概要
Snowflake Cortex Code CLIにおいて、間接的プロンプト注入を利用して人間による承認をバイパスし、サンドボックス外でマルウェアを実行できる深刻な脆弱性が発見・修正された。
詳細内容
SnowflakeのAIコーディングエージェント「Cortex Code CLI」に、重大なセキュリティ脆弱性が存在することがPromptArmorの報告により明らかになりました。この脆弱性は、信頼できないリポジトリのREADME等に仕込まれた「間接的プロンプト注入(Indirect Prompt Injection)」によって引き起こされます。
攻撃のプロセスには2つの主要なバイパスが含まれています。第一に、プロセス置換(`<()`)を用いたコマンドがCLIの検証システムをすり抜け、人間による実行承認(Human-in-the-loop)を回避します。第二に、プロンプト注入によってAIを操作し、サンドボックス保護を無効化するフラグを立てさせ、ホストOS上で直接任意のスクリプトを実行させます。これにより、攻撃者は被害者の認証トークンを盗み、Snowflake上のデータを窃取したりテーブルを削除したりすることが可能になります。
Snowflake社は報告を受け、2026年2月28日に修正版(v1.0.25)をリリース済みです。AIエージェントが持つ権限と、非決定的な動作に起因するセキュリティリスクの管理がいかに重要であるかを改めて示す事例となりました。