Оглавление

Исследователи безопасности продемонстрировали пугающую эффективность современных языковых моделей в поиске и эксплуатации критических дыр в защите корпоративных систем. Как сообщает издание The Hacker News, команда специалистов из компании Reco создала автономного ИИ-агента, способного проводить полный цикл атаки на сайты Salesforce Experience Cloud без участия человека.

Разработанный инструмент не просто сканирует порты, а имитирует работу опытного аналитика: он исследует поверхность атаки, анализирует логику серверных методов и самостоятельно пишет эксплойты на Python. Экспериментальные запуски на ресурсах крупных технологических компаний показали, что даже зрелая ИТ-инфраструктура оказывается уязвимой перед лицом системы, которая «понимает» контекст кода и данных.

Анатомия автономного взлома

Архитектура этого ИИ-агента построена как цепочка специализированных навыков, управляемых центральной LLM. Вместо жесткого алгоритма модель использует адаптивный подход, переключаясь между этапами в зависимости от полученных результатов. Процесс разделен на пять ключевых фаз, каждая из которых требует глубокого логического анализа.

  1. Разведка: Агент получает только URL и начинает изучать фреймворк Salesforce Aura, выявляя доступные объекты базы данных и методы серверных контроллеров Apex.
  2. Анализ данных: Система классифицирует найденные таблицы по степени чувствительности, отдавая приоритет таким объектам, как Contact или CreditCardTransaction, и проверяет возможность доступа к ним от лица гостевого пользователя.
  3. Тестирование логики: ИИ анализирует сигнатуры методов и подбирает валидные входные данные, основываясь на имеющемся контексте, после чего проверяет их на устойчивость к SOQL-инъекциям.
  4. Эксплуатация: При обнаружении уязвимости агент «на лету» создает рабочий код для извлечения данных, используя сложные техники обхода ограничений Salesforce.
  5. Оценка критичности: На финальном этапе ИИ выступает в роли строгого аудитора, проверяя, являются ли добытые данные действительно ценными или это просто технические метаданные.

Кейсы из практики: от LinkedIn до утечки логов

В одном из случаев, затронувшем компанию Aegis Security, агент обнаружил метод, который по адресу электронной почты возвращал полную информацию о контакте и его организации. Проявив неожиданную смекалку, ИИ самостоятельно отправился в LinkedIn, собрал список реальных сотрудников и партнеров компании, сконструировал их корпоративные почты и методично выкачал персональные данные через найденную лазейку.

Другой пример связан с компанией Helios, где агент нашел классическую ошибку конкатенации строк в динамическом запросе SOQL. Несмотря на отсутствие привычных по SQL-инъекциям команд вроде UNION, ИИ смог построить «булев оракул» — систему вопросов «да/нет», через которую посимвольно извлек информацию о пользователях и даже обнаружил в открытом доступе файлы с логами аутентификации клиентов.

Способность ИИ-агентов превращать теоретическую уязвимость в работающий эксплойт за считанные минуты обесценивает традиционные отчеты об аудите, где риск помечался как «низкий» из-за сложности реализации. Но стоит помнить: агент все еще ограничен качеством обучающей выборки и спецификой API. Это не магическая отмычка, а высокопроизводительный молоток, который бьет по самым очевидным гвоздям, оставленным разработчиками в коде.

Как защитить корпоративные порталы

Для технических специалистов ситуация выглядит как сигнал к немедленной ревизии настроек доступа. Часто разработчики используют ключевое слово without sharing в классах Apex просто для того, чтобы «все работало», фактически отключая механизмы безопасности Salesforce. Это создает идеальные условия для работы ИИ-агентов, которые не пропускают ни одного открытого метода.

Основными мерами защиты остаются использование связанных переменных (bind variables) в запросах для предотвращения инъекций и строгий аудит прав гостевых пользователей. Как показывает практика, концепция «безопасности через неясность» больше не работает: если метод существует, ИИ его найдет, проанализирует и попытается использовать против владельца системы.