AI 骨牌效應：一家廠商的 AI 應用程式遭駭如何讓業界龍頭跌了一跤

Salesloft-Drift 資安事件並非另一起單純的資料事件，它揭露了環環相扣的 AI 工具如何為整個企業生態系帶來一連串的漏洞。原本只是某家 AI 聊天機器人供應商遭駭客入侵的事件，結果卻引發災難性的供應鏈攻擊，全球有超過 700 家企業機構受到影響，甚至包括專門銷售解決方案來防範這類事件發生的網路資安領導廠商。

這起事件的發生原因並非駭客破解了數位門禁或巧妙地突破了邊界，而是有人將企業營運流程深處一個受信任的 AI 代理金鑰交給了駭客。此次的攻擊暴露出企業的一個關鍵盲點：當企業爭相部署 AI 功能時，很可能一不小心就會以傳統資安模型無法預料的方式擴大了自己的攻擊面。

攻擊程序：資安事件如何發生

這起攻擊是從一個小小的弱點開始，然後在供應鏈中一步步前進，最後造成骨牌效應。根據調查，駭客集團 (我們稱之為 UNC6395) 很有耐心地發動了一起長達數個月的多重階段攻擊。

突破防線 (2025 年 3 月至 6 月)： 攻擊一開始先入侵了 Salesloft 內部的 GitHub 儲存庫，駭客暗中潛伏了數個月，一邊下載程式碼，一邊透過偵蒐手段來尋找進入更大領域的鑰匙。
竊取金鑰： 駭客在儲存庫內找到了一個敏感的 OAuth 權杖 (Token)，這個權杖可以當成主金鑰來使用，從 Salesloft 授予特權給 Drift 雲端應用程式內的帳號。
步步進逼 (2025 年 8 月)： 有了偷來的金鑰，駭客就能通過認證，搖身一變成為 Salesloft 的高權限 Drift 帳號。取得受信任的地位之後，接著就能經由 Drift 與客戶應用程式之間的整合從事不法活動。
造成衝擊 (8 月 8-18 日)：駭客利用這個存取權限，有系統地從許多連線客戶的 Salesforce 執行個體竊取資料。所以，不單只有 Salesloft 和 Drift 本身受害，還有一大堆像 Palo Alto Networks、Cloudflare、Zscaler 這樣的產業領導廠商也受害，其客戶的對話資料和聯絡資訊都遭到竊取。

AI 的連結：這起攻擊有何不同

這起資安事件可說是 AI 資安的一個關鍵轉捩點，因為駭客所入侵的應用程式 (也就是 AI 聊天機器人) 充分具備了今日 AI 整合特別容易遭到攻擊的特性，而且一旦被入侵就特別危險。

AI 應用程式更廣泛的存取模式

有別於專為特定功能設計的傳統 SaaS 工具，AI 聊天機器人需要存取多個交互關聯的資料來源，才能提供有智慧的回應。傳統的 CRM 整合可能只需要存取聯絡人資料，但 AI 銷售助理通常需要存取聯絡人、電子郵件歷史記錄、行事曆資訊、交易流程資料、對話記錄以及產品型錄。這麼廣泛的存取模式，意味著只要有某個 AI 整合遭駭客入侵，其外洩的敏感資料將遠比傳統單一面向解決方案還多。

基於信任的架構製造了偵測上的盲點

建置 AI 工具的目的就是要運用大量的資料來實現自動化，因此需要系統之間的高度信任與整合。這起攻擊正是利用系統之間的信任：AI 代理的 API 呼叫看起來完全正常，因為存取大量資料正是這類系統當初設計的目的。傳統的資安監控手段很難區別正常的 AI 資料存取模式與駭客惡意的資料外傳，這導致偵測機制出現可讓高階駭客利用長達數個月的漏洞。

AI 供應鏈讓攻擊管道倍增

駭客不單只滿足於 CRM 上的資料，他們還蒐集了一些其他 Drift 相關服務的認證權杖，包括 OpenAI API 登入憑證。這證明他們了解今日 AI 生態系環環相扣的特性，因此只要駭入一家 AI 廠商，就有管道可以進入客戶的整個 AI 基礎架構、第三方 AI 服務，以及下游應用程式。

