Salesloft-Drift的資料外洩事件呈現了AI工具之間的高度連動性,如何在整個商業生態系中產生連鎖漏洞。這次的攻擊並非駭客強行突破防線或利用高超技術滲透,而是因為他們取得一把「通往內部信任系統」的鑰匙——被深度整合在企業營運中的AI Agent。
近期Salesloft-Drift的資料外洩事件不只是另一宗資安事故,它呈現了AI工具之間的高度連動性,如何在整個商業生態系中產生連鎖漏洞。這起事件最初只是單一AI聊天機器人服務供應商遭入侵,最終卻演變成一場毀滅性的供應鏈攻擊,全球超過700家企業受到波及,其中包括數家資安領導廠商。
這次的攻擊並非駭客強行突破防線或利用高超技術滲透,而是因為他們取得一把「通往內部信任系統」的鑰匙——被深度整合在企業營運中的AI代理(Agent)。這起事件發現了一個關鍵的資安盲點:當企業爭相導入AI時,也無意間擴大了攻擊面,而這是傳統資安模型從未預期過的。
攻擊鏈:事件是如何發生的
這是一場典型的「骨牌效應」攻擊,從一個微小的脆弱點開始,逐步在供應鏈中蔓延。根據調查,這起由代號UNC6395的攻擊者所發動的行動,歷時數月且步驟縝密。
1. 入侵點(2025年3~6月):攻擊者首先入侵Salesloft的內部GitHub儲存庫。他們潛伏數月,持續下載程式碼、進行偵察,尋找能開啟更大系統的關鍵。
2. 竊取金鑰:在儲存庫內,攻擊者發現一枚敏感的OAuth Token。這枚Token就像一把「主鑰匙」,能讓攻擊者以Salesloft的身分,取得該公司在Drift雲端應用程式中的權限。
3. 轉移攻擊(2025年8月):取得Token後,攻擊者登入Salesloft的高權限Drift帳戶。憑藉這個被信任的位置,他們得以利用Drift與各客戶應用程式的整合連結,作為進一步滲透的跳板。
4. 擴散影響(2025年8月8~18日):攻擊者系統性地利用此存取權,從多個連接到Drift的Salesforce實例中竊取資料。受害者不僅包括Salesloft和Drift,本次受波及的還有Palo Alto Networks、Cloudflare、Zscaler等資安業界龍頭,這些企業的客戶對話記錄與聯絡資料均被竊取。
AI關聯性:為何這次攻擊格外嚴重
這起事件標誌著AI資安的一個關鍵轉折點。被入侵的應用程式是一個AI聊天機器人,而這類應用具備幾個特性,使它們在被整合時既具吸引力,又潛藏高度風險。
AI應用需要更廣的存取範圍
與傳統SaaS工具不同,AI聊天機器人需要連結多個資料來源才能提供智慧化回應。一般的CRM整合可能只須存取聯絡資料;但一個AI業務助理則需要聯絡人資訊、郵件紀錄、行事曆、交易紀錄資料、對話紀錄與產品目錄等多種資料。因此,一旦這類AI整合遭入侵,可能洩露的資訊量遠超過傳統應用程式。
信任導向架構創造了偵測盲區
AI工具的設計宗旨在於自動化與資料處理,這需要高度信任與深度整合。這次攻擊正是利用了這種信任機制:AI Agent的API呼叫行為看似完全合法,因為存取大量資料正是其設計用途。傳統資安監控難以辨識這類正常與異常行為的差異,使攻擊者得以潛伏數月未被察覺。
AI供應鏈擴大了攻擊面
攻擊者並未僅止於CRM資料,他們還竊取Drift連接其他服務的Token,包括OpenAI的API憑證。這說明攻擊者非常清楚AI生態系的連動特性:攻陷一個AI廠商,就可能滲透進客戶的整個AI架構、第三方AI服務供應商與下游應用。
受害範圍:驚人的波及面
此次攻擊影響超過700家組織,衝擊範圍廣泛。更令人震驚的是,受害名單中包含多家資安業的領導企業,如Cloudflare、Palo Alto Networks、Zscaler、Tenable、Proofpoint等廠商皆證實他們遭受波及。
此外,事件也揭露了企業在應用管理上的重大漏洞。例如,前Salesloft客戶SpyCloud雖已終止合作,卻仍遭波及,顯示其存取Token在合約終止後未被停用。
關鍵啟示:Okta為何能倖免
在這場廣泛災難中,有一家企業特別突出——Okta。它同樣是受攻擊目標之一,但資料未受影響。這並非幸運,而是因為它採取嚴格的資安政策。
Okta官方聲明指出,攻擊者試圖利用被竊取的Token入侵其Salesforce,但遭到阻擋。原因在於Okta啟用了IP白名單控制(IP Allow-listing),僅允許預先核准的信任IP位址使用該Token。當攻擊者從自己的基礎設施發動請求時,連線立即被封鎖,Token形同作廢。
後續影響與行動建議
這次資料外洩的後果極為嚴重,從高額的鑑識成本到客戶信任的流失。但對所有企業而言,它也帶來了具體可行的資安教訓:
你的AI供應商,就是新的攻擊面
當AI應用深入整合企業核心系統時,傳統「邊界安全」概念已不再適用。每一個AI整合點都可能成為攻擊入口。問題不僅在供應商的防護能力,還在於AI為運作所需的廣泛資料存取範圍。
為AI整合導入縱深防禦機制
Okta的成功提供了最佳實例:不要只依賴供應商自身的防護,企業必須建立自有防線,例如IP白名單控制(IP Allow-listing)、API存取地理限制、時段性存取控制(Time-based Access Windows)、AI應用網路分區(Network Segmentation)。
將認證Token視為「皇冠上的寶石」
在雲端環境中,OAuth Token與API金鑰的價值甚至高於密碼,因為它們可直接開啟系統而不需再次驗證。企業應採取以下措施:自動輪替Token(Rotation Policy)、高權限憑證加密儲存、偵測異常使用模式、對關鍵整合採用硬體安全模組(HSM)。
監控AI應用行為
建立AI應用的資料存取行為基準。AI工具的資料需求會隨任務與訓練而變化,但若出現資料請求異常暴增、訪問非預期來源或非工作時段活動,都可能代表系統被入侵。
定期稽核整合生命週期
SpyCloud案例顯示,未停用的整合權限是一大風險。因此,企業應定期檢視並關閉不再使用的API整合,特別是與前供應商或已停用服務的連結,並建立自動化機制,在合約結束或人員離職時撤銷權限。
結語
這起事件使所有AI驅動的工具都受到更嚴格的檢視。企業在導入AI時,不能犧牲安全基本原則。這場外洩清楚證明:只要一個AI整合被攻陷,就可能瓦解整體安全架構。現在問題已不是「是否會被攻擊」,而是你的防禦措施是否足以應對?
<本文作者:Trend Micro Research 趨勢科技威脅研究中心本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>