Agen LLM Otonomi Melakukan Eksploitasi End-to-End Salesforce Experience Cloud — SOQL Injection dan Ekstraksi Data Lengkap Tanpa Panduan Manusia

Tim penelitian keamanan Reco menerbitkan pada 4 Juni 2026 demonstrasi pipeline agen LLM yang sepenuhnya otonomi yang, diberikan URL Salesforce Experience Cloud, melakukan tanpa bantuan: (1) enumerasi framework Aura dari objek Salesforce yang terekspos, metode Apex controller, dan rute publik; (2) klasifikasi sensitivitas data dan ekstraksi record sebagai pengguna tamu; (3) deteksi vektor fuzzing Apex dan SOQL injection; (4) pembuatan dan eksekusi kode exploit otonomi; dan (5) pengambilan data eksternal untuk membangun payload. Dalam pengujian di dunia nyata terhadap situs Salesforce produksi perusahaan teknologi besar, agen menemukan kerentanan tingkat tinggi, mengekstrak data aktif, dan menghasilkan skrip exploit yang berfungsi tanpa panduan manusia setelah penyediaan URL awal.

Pipeline agentik dengan kemampuan penggunaan alat: LLM memilih dan mengeksekusi keterampilan Python untuk setiap fase (enumerasi, analisis, fuzzing, eksploitasi). Permukaan serangan adalah eksposur tidak terotentikasi dari Salesforce Experience Cloud guest API — khususnya endpoint Aura yang mengekspos metode Apex dan objek ContentDocument tanpa autentikasi. SOQL dinamis yang dibangun melalui penggabungan string dapat dieksploitasi setelah parameter yang terekspos diidentifikasi.

Situs Salesforce Experience Cloud dengan akses pengguna tamu tidak terotentikasi ke endpoint Salesforce Aura, metode Apex controller yang terekspos, atau objek ContentDocument. Organisasi yang menggunakan Salesforce Sites untuk portal mitra, layanan mandiri pelanggan, atau akses komunitas eksternal paling berisiko.

Audit semua izin pengguna tamu Salesforce Experience Cloud menggunakan panduan Salesforce Guest User Security Controls; hapus akses tidak terotentikasi ke metode Apex sensitif dan objek ContentDocument; ganti SOQL dinamis penggabungan string dengan bind variable; tinjau dan batasi eksposur endpoint Aura; implementasikan pemantauan untuk pola enumerasi otomatis (panggilan Aura API berfrequensi tinggi dari IP tunggal atau sesi tamu yang tidak biasa).