كشف باحثون في مجال الأمن السيبراني عن ثغرة خطيرة في منصة Salesforce Agentforce المخصصة لبناء وكلاء الذكاء الاصطناعي (AI Agents)، قد تمكّن المهاجمين من استخراج بيانات حساسة من أداة إدارة علاقات العملاء (CRM) عبر هجوم غير مباشر بالحقن السياقي (Indirect Prompt Injection).
الثغرة، التي أُطلق عليها اسم ForcedLeak وحصلت على تقييم خطورة (CVSS 9.4)، اكتشفتها شركة Noma Security وأبلغت عنها في 28 يوليو 2025. وتؤثر على أي مؤسسة تستخدم Agentforce مع ميزة Web-to-Lead مفعّلة.
آلية الهجوم وأساليبه
يعتمد الهجوم على إدخال تعليمات خبيثة في حقل الوصف داخل نموذج Web-to-Lead، بحيث يتم تمريرها لاحقاً إلى الوكيل الذكي عند معالجة بيانات العملاء. هذا يتيح للمهاجم:
-
إرسال نموذج مزيف يحتوي على تعليمات خبيثة.
-
قيام موظف بمعالجة الطلب باستخدام استعلام الذكاء الاصطناعي.
-
تنفيذ Agentforce للتعليمات المخفية إلى جانب البيانات الشرعية.
-
استعلام النظام عن بيانات حساسة من قاعدة CRM.
-
إرسال البيانات إلى نطاق مرتبط بـ Salesforce كان قد انتهت صلاحيته وتم شراؤه من قبل المهاجم مقابل 5 دولارات فقط.
استجابة Salesforce وإجراءات الحماية
أعادت Salesforce تأمين النطاق المسروق وأطلقت تحديثات أمنية تمنع وكلاء Agentforce وEinstein من إرسال البيانات إلى روابط غير موثوقة، عبر آلية قائمة السماح بالروابط الموثوقة (Trusted URL Allowlist).
كما شددت الشركة على أن خدماتها الأساسية ستفرض هذه السياسة لضمان عدم استغلال ثغرات الحقن السياقي في المستقبل.
التوصيات الأمنية للمؤسسات
ينصح الخبراء المؤسسات التي تعتمد على Agentforce باتخاذ الإجراءات التالية:
-
مراجعة بيانات العملاء الحالية لرصد أي مدخلات مشبوهة.
-
تطبيق آليات تحقق صارمة من المدخلات لمنع هجمات الحقن.
-
تنظيف البيانات القادمة من مصادر غير موثوقة قبل معالجتها.
-
الالتزام بتوصيات Salesforce حول تفعيل ميزة الروابط الموثوقة.
ويؤكد خبراء Noma Security أن ثغرة ForcedLeak تبرز خطورة توسع سطح الهجوم في أنظمة الذكاء الاصطناعي مقارنة بالأنظمة التقليدية، محذرين من أن الإهمال في الحوكمة والأمن الوقائي قد يؤدي إلى خسائر بملايين الدولارات نتيجة تسريب البيانات الحساسة.
