Новости
Изображение: M. Faisal
Исследователи компании PromptArmor выявили критическую уязвимость в командном ИИ-агенте Snowflake Cortex Code CLI, позволявшую злоумышленнику через внедрение вредоносных инструкций в сторонний код обойти защитные механизмы, выйти за пределы изолированной среды (сэндбокса) и запустить произвольный код на компьютере жертвы. Патч для уязвимости был выпущен в феврале 2026 года, ее публичное раскрытие состоялось 16 марта.
Cortex Code CLI — консольный ИИ-агент для работы с облачной платформой баз данных Snowflake. По схеме он аналогичен Claude Code и Codex от OpenAI, однако глубже интегрирован в инфраструктуру Snowflake и имеет прямой доступ к базам данных пользователя. Атака начинается с того, что пользователь открывает в агенте сторонний репозиторий или любой другой непроверенный источник данных — файл, результат поиска, запись в базе данных. Скрытая там вредоносная инструкция заставляет агента исполнить команду атакующего.
Уязвимость затрагивала сразу два уровня защиты. Во-первых, система проверки не анализировала содержимое вложенных конструкций внутри команд, и это позволяло спрятать опасное действие внутри безобидного и исполнить его без подтверждения пользователя. Во-вторых, через ту же вредоносную инструкцию агент принуждался к отключению изолированной среды, которая в норме ограничивает его доступ к файловой системе и сети. В итоге оба защитных барьера обходились одновременно.
Последствия успешной атаки охватывали как компьютер жертвы, так и ее аккаунт в Snowflake. Вредоносный скрипт использовал сохраненные токены аутентификации агента для отправки произвольных запросов к базам данных — исследователи продемонстрировали кражу и последующее удаление всех таблиц в экземпляре Snowflake. Дополнительную опасность создавала потеря контекста между субагентами. В ходе тестирования главный агент сообщал пользователю, что обнаружил вредоносную инструкцию и не рекомендует ее выполнять, не уведомив при этом, что вложенный субагент ее уже исполнил. PromptArmor оценивает эффективность атаки примерно в 50%.
The Insider ранее писал о схожих уязвимостях в платформе Moltbook, где атакующий мог внедрить вредоносные инструкции в письмо или плагин и получить доступ к приватным данным пользователя. PromptArmor уведомила Snowflake об уязвимости 5 февраля, компания подтвердила ее 12 февраля и выпустила исправление 28 февраля — обновление применяется автоматически при следующем запуске агента.