São Paulo — InkDesign News — Uma vulnerabilidade crítica, denominada ForcedLeak, foi identificada no sistema Agentforce da Salesforce, revelando um potencial risco para a privacidade de dados de clientes em ambientes de CRM. A falha recebeu inicialmente a classificação CVSS 9.1, posteriormente elevada para 9.4, permitindo que atacantes remotos extraíssem dados sensíveis.
Incidente e vulnerabilidade
A vulnerabilidade surge devido ao funcionamento autônomo de agentes de IA, que diferem de chatbots simples ao serem capazes de “raciocinar, planejar e executar tarefas complexas”, tornando-se assim alvo mais atrativo. O exploit em questão consistiu em um ataque de injeção de comando indireta, onde um comando malicioso foi ocultado dentro de dados que o sistema AI processaria. Usando a função Web-to-Lead, que permite que visitantes de websites submetam informações diretamente no CRM, o atacante inseriu códigos maliciosos em campos de entrada, como a caixa de descrição. Quando um funcionário consultava o agente sobre os dados do lead, o agente tratava erroneamente a instrução escondida como parte de sua função.
Impacto e resposta
Os dados comprometidos incluíam informações sensíveis como detalhes de contato de clientes, estratégias de vendas e comunicações internas. A vulnerabilidade afetou todas as organizações utilizando o Agentforce com o recurso Web-to-Lead habilitado, especialmente nas áreas de vendas e marketing. Um dos vetores do ataque explorou uma parte ultrapassada das regras de segurança do sistema, a Content Security Policy (CSP), onde um domínio expirado considerado “confiável” poderia ser adquirido por um valor baixo. Isso permitiu que um atacante enviasse dados roubados de forma oculta.
Após a notificação recebida em 28 de julho de 2025, a Salesforce implementou rapidamente medidas de contenção, tendo conforme confirmado a aplicação de patches até 8 de setembro de 2025, que incluíram o reforço de “URLs Confiáveis” para o Agentforce e sua tecnologia Einstein AI, evitando o envio de dados para endereços não confiáveis, além da re-seguração do domínio expirado.
Mitigações recomendadas
A Salesforce recomendou que os usuários imediatamente “implementassem URLs Confiáveis para o Agentforce e Einstein AI” e realizassem uma auditoria em todos os dados de leads existentes em busca de submissões incomuns.
“É aconselhável assegurar os sistemas em torno dos agentes de IA em uso, que incluem APIs, formulários e middleware, para que a injeção de comando seja mais difícil de explorar e menos prejudicial se suceder.”
(“It’s advisable to secure the systems around the AI agents in use, which include APIs, forms, and middleware, so that prompt injection is harder to exploit and less harmful if it succeeds.”)— Chrissa Constantine, Arquiteta de Soluções de Cibersegurança Sênior, Black Duck
A implementação efetiva de boas práticas de segurança, tais como o teste em aplicações web e API, além da manutenção de configurações, é crucial para evitar futuros incidentes.
A vulnerabilidade ForcedLeak destaca a crescente complexidade e os riscos das operações em ambientes CRM, onde a combinação de falhas em sistemas de IA e dados críticos de negócios aumenta as vulnerabilidades. Organizações devem revisar continuamente suas exposições e controles de segurança para mitigar os riscos.
Fonte: (Hack Read – Segurança Cibernética)
