Salesforce Agentforce a permis aux attaquants de masquer les instructions malveillantes dans les formulaires de routine des clients, incitant l’IA à exposer les données CRM sensibles.
Une vulnérabilité critique nouvellement divulguée dans la plate-forme Agentforce de Salesforce pourrait inciter l’agent AI à fuir les données CRM sensibles par l’injection rapide indirecte.
Salesforce a corrigé le problème après la divulgation, mais les chercheurs du NOMA croient que les implications vont bien au-delà d’un bogue.
De la forme innocente à la casse complète des données
Le chemin d’attaque révélé par Noma était trompeusement simple. En plantant du texte malveillant dans le formulaire Web de Salesforce, couramment utilisé dans les campagnes de marketing, les chercheurs ont constaté qu’un agent d’IA (Agentforce) chargé de réviser les soumissions pouvait être condamné à des instructions en cours d’exécution, il n’a jamais été censé le faire. Le champ de description, avec son allocation de 42000 caractères, a fourni suffisamment d’espace pour masquer les charges utiles en plusieurs étapes déguisées en demandes commerciales inoffensives.
Une fois qu’un employé interagit avec les données et demande à AgentForce de les traiter, le système effectue docilement à la fois la demande réelle et le script caché de l’attaquant. Pire, la politique de sécurité du contenu de Salesforce comprenait un domaine expiré toujours sur sa liste blanche. En réinscrivant le domaine pour seulement 5 $, les chercheurs ont créé un canal d’exfiltration de données d’apparence de confiance, transformant une surveillance mineure en un trou de sécurité majeur.
« L’injection rapide indirecte est essentiellement des scripts croisés, mais au lieu de tromper une base de données, les attaquants obtiennent une IA en ligne pour le faire », a déclaré Andy Bennett, CISO chez Apollo Information Systems. «C’est comme un mélange d’attaques scénarisées et d’ingénierie sociale. L’innovation est impressionnante et les impacts sont potentiellement stupéfiants.»
Salesforce a déclaré jeudi qu’il avait corrigé ce défaut en instance de CVE le 8 septembre 2025, en appliquant des «listes d’autorisation URL de confiance» pour Agentforce. Bien que la société n’ait pas directement crédité Noma pour la conclusion, elle comprenait une description connexe. « Nos services sous-jacents de l’agent pour l’agent pour appliquer la liste d’autorisation URL de confiance pour s’assurer qu’aucun lien malveillant n’est appelé ou généré par injection rapide potentielle », a-t-il alors déclaré.
Un porte-parole de Salesforce a déclaré: «Le paysage de sécurité pour une injection rapide demeure un domaine complexe et évolutif, et nous continuons à investir dans de solides contrôles de sécurité et à travailler en étroite collaboration avec la communauté de recherche pour aider à protéger nos clients à mesure que ces types de problèmes font surface.»
Garde-corps, pas seulement des correctifs
Alors que Salesforce a répondu rapidement par un patch, les experts conviennent que les agents de l’IA représentent une surface d’attaque fondamentalement plus large. Ces systèmes combinent la mémoire, la prise de décision et l’exécution des outils, ce qui signifie que les compromis peuvent se propager rapidement et, comme le dit Bennett, «à la vitesse de la machine».
« Il est conseillé de sécuriser les systèmes autour des agents de l’IA utilisés, qui incluent les API, les formulaires et le middleware, afin que l’injection rapide soit plus difficile à exploiter et moins nocive si elle réussit », a déclaré Chrissa Constantine, architecte de solution de cybersécurité senior chez Black Duck. Elle a souligné que la véritable prévention nécessite non seulement du correctif, mais « de maintenir la configuration et d’établir des garde-corps autour de la conception des agents, de la chaîne d’approvisionnement du logiciel, des applications Web et des tests d’API ».
Les chercheurs de Noma ont fait écho à cet appel, exhortant les organisations à traiter les agents de l’IA comme les systèmes de production, l’inventaire de chaque agent, la validation des connexions sortantes, la désinfection des entrées avant d’atteindre le modèle et le signalation de tout accès aux données sensibles ou de sortie Internet.
Désinfecter les contributions externes avant que l’agent ne le voit, a suggéré Elad Luz, responsable de la recherche chez Oasis Security. «Traitez le texte libre à partir des formulaires de contact comme une entrée non fiable. Utilisez une couche de médiation d’entrée pour extraire uniquement les champs attendus, la bande / neutraliser les instructions, les liens et le balisage, et empêcher le modèle d’interpréter le contenu utilisateur en tant que commandes (résilience à l’injection d’invite).»
