Uma falha crítica na plataforma Salesforce permitiu que agentes de inteligência artificial fossem manipulados por comandos maliciosos ocultos em formulários públicos, resultando na exfiltração de dados sensíveis armazenados no CRM. A falha, batizada de ForcedLeak explora a funcionalidade Web to Lead, amplamente usada por empresas para capturar informações de clientes.
O ataque consistia na inserção de instruções disfarçadas no campo “Description” de formulários online. Quando processadas pelo Agentforce, a IA da Salesforce, essas instruções eram interpretadas como comandos válidos, provocando consultas internas e envio de dados para um domínio externo controlado pelos invasores. O domínio em questão havia sido listado como confiável anteriormente, mas estava expirado e foi adquirido pelos atacantes por apenas cinco dólares. Segundo a Salesforce, a falha afetava a capacidade dos agentes IA de responder automaticamente às entradas dos formulários, sem validação adequada do conteúdo recebido.
Ao processar o prompt injetado, o sistema acessava registros confidenciais e os incluía na resposta, que era então enviada para fora do ambiente Salesforce. A empresa agiu rapidamente para mitigar o problema, recuperando o domínio expirado e implementando novas restrições na plataforma. A partir de agora, os agentes só podem interagir com URLs explicitamente incluídas em uma lista de domínios confiáveis. A Salesforce também recomenda aos clientes que revisem seus formulários Web to Lead e ativem a validação de entrada para impedir abusos semelhantes.
