta de prompt.

Como o ataque funciona

A exploração ocorre em cinco etapas:

1. Atacante envia formulário Web-to-Lead com descrição maliciosa
2. Funcionário processa o lead usando consulta padrão de IA
3. Agentforce executa instruções legítimas e maliciosas
4. Sistema consulta CRM por informações sensíveis
5. Dados são transmitidos para domínio controlado pelo atacante via imagem PNG

Vulnerabilidade explorada

O ataque aproveita falhas na validação de contexto, comportamento excessivamente permissivo do modelo de IA e bypass da Política de Segurança de Conteúdo (CSP). O LLM atuou como motor de execução sem capacidade de distinguir entre dados legítimos e instruções maliciosas.

Correções implementadas

A Salesforce já:

• Reassegurou o domínio expirado que estava disponível por apenas US$ 5
• Implementou patches que impedem saídas do Agentforce de serem enviadas para URLs não confiáveis
• Estabeleceu mecanismo de lista de permissões de URLs confiáveis

Recomendações de segurança

• Auditar dados de leads existentes em busca de submissões suspeitas
• Implementar validação rigorosa de entrada para detectar injeção de prompt
• Sanitizar dados de fontes não confiáveis

A vulnerabilidade ForcedLeak destaca a importância da segurança proativa de IA e governança, demonstrando como uma descoberta de baixo custo pode prevenir milhões em danos potenciais de violação.