端到端渗透 Salesforce Experience Cloud 的 LLM 智能体
2026 年 6 月 8 日,Reco 公布了一个无需人工介入即可测绘、模糊测试并利用 Salesforce Experience Cloud 站点的智能体——与 ShinyHunters 自 2025 年起持续挖掘的是同一批配置错误,如今由模型来驱动。
这是什么?
2026 年 6 月 8 日,Reco 的安全研究团队发表了一篇分析,介绍了一个对 Salesforce Experience Cloud 站点执行端到端安全评估的自主 LLM 智能体。你只需提供一个 URL,它便会枚举攻击面、对看似敏感的内容进行分级、对服务端方法做模糊测试、编写可用的漏洞利用脚本、运行它,然后再以审视者的视角自行复核所发现问题的严重性——目标设定之后全程无需人工指导。
针对该平台的手法并非首创。自 2025 年 9 月起,威胁组织 ShinyHunters 一直在挖掘同一片攻击面——配置错误的 Experience Cloud 访客用户配置文件——其手段是改造 AuraInspector,这本是 Mandiant 于 2026 年 1 月 12 日发布、用以帮助防御方排查访问控制缺口的命令行工具。该行动于2026 年 3 月初公开,据称波及 300 至 400 家组织。Reco 的演示所新增的,是侦察之后的那一步:让模型而非人类来驱动分析与利用。
工作原理
Experience Cloud 会将 Salesforce 的 Aura 框架暴露给未经认证的访客。借此,外部访客可以枚举 Salesforce 对象(数据库表)、Apex 控制器方法(服务端逻辑)、公开路由与文件。被利用的两个弱点既古老又普通:对象级与记录级的访问控制失效(声明为 without sharing 的 Apex 类、权限过宽的访客配置文件、可见性设为 AllUsers 的 ContentDocument 文件),以及由字符串拼接查询导致的 SOQL 注入。
Reco 的智能体并非一个庞大的单体脚本,而是一条由技能组成的智能体流水线,每个环节负责人类渗透测试者会执行的一个阶段:
阶段 智能体所做的事
----------- --------------------------------------------------------
1. 侦察 通过 Aura 枚举对象、Apex 方法、路由与文件
2. 对象分析 按敏感度对表分级(Contact、Lead 高于 BlogPost)
3. Apex 模糊 从签名推断有效输入;探测 SOQL 注入
4. 漏洞利用 编写独立 PoC、运行并验证提取到的数据
5. 严重性复核 以怀疑态度的审视者身份自评所发现问题杠杆作用集中在第 3 至 5 阶段。模型会推断名为 getContactInfo(email) 的方法期望什么输入,复用已提取的记录来构造有效输入,并从响应的行为变化中识别出注入预言机。在一个匿名案例中,它找到了一个对访客开放的 Apex 方法:只要给出任意一个邮箱地址,就会返回完整的联系人记录——姓名、电话、职务、账单地址;随后它自行转向 LinkedIn,收集员工姓名、猜测企业邮箱模式(firstname.lastname@company.com),并对该端点逐一验证,从而汇编出一份个人数据清单。漏洞利用的基本手法本身(布尔盲注式 SOQL 提取、用 LIKE 逐字符比对)早已公开发表,此处不再复现。
为什么重要
这一转变,正如由 LLM 驱动的后渗透一样,关乎的是成本而非能力。这些缺陷无一是新的;昂贵的是人工成本——逐个审计门户、阅读每一个方法签名、量身打造漏洞利用。智能体把这一成本压缩为推理预算——于是,那些防御方曾因「可利用性低」而降级处理的长尾配置问题,如今在规模化攻击下变得具有经济价值。ShinyHunters 已用一个被改造的审计工具向 300 至 400 家组织演示了侦察这一半;把模型嫁接到利用那一半,是显而易见的下一步。
第二个特性是穷尽性。智能体不会在数十个方法里漏掉哪怕一个可注入参数,也不会在数百个文件里放过那一份机密文档,因为它会系统性地检查一切。「以隐蔽求安全」——以为某个暴露的方法或文件因难以被发现就是安全的——在搜寻者不知疲倦且成本低廉时,已经站不住脚。
防御措施
- 在 SOQL 中使用绑定变量,绝不拼接字符串。 用
WHERE Id = :blogId而非WHERE Id = '' + blogId + ''。一个字符的修正即可封堵整类注入;Reco 的案例无一例外都源自由拼接构造的动态查询。 - 审计
without sharing的 Apex 类。 开发者爱用它,因为「一切都能跑通」;但它绕过了记录级安全。默认使用with sharing,并为每一处例外提供理由,尤其是访客可触达的类。 - 收紧访客用户权限。 把访客配置文件视为完全敌对。复查对象与字段权限、Apex 方法访问权,并记住「访客看不到该站点」控制的是页面访问,而非记录或文件。
- 修正
ContentDocument可见性。 将ContentDocumentLink.Visibility设置为AllUsers以外的值,除非确有必要,否则关闭「允许访客查看资产文件」。智能体能稳定地在数百个无关文件中找出那唯一一份机密文档。 - 把 Experience Cloud 站点纳入评估范围。 许多项目只审计主应用,却忽略相连的门户。请在攻击者的智能体之前,先用 Salesforce 自带的访客访问报告与 Mandiant 的 AuraInspector 扫描你自己的站点。
- 假定探测是自动化且穷尽的。 那些靠人工把某缺陷判定为「可利用性低」的风险接受决策已经过时;请面向一个会测试一切的对手重新评估。
状态
| 项目 | 来源 | 日期 | 备注 |
|---|---|---|---|
| ShinyHunters Aura 行动公开 | Salesforce / Help Net Security | 2026-03 | 配置错误的访客配置文件;自 2025 年 9 月起扫描 |
| AuraInspector 发布 | Mandiant | 2026-01-12 | 防御性审计工具,后被攻击者改造利用 |
| 报告规模 | Salesforce Ben | 2026-03 | ShinyHunters 声称波及 300 至 400 家组织 |
| 自主利用智能体 | Reco | 2026-06-08 | 端到端智能体渗透测试,所发现问题已负责任披露 |
此处的缺陷属于配置与代码问题,而非平台零日漏洞,且 Reco 的发现已在对相关组织匿名化的前提下负责任地披露。重点并不在于一个新漏洞——而在于利用旧漏洞的经济账,刚刚被改写了。
Sources
- → https://thehackernews.com/expert-insights/2026/06/hacking-salesforce-sites-with-llm-agent.html
- → https://www.helpnetsecurity.com/2026/03/11/shinyhunters-salesforce-aura-data-breach/
- → https://rhisac.org/threat-intelligence/shinyhunters-sf-aura/
- → https://www.salesforceben.com/shinyhunters-breach-400-companies-via-salesforce-experience-cloud/