Salesforce تسد ثغرة ForcedLeak الخطيرة التي كشفت بيانات الـCRM عبر حقن أوامر الذكاء الاصطناعي

كشف باحثون في الأمن السيبراني عن ثغرة خطيرة في منصة Salesforce Agentforce، المخصصة لبناء وكلاء الذكاء الاصطناعي، يمكن أن تسمح للمهاجمين بتسريب بيانات حساسة من أداة إدارة علاقات العملاء (CRM) من خلال أسلوب الحقن غير المباشر للأوامر (Indirect Prompt Injection).
الثغرة، التي اكتشفتها شركة Noma Security في يوليو 2025 وأطلق عليها اسم ForcedLeak (وحصلت على درجة خطورة 9.4 وفق CVSS)، تؤثر على أي مؤسسة تستخدم Agentforce مع ميزة Web-to-Lead المفعّلة.

كيف يعمل الهجوم؟

يعتمد الهجوم على إدخال تعليمات خبيثة في حقل “الوصف” ضمن نموذج Web-to-Lead، بحيث تُنفذ عند معالجة الطلب بواسطة وكيل الذكاء الاصطناعي. هذا يؤدي إلى:

1. إدخال المهاجم نموذجًا يحتوي على أوامر خبيثة.

2. قيام موظف داخلي بمعالجة البيانات عبر استعلام قياسي في النظام.

3. تنفيذ Agentforce للتعليمات الشرعية والمخفية معًا.

4. استدعاء بيانات حساسة من الـCRM.

5. إرسال البيانات إلى نطاق ذي صلة بـSalesforce كان قد انتهت صلاحيته وأصبح مملوكًا للمهاجمين مقابل 5 دولارات فقط.

ويُظهر هذا السيناريو كيف يمكن للمهاجمين استغلال ضعف التحقق من السياق والسلوك المفرط في السماحية لنماذج الذكاء الاصطناعي، إلى جانب تجاوز سياسات أمان المحتوى (CSP bypass)، لتسريب بيانات حساسة دون اكتشاف فوري.

استجابة Salesforce وتوصيات أمنية

أعادت Salesforce تأمين النطاق المنتهي، وأصدرت تحديثات تمنع وكلاء Agentforce وEinstein من إرسال مخرجاتهم إلى عناوين URL غير موثوقة، وذلك عبر آلية Trusted URL allowlist. وقالت الشركة إن هذا الإجراء يمثل طبقة حماية إضافية تمنع البيانات الحساسة من التسرب إلى مصادر خارجية بعد أي عملية حقن أوامر ناجحة.
إلى جانب ذلك، توصي Salesforce عملاءها بما يلي:

• تدقيق بيانات العملاء لاكتشاف أي تعليمات غير مألوفة.

• فرض تحقق صارم من المدخلات لكشف محاولات الحقن.

• تعقيم البيانات القادمة من مصادر غير موثوقة.

ForcedLeak امتداد لهجمات EchoLeak

أشار خبراء شركة Aim Labs إلى أن ForcedLeak يُعتبر نسخة متطورة من ثغرة EchoLeak (CVE-2025-32711)، التي وُصفت كأول ثغرة “صفرية النقر” في أنظمة الذكاء الاصطناعي، والتي سمحت بتسريب البيانات دون تفاعل مباشر. وأكدت التحقيقات أن هذه الفئة من الثغرات لا تقتصر على Microsoft، بل تؤثر أيضًا في منصات ذكاء اصطناعي متعددة.
وقال الخبراء إن ضعف فهم آليات الاعتماد (dependencies) والحاجة إلى أنظمة حماية صارمة (guardrails) يجعلان وكلاء الذكاء الاصطناعي المعتمدين على تقنيات RAG عرضة لمزيد من الهجمات المماثلة مستقبلًا.