受害者：驚人的衝擊半徑

這起攻擊造成了巨大衝擊，估計約有 700 多家企業受到影響，但最令人擔憂的是受害名單當中還包括了網路資安產業本身的一些龍頭廠商：

Cloudflare、Palo Alto Networks、Zscaler、Tenable、Proofpoint 等等都證實他們受到了影響。

此外，該事件也暴露出企業在應用程式生態系管理上的一項重大缺失。就連 Salesloft 之前的客戶 SpyCloud 也遭到了入侵，這表示他們的存取權杖在合約終止之後並未被正確撤銷。

重要的一課：Okta 如何倖免於難

在這場大規模損害當中，有一家企業特別引人注目，那就是：Okta。他們也是 Salesloft 的客戶之一，同樣也遭到了攻擊，但他們的資料並未外洩。這不是因為僥倖，而是資安政策用心的結果。

Okta 在一份官方聲明中證實，駭客曾試圖利用外流的權杖來攻擊其 Salesforce 執行個體，但並未成功，原因就在於一項強大的控管措施：IP 允許清單。Okta 早已在系統組態設定當中指定該權杖只能從預先核准且受信任的 IP 位址使用。所以當駭客試圖從自己的基礎架構使用該權杖時，其連線便立即遭到封鎖。偷來的金鑰等於無用。

災難：後果與您的行動計畫

這起資安事件的後果相當嚴重，從耗費成本的鑑識調查，到客戶信任的嚴重侵蝕。但對局外人的我們來說，這起事件給了我們一些明確、可付諸行動的教訓：

您的 AI 廠商就是您新的攻擊面

當 AI 應用程式需要與核心業務系統深度整合時，所謂的安全邊界已不存在。系統所整合的每一項 AI 技術，都會形成一個傳統資安模型無法應付的潛在入侵點。其挑戰不單只有廠商本身的資安態勢，還有 AI 應用程式更廣泛的存取模式。

為 AI 整合建置縱深防禦

Okta 的成功故事可作為我們的借鏡，別仰賴廠商來幫您做好資安的工作，更不要盲目地信任廠商。建置您自己的防護措施：

IP 允許清單：適用於所有 AI 整合所使用的權杖。
地理區域限制：針對 API 存取。
存取時段限制：適用於任何需要的情況。
網路分割：適用於需要處理敏感資料的 AI 應用程式。

將認證權杖當成珍貴資產

在雲端原生環境中，支援 AI 整合的 OAuth 權杖和 API 金鑰通常比傳統密碼更有價值。它們可直接存取資料和系統，無須經過額外的認證。請採取以下措施來加以保護：

自動化更換政策。
以加密方式儲存高權限登入憑證。
監控異常使用模式。
針對關鍵整合採用硬體安全模組。

監控 AI 應用程式的行為

為您的 AI 應用程式存取資料的方式建立一套基準模式。有別於傳統應用程式對資料的存取模式是可預測的，AI 工具會依據工作負載和學習的需求而有不同的資料使用方式。但如果發生資料請求突然暴增、存取異常的資料來源，或是非上班時間的活動，那就有可能是遭到駭客入侵的徵兆。

稽核您的整合生命週期

SpyCloud 遭駭的事件證明了生命週期管理的重要性，請定期檢查並停用任何未用到的整合功能，尤其是之前使用的廠商或已經終止的服務。建置自動化流程在合約終止或人員離職時撤銷登入憑證。

結論

這起事件讓所有 AI 驅動的工具都受到了更嚴格的檢視，急於導入 AI 不能以犧牲資安基本功為代價。這起事件證明，只要有一個 AI 整合功能遭到入侵，就可能破壞您的整體資安態勢。問題已不再是您的供應鏈是否會成為攻擊目標，而是您是否已採取必要的措施來加以防範。

骨牌效應：一家廠商的 AI 應用程式遭駭如何讓業界龍頭跌了一跤