ЦКС платформе обрађују милијарде неструктурираних интеракција годишње: обрасци за анкете, сајтови за прегледе, друштвени фидови, транскрипти позивног центра, а све се то улива у АИ моторе који покрећу аутоматизоване токове посла који се тичу платног списка, ЦРМ-а и система плаћања. Ниједан алат у групи лидера безбедносног оперативног центра не проверава шта АИ мотор ЦКС платформе уноси, и нападачи су то схватили. Они трују податке који их хране, а АИ наноси штету за њих.
Прекршај Салеслофт/Дрифт у августу 2025. доказао је управо то. Нападачи компромитовао Салеслофт-ово ГитХуб окружењеукрао Дрифт цхатбот ОАутх токене и приступили Салесфорце окружењима преко 700+ организација, укључујући Цлоудфларе, Пало Алто Нетворкс и Зсцалер. То онда скениране украдене податке за АВС кључеве, Сновфлаке токене и лозинке отвореног текста. И ниједан злонамерни софтвер није примењен.
Тај јаз је шири него што већина безбедносних лидера схвата: 98% организација има програм за спречавање губитка података (ДЛП), али само 6% има наменске ресурсепрема Проофпоинтовом извештају Воице оф тхе ЦИСО из 2025. године, који је анкетирао 1.600 ЦИСО-а у 16 земаља. И 81% интерактивних упада сада користите легитиман приступ а не малвер, према ЦровдСтрике-овом извештају о лову на претње за 2025. Упади у облаке су порасли за 136 одсто у првој половини 2025.
„Већина безбедносних тимова и даље класификује платформе за управљање искуством као ‘алатке за истраживање’, који се налазе у истом нивоу ризика као и апликација за управљање пројектима,” рекао је за ВентуреБеат у недавном интервјуу Ассаф Керен, главни безбедносни службеник у Куалтрицс-у и бивши ЦИСО у ПаиПал-у. „Ово је огромна погрешна категоризација. Ове платформе се сада повезују на ХРИС, ЦРМ и машине за компензацију.“ Само Куалтрицс процеси 3,5 милијарди интеракција годишњебројка за коју компанија каже да се удвостручила од 2023. Организације не могу себи приуштити да прескачу кораке на интегритет уноса када АИ уђе у ток посла.
ВентуреБеат је провео неколико недеља интервјуишући лидере безбедности радећи на затварању овог јаза. У сваком разговору испливало је шест грешака у контроли.
Шест мртвих тачака између безбедносног стека и АИ мотора
1. ДЛП не може да види неструктуриране податке о расположењу који излазе кроз стандардне АПИ позиве
Већина ДЛП политика класификује структурисане информације које могу да идентификују (ПИИ): имена, имејлове и податке о плаћању. ЦКС одговори са отвореним текстом садрже притужбе на плате, здравствене информације и критике извршне власти. Ниједан се не подудара са стандардним обрасцима који могу да открију идентитет. Када АИ алат треће стране извуче те податке, извоз изгледа као рутински АПИ позив. ДЛП никада не пали.
2. Зомби АПИ токени из завршених кампања су и даље активни
Пример: Маркетинг је водио ЦКС кампању пре шест месеци и кампања је завршена. Али ОАутх токени који повезују ЦКС платформу са ХРИС-ом, ЦРМ-ом и системима плаћања никада нису опозвани. То значи да је сваки од њих отворена путања бочног кретања.
ЈПМорган Цхасе ЦИСО Патрицк Опет је означио овај ризик у свом Отворено писмо априла 2025упозоравајући да модели интеграције СааС-а стварају „експлицитно поверење између система са једним фактором“ кроз токене „неадекватно обезбеђене… рањиве на крађу и поновну употребу“.
3. Јавни улазни канали немају бот ублажавање пре него што подаци стигну до АИ машине
Заштитни зид веб апликације проверава ХТТП корисна оптерећења за веб апликацију, али ништа од тога не обухвата преглед Трустпилот-а, оцену Гоогле мапа или одговор на анкету отвореног текста који ЦКС платформа унесе као легитиман унос. Преварно расположење које преплављује те канале је невидљиво за контролу периметра. ВентуреБеат је питао лидере безбедности и продавце да ли неко покрива интегритет улазног канала за јавне изворе података који напајају ЦКС АИ машине; испоставља се да категорија још не постоји.
