Code Nguyen
Writer
Bạn có bao giờ nghĩ rằng một đoạn mô tả tưởng chừng vô hại trong form khách hàng lại có thể khiến cả hệ thống CRM bị rút sạch dữ liệu không?
Cụ thể, kẻ tấn công có thể gửi một Web-to-Lead form chứa đoạn “mô tả” bị cấy lệnh độc hại. Khi AI agent được nhân viên dùng để phân tích lead này, nó coi các lệnh ẩn trong phần mô tả như chỉ dẫn thật, rồi vô tư thực hiện việc gửi dữ liệu nhạy cảm ra ngoài. Nói đơn giản, AI không biết phân biệt đâu là dữ liệu đáng tin cậy, đâu là mệnh lệnh trá hình.
Vấn đề trầm trọng hơn bởi Salesforce từng để whitelist một tên miền cũ my-salesforce-cms.com đã hết hạn. Hacker chỉ việc mua lại tên miền này, rồi lập kênh nhận dữ liệu. Vậy là thông tin khách hàng, dữ liệu pipeline, lịch sử tương tác… có nguy cơ bị chuyển thẳng vào tay kẻ tấn công, qua một con đường hoàn toàn “hợp lệ” với chính sách bảo mật.
Với người dùng, đặc biệt các doanh nghiệp dùng Web-to-Lead, thông điệp là rõ ràng: phải cập nhật bản vá ngay, rà soát dữ liệu lead cũ, và tuyệt đối không xem nhẹ chuyện kiểm soát đầu vào. Bởi trong kỷ nguyên AI, kẻ tấn công có thể ẩn mình ngay trong những thứ tưởng chừng quen thuộc nhất.
Bạn nghĩ sao, nếu một ngày doanh nghiệp ở Việt Nam cũng gặp tình huống tương tự, khi một form đăng ký khách hàng vô tình trở thành cửa ngõ để dữ liệu bị hút ra ngoài?
Nguồn: https://cybersecuritynews.com/salesforce-ai-agent-vulnerability/
Khi AI nghe lời… nhầm người
Noma Labs vừa công bố một lỗ hổng nghiêm trọng trong Agentforce, nền tảng AI của Salesforce. Họ đặt tên cho nó là ForcedLeak, và nó thực sự là một “khoá mở cửa hậu”. Điểm thú vị ở đây là AI không bị tấn công trực tiếp bằng lệnh của hacker mà bị “gài bẫy” thông qua dữ liệu tưởng như hợp lệ.Cụ thể, kẻ tấn công có thể gửi một Web-to-Lead form chứa đoạn “mô tả” bị cấy lệnh độc hại. Khi AI agent được nhân viên dùng để phân tích lead này, nó coi các lệnh ẩn trong phần mô tả như chỉ dẫn thật, rồi vô tư thực hiện việc gửi dữ liệu nhạy cảm ra ngoài. Nói đơn giản, AI không biết phân biệt đâu là dữ liệu đáng tin cậy, đâu là mệnh lệnh trá hình.
Vấn đề trầm trọng hơn bởi Salesforce từng để whitelist một tên miền cũ my-salesforce-cms.com đã hết hạn. Hacker chỉ việc mua lại tên miền này, rồi lập kênh nhận dữ liệu. Vậy là thông tin khách hàng, dữ liệu pipeline, lịch sử tương tác… có nguy cơ bị chuyển thẳng vào tay kẻ tấn công, qua một con đường hoàn toàn “hợp lệ” với chính sách bảo mật.
Bài học từ ForcedLeak
Salesforce đã phản ứng nhanh, vá lỗi, siết chặt kiểm soát, đồng thời triển khai Trusted URLs Enforcement cho cả Agentforce và Einstein AI. Tuy nhiên, câu chuyện này mở ra một cảnh báo lớn hơn: bề mặt tấn công của AI agent hoàn toàn khác với hệ thống truyền thống. Khi AI được giao quyền tự xử lý dữ liệu và ra quyết định, mọi lỗ hổng từ “dữ liệu đầu vào” đều có thể biến thành đòn đánh thẳng vào lõi.Với người dùng, đặc biệt các doanh nghiệp dùng Web-to-Lead, thông điệp là rõ ràng: phải cập nhật bản vá ngay, rà soát dữ liệu lead cũ, và tuyệt đối không xem nhẹ chuyện kiểm soát đầu vào. Bởi trong kỷ nguyên AI, kẻ tấn công có thể ẩn mình ngay trong những thứ tưởng chừng quen thuộc nhất.
Bạn nghĩ sao, nếu một ngày doanh nghiệp ở Việt Nam cũng gặp tình huống tương tự, khi một form đăng ký khách hàng vô tình trở thành cửa ngõ để dữ liệu bị hút ra ngoài?
Nguồn: https://cybersecuritynews.com/salesforce-ai-agent-vulnerability/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview