Een recent ontdekte kwetsbaarheid in Salesforce’s AI-platform Agentforce – gedoopt “ForcedLeak” – maakte het mogelijk dat aanvallers gevoelige CRM-gegevens konden stelen via een verborgen instructie in een eenvoudige webformulierinvoer. Nu heeft Salesforce een spoedpatch uitgerold, maar het incident werpt een schaduw over de veiligheid van AI-agenten.
Hoe een formulier veranderde in een lek
Onderzoekers van Noma Security ontdekten dat de kwetsbaarheid – met de codenaam ForcedLeak en een kritieke ernstscore van 9,4 – misbruik maakte van de zogenoemde Web-to-Lead functionaliteit in Salesforce.
De aanval verliep via een “indirect prompt injection”: een aanvaller plaatste kwaadaardige instructies in het Description-veld van een Web-to-Lead formulier, ogenschijnlijk onschuldig maar met verborgen commando’s erin.
Salesforce AI Hack Enabled CRM Data TheftPrompt injection has been leveraged alongside an expired domain to steal Salesforce data in an attack named ForcedLeak. |
Wanneer een medewerker vervolgens aan de AI-agent (Agentforce) vroeg om de lead te verwerken, werden zowel de legitieme als de verborgen instructies uitgevoerd. Het systeem stelde gevoelige CRM-data opgevraagd en stuurde die vervolgens naar een domein – dat oorspronkelijk vertrouwd was binnen Salesforce’s instellingen, maar ondertussen was verlopen en kon worden overgenomen.
De rol van het verlopen domein
Een cruciale factor in het lek was dat Salesforce een domein had opgenomen in zijn lijst van “vertrouwde” URLs, terwijl dat domein inmiddels was verlopen en voor slechts $ 5 opnieuw kon worden geregistreerd. Aanvallers maakten gebruik van dat “vertrouwde” adres om data heimelijk weg te sturen.
Die combinatie van een zwakke validatie, een open AI-agent en een verlopen domein vormde de perfecte storm voor datalekken.
Critical Vulnerability in Salesforce AgentForce ExposedCritical flaw ForcedLeak in Salesforce's AgentForce allows CRM data theft via prompt injection |
Salesforce’s respons: Patch en nieuwe regels
Na melding van het probleem op 28 juli 2025 voerde Salesforce op 8 september 2025 een patch door.
De belangrijkste maatregelen:
- Herinschakelen en beveiligen van het verlopen domein dat aanvallers hadden gebruikt.
- Het afdwingen van een “Trusted URL allowlist” in Agentforce en Einstein AI, zodat output alleen naar vooraf geautoriseerde externe adressen kan gaan.
- Beperkingen op uitvoerbare instructies en strengere validatie van inkomende gegevens.
Salesforce verklaarde dat deze maatregelen een belangrijke verdedigingslinie bieden tegen ongeautoriseerde datalekken door prompt injecties.
Waarom dit extra aandacht verdient
De ForcedLeak-kwaal toont aan dat AI-agenten een veel bredere aanvalsvector vormen dan klassieke prompt-reactiesystemen.
In dit geval kon de agent niet onderscheiden of een instructie legitiem was of kwaadwillig verborgen in een velddocument. Daardoor werd vertrouwelijke data openlijk lekgestuurd via een domein dat het systeem vertrouwde.
Vulnerability in Salesforce AI could be tricked into leaking CRM dataSalesforce Agentforce allowed attackers to hide malicious instructions in routine customer forms, tricking the AI into exposing sensitive CRM data. |
Dit incident onderstreept de kritieke noodzaak van proactieve AI-beveiliging, vooral nu steeds meer organisaties AI-agenten integreren in hun bedrijfsprocessen.
Wat organisaties nú kunnen doen
Om zich te beschermen tegen soortgelijke kwetsbaarheden, bevelen beveiligingsexperts aan:
- Implementeer inputvalidatieAnalyseer inkomende gegevens op abnormale instructies of patronen die op prompt injectie wijzen.
- Sanitize data uit externe bronnenReinig teksten die van buitenaf komen voordat ze worden verwerkt.
- Voer audits uit op bestaande leadsZoek naar ongewone of verborgen instructies in reeds ingestuurde formulieren.
- Gebruik strengere outputbeperkingenBeperk waar en hoe de AI-agent output mag genereren – enkel naar geverifieerde, veilige URLs.
- Voer penetratietesten specifiek op AI-agentenTest met kwaadaardige prompts en scenario’s om zwakke plekken te vinden voordat kwaadwillenden dat doen.
Zoals Sasi Levi van Noma opmerkte: “De ForcedLeak-kwetsbaarheid benadrukt hoe een relatief goedkope ontdekking miljoenen aan schade kan voorkomen.”
De ontdekking van de ForcedLeak-kwetsbaarheid is een wake-up call voor organisaties die AI-agenten inzetten. Zelfs ogenschijnlijk onschuldige velden in een formulier kunnen misbruikt worden om vertrouwelijke bedrijfsdata te lekken. Dankzij snelle patching en nieuwe beveiligingsmaatregelen heeft Salesforce het lek gedicht — maar de les blijft: AI-systemen vereisen een nieuwe dimensie van veiligheid en waakzaamheid.
|
Salesforce Patches Critical ForcedLeak Bug Exposing CRM Data via AI Prompt InjectionForcedLeak flaw in Salesforce Agentforce allows data exfiltration via indirect prompt injection; Salesforce issues patch. |