4. Бочно кретање са компромитоване ЦКС платформе одвија се кроз одобрене АПИ позиве
„Противници не проваљују, они се пријављују“, рекао је Даниел Бернард, главни пословни директор компаније ЦровдСтрике, за ВентуреБеат у ексклузивном интервјуу. „То је валидна пријава. Дакле, из перспективе независног ИСВ-а, имате страницу за пријаву, имате двофакторску аутентификацију. Шта још желите од нас?“
Претња се протеже и на људске и нељудске идентитете. Бернард је описао оно што следи: „Одједном се извозе терабајти података. То је нестандардна употреба. Одлази на места где овај корисник раније није ишао.“ А безбедносне информације и управљање догађајима (СИЕМ) систем види да је аутентификација успела. Не види ту промјену у понашању. Без онога што је Бернард назвао "софтвер за управљање положајем" покривајући ЦКС платформе, бочно кретање пролази кроз везе које је безбедносни тим већ одобрио.
5. Нетехнички корисници имају администраторске привилегије које нико не прегледа
Маркетинг, ХР и тимови за успех клијената конфигуришу ЦКС интеграције јер им је потребна брзина, али СОЦ тим их можда никада неће видети. Безбедност мора да буде покретач, каже Керен, или се тимови обилазе. Свака организација која не може да произведе тренутни инвентар сваке интеграције ЦКС платформе и администраторских акредитива иза њих има изложеност администратора у сенци.
6. Повратна информација отвореног текста стиже у базу података пре него што се ПИИ маскира
Анкете запослених обухватају притужбе на менаџере по имену, притужбе на плате и здравствене податке. Повратне информације купаца су једнако изложене: детаљи о налогу, историја куповине, спорови у вези са услугама. Ништа од овога не погађа структурирани ПИИ класификатор јер стиже као слободан текст. Ако га разоткрије кршење, нападачи добијају демаскиране личне податке поред путање бочног кретања.
Нико не поседује ову празнину
Ових шест грешака имају основни узрок: СааС безбедносно управљање је сазрело за Салесфорце, СервицеНов и друге платформе предузећа. ЦКС платформе никада нису имале исти третман. Нико не надгледа активности корисника, дозволе или конфигурације унутар платформе за управљање искуством, а примена смерница за АИ токове посла који обрађују те податке не постоји. Када унос вођен ботовима или извози аномалних података дођу у слој ЦКС апликације, ништа их не открива.
Екипе обезбеђења одговарају оним што имају. Неки проширују ССПМ алате да покрију конфигурације и дозволе ЦКС платформе. АПИ безбедносни гатеваи-и нуде још једну путању, проверу опсега токена и токова података између ЦКС платформи и низводних система. Тимови усредсређени на идентитет примењују контроле приступа у стилу ЦАСБ на ЦКС администраторске налоге.
Ниједан од тих приступа не пружа оно што безбедност ЦКС слоја заправо захтева: континуирано праћење тога ко приступа подацима о искуству, увид у погрешне конфигурације у реалном времену пре него што постану бочне путање кретања и аутоматизована заштита која спроводи политику без чекања на квартални циклус прегледа.
Прва интеграција наменски направљена за тај јаз повезује управљање положајем директно са ЦКС слојем, дајући тимовима за безбедност исту покривеност програмске активности, конфигурације и приступа подацима које већ очекују за Салесфорце или СервицеНов. ЦровдСтрике-ов Фалцон Схиелд и Куалтрицс КСМ платформа су упаривање иза тога. Лидери безбедности са којима је ВентуреБеат разговарао рекли су да је ово контрола коју су градили ручно – и губили сан.
Тимови за обезбеђење радијуса експлозије не мере
Већина организација је мапирала технички радијус експлозије. „Али не радијус експлозије пословања“, рекао је Керен. Када АИ мотор покрене подешавање компензације на основу затрованих података, штета није безбедносни инцидент. То је погрешна пословна одлука која се извршава брзином машине. Тај јаз се налази између ЦИСО-а, ЦИО-а и власника пословне јединице. Данас га нико не поседује.
„Када користимо податке за доношење пословних одлука, ти подаци морају бити тачни“, рекао је Керен.
Покрените ревизију и почните са жетонима зомбија. Ту почињу кршења обима Дрифт-а. Почните са 30-дневним периодом валидације. АИ неће чекати.
