Prompt injection tehnika iskorišćena je zajedno sa isteklim domenom u napadu nazvanom ForcedLeak, koji je rezultirao krađom Salesforce podataka.
Napad je otkrila kompanija Noma Security, koja se specijalizovala za bezbjednost AI agenata i nedavno prikupila 100 miliona dolara za razvoj svoje platforme. Prema njihovim nalazima, Salesforce-ova Agentforce platforma, namijenjena kreiranju i primjeni autonomnih AI agenata u oblastima poput prodaje, marketinga i trgovine, mogla je biti meta ovakvog upada. Agentforce agenti funkcionišu samostalno i izvršavaju višestepene zadatke bez stalnog ljudskog nadzora.
Metoda ForcedLeak koristila je Web-to-Lead funkcionalnost, kojom se kreiraju web forme koje popunjavaju spoljašnji korisnici, poput učesnika konferencija ili targetiranih lica u marketinškim kampanjama. Podaci sa tih formi direktno se upisuju u CRM sistem.
Istraživači su otkrili da napadači mogu da podnesu posebno kreirane podatke u ovim formama. Kada Agentforce agenti obrade takav unos, oni nesvjesno izvršavaju maliciozne instrukcije u korist napadača. Tokom demonstracije, ubačen je payload sa bezopasnim instrukcijama, ali i naredbama koje su agenta usmjerile da prikupi email adrese iz CRM sistema i proslijedi ih na udaljeni server.
U trenutku kada zaposleni aktivira Agenta da obradi unos sa malicioznim payloadom, dolazi do prompt injection-a i povjerljivi CRM podaci se automatski eksfiltriraju ka serveru napadača.
Opasnost je bila još veća jer je Noma otkrila da je jedan od pouzdanih Salesforce domena istekao. Potencijalni napadač mogao je da registruje taj domen i iskoristi ga kao destinaciju za prikupljanje ukradenih podataka. Nakon upozorenja, Salesforce je povratio kontrolu nad domenom i uveo izmjene koje sprječavaju slanje izlaznih podataka AI agenata ka nepouzdanim domenima.
Portparol kompanije Salesforce izjavio je da je “bezbjednosni pejzaž prompt injection tehnika složen i u stalnom razvoju, te da kompanija nastavlja sa ulaganjima u snažne kontrole i saradnju sa istraživačkom zajednicom, kako bi zaštitila svoje korisnike”.
Napadi ovog tipa nisu rijetkost – istraživači su u posljednjim mjesecima prikazali više teorijskih scenarija u kojima je integracija između AI asistenata i korporativnih alata iskorišćena za krađu podataka.
Izvor: SecurityWeek
