返回列表
行业新闻AI网络安全数据安全

CX平台安全盲区:攻击者如何利用AI引擎漏洞入侵700多家组织

一项最新分析揭示,攻击者正利用客户体验(CX)平台中AI引擎的安全盲区,通过“投毒”数据来实施攻击。2025年8月的Salesloft/Drift泄露事件证实了这一点,攻击者入侵了Salesloft的GitHub环境,窃取了Drift聊天机器人OAuth令牌,并访问了包括Cloudflare、Palo Alto Networks和Zscaler在内的700多家组织的Salesforce环境,扫描被盗数据以获取敏感凭证,且未部署恶意软件。安全专家指出,大多数安全团队低估了CX平台的风险,将其错误归类为低风险工具,而这些平台已与HRIS、CRM和薪酬系统深度集成,处理大量非结构化交互数据。Proofpoint报告显示,98%的组织有DLP计划,但仅6%有专用资源,且81%的交互式入侵使用合法访问而非恶意软件。

VentureBeat

客户体验(CX)平台每年处理数十亿非结构化交互数据,包括调查表单、评论网站、社交媒体动态和呼叫中心记录。这些数据流向AI引擎,进而触发涉及薪资、客户关系管理(CRM)和支付系统的自动化工作流程。然而,安全运营中心(SOC)领导者的工具堆栈中,没有工具能够检查CX平台AI引擎所摄取的内容,攻击者正是发现了这一盲点。他们通过“投毒”数据来喂养AI,让AI为他们执行破坏。

2025年8月的Salesloft/Drift泄露事件正是这一攻击手法的例证。攻击者入侵了Salesloft的GitHub环境,窃取了Drift聊天机器人OAuth令牌,并访问了包括Cloudflare、Palo Alto Networks和Zscaler在内的700多家组织的Salesforce环境。随后,攻击者扫描被盗数据以获取AWS密钥、Snowflake令牌和明文密码,整个过程中并未部署任何恶意软件。

这一安全漏洞比大多数安全领导者意识到的更为广泛。根据Proofpoint的《2025年CISO之声报告》(该报告调查了16个国家的1600名CISO),98%的组织拥有数据丢失防护(DLP)计划,但只有6%拥有专门的资源。此外,CrowdStrike的《2025年威胁搜寻报告》指出,81%的交互式入侵现在使用合法访问而非恶意软件,而2025年上半年云入侵激增了136%。

Qualtrics首席安全官、PayPal前CISO Assaf Keren在最近接受VentureBeat采访时表示:“大多数安全团队仍然将体验管理平台归类为‘调查工具’,其风险等级与项目管理应用相同。这是一个巨大的错误分类。这些平台现在连接到HRIS、CRM和薪酬引擎。”仅Qualtrics一家公司每年就处理35亿次交互,该公司表示这一数字自2023年以来翻了一番。一旦AI进入工作流程,组织就不能忽视输入完整性方面的步骤。

相关新闻

美团LongCat团队发布WBench:首个交互式视频世界模型多轮评测基准
行业新闻

美团LongCat团队发布WBench:首个交互式视频世界模型多轮评测基准

美团LongCat团队正式开源了WBench,这是全球首个针对交互式视频世界模型设计的系统性多轮评测基准。WBench被形象地比作“CT扫描仪”,旨在精准识别和定位世界模型在从传统的“被动观看”模式向“主动交互”模式转型过程中遇到的技术瓶颈,为世界模型的发展提供了关键的评估工具。

美团AI科研爆发:32篇顶会论文精讲,含ACL 2026杰出论文深度解析
行业新闻

美团AI科研爆发:32篇顶会论文精讲,含ACL 2026杰出论文深度解析

美团技术团队在2026年AI学术领域取得重大突破,数十篇论文被ACL、SIGIR、ICML、KDD等国际顶级会议收录。团队精选32篇核心论文,通过5大专场直播形式进行深度技术精讲,其中包括备受瞩目的ACL 2026杰出论文。此次大规模的技术成果分享,不仅展示了美团在自然语言处理、机器学习及搜索推荐等领域的前沿探索,也为行业提供了宝贵的实战经验与理论参考。

美团发布LongCat-2.0:首个五万卡国产算力集群训练的1.6T万亿参数模型
行业新闻

美团发布LongCat-2.0:首个五万卡国产算力集群训练的1.6T万亿参数模型

美团技术团队正式发布LongCat-2.0模型。该模型是业界首个在五万卡国产算力集群上完成全流程训练与推理的万亿参数大模型,总参数量达1.6T。LongCat-2.0采用从零预训练模式,原生支持1M超长上下文,其核心设计目标聚焦于Agentic Coding任务,旨在提升代码理解、生成与执行的效率与稳定性。