La falla ForcedLeak nell'agente Salesforce Agentforce AI ha esposto i dati CRM

Una vulnerabilità denominata ForcedLeak è stata recentemente scoperta in Salesforce Agentforce, un sistema basato sull'intelligenza artificiale progettato per gestire attività aziendali complesse all'interno di ambienti CRM. Noma Security ha identificato la falla critica, inizialmente classificata CVSS 9.1 e successivamente aggiornata alla versione 9.4, che consentiva ad aggressori remoti di rubare dati CRM privati. L'azienda ha condiviso la sua ricerca con Hackread.com.

Il problema risiede nel modo autonomo in cui operano gli agenti di intelligenza artificiale . A differenza dei semplici chatbot, che sono sistemi a "risposta rapida", questi agenti possono "ragionare, pianificare ed eseguire attività aziendali complesse", il che li rende un bersaglio considerevolmente più grande. Il problema principale in questo caso era un attacco di tipo "indirect prompt injection" , che si verifica quando un'istruzione errata viene segretamente inserita all'interno di dati che il sistema di intelligenza artificiale elabora successivamente.

Nel caso di Agentforce, gli aggressori hanno utilizzato la funzionalità Web-to-Lead, comunemente abilitata, che consente ai visitatori del sito web di inviare informazioni che vengono poi inserite direttamente nel CRM. Inserendo codice dannoso in un campo di input di grandi dimensioni, come la casella Descrizione, l'aggressore ha teso una trappola. Quando in seguito un dipendente ha posto all'agente di intelligenza artificiale una domanda normale sui dati del lead, l'agente ha erroneamente interpretato l'istruzione nascosta come parte del suo lavoro.

Secondo il post sul blog di Noma Security, i ricercatori hanno scoperto che l'IA non riusciva a distinguere "tra dati legittimi caricati nel contesto e istruzioni dannose". Per dimostrare il rischio, hanno eseguito una Proof of Concept (PoC), utilizzando codice dannoso per forzare l'IA a recuperare dati CRM sensibili come gli indirizzi email. Il codice ha indotto l'IA a inserire i dati all'interno dell'indirizzo web di un'immagine. Quando il sistema ha visualizzato l'immagine, i dati privati ​​sono stati trasmessi al server dei ricercatori, confermando il furto avvenuto.

I dati a rischio includevano informazioni sensibili come i dettagli di contatto dei clienti, dati sulla pipeline di vendita che rivelavano la strategia aziendale, comunicazioni interne e registri storici. La vulnerabilità ha interessato qualsiasi organizzazione che utilizzasse Salesforce Agentforce con la funzionalità Web-to-Lead abilitata, in particolare quelle nei settori vendite e marketing.

L'attacco prevedeva anche lo sfruttamento di una parte obsoleta delle regole di sicurezza del sistema ( Content Security Policy , o CSP). I ricercatori hanno scoperto che un dominio (my-salesforce-cms.com), ancora considerato "affidabile", era in realtà scaduto ed era disponibile per l'acquisto a soli 5 dollari. Un aggressore avrebbe potuto utilizzare questo dominio scaduto, ma affidabile, per inviare segretamente dati rubati al di fuori del sistema.

Dopo essere stata informata del problema il 28 luglio 2025, Salesforce ha avviato rapidamente le indagini. Entro l'8 settembre 2025, l'azienda aveva implementato delle soluzioni , tra cui l'applicazione di "URL attendibili" per Agentforce e la sua intelligenza artificiale Einstein , per impedire l'invio di dati a indirizzi web non attendibili e la riattivazione della protezione del dominio scaduto.

L'azienda ha consigliato agli utenti di "applicare immediatamente URL attendibili per Agentforce ed Einstein AI" e di verificare tutti i dati dei lead esistenti per individuare eventuali invii insoliti. La vulnerabilità è stata resa pubblica il 25 settembre 2025.

La falla ForcedLeak è particolarmente importante da analizzare alla luce delle massicce violazioni di dati legate a Salesforce emerse quest'anno. Salesforce è al centro delle operazioni aziendali di migliaia di organizzazioni, conservando dati sensibili dei clienti, dati finanziari e strategie di vendita.

Una vulnerabilità nel sistema Agentforce basato sull'intelligenza artificiale fa sì che gli aggressori possano sfruttare una piattaforma affidabile non solo per rubare record isolati, ma anche per automatizzare l'estrazione di dati su larga scala attraverso i processi aziendali quotidiani.

Poiché i dati CRM rappresentano spesso il fiore all'occhiello delle aziende, combinare le vulnerabilità dell'IA con ambienti Salesforce già di alto valore aumenta notevolmente il rischio, rendendo fondamentale per le organizzazioni rivalutare la propria esposizione e i controlli di sicurezza.

"È consigliabile proteggere i sistemi attorno agli agenti di intelligenza artificiale in uso, tra cui API, moduli e middleware, in modo che l'iniezione rapida sia più difficile da sfruttare e meno dannosa se riesce", ha affermato Chrissa Constantine , Senior Cybersecurity Solution Architect presso Black Duck.

Ha sottolineato che la vera prevenzione consiste nel mantenere la configurazione e nell'istituire misure di sicurezza per la progettazione degli agenti, la catena di fornitura del software, le applicazioni web e i test delle API.