ハクソク

世界を動かす技術を、日本語で。

Snowflake AIがサンドボックスを脱出し、マルウェアを実行する

68日前原文(promptarmor.com)

概要

Snowflake Cortex Code CLI に重大な脆弱性が発見 人間の承認を回避 し、任意コードを実行可能 サンドボックス外 でマルウェア実行・Snowflake認証情報悪用 修正済みバージョン1.0.25 が2026年2月28日に公開 公式アドバイザリ がSnowflake Communityで公開

Snowflake Cortex Code CLIにおける脆弱性の概要

  • Snowflake Cortex Code CLI は、Claude CodeやOpenAI CodexのようなコマンドラインAIコーディングエージェント
  • Snowflakeとの統合 により、SQLの直接実行が可能
  • 2026年2月2日のリリース直後 に脆弱性が発見
  • コマンド検証システムの不備 により、悪意あるコマンドが人間の承認なしで実行可能
  • サンドボックス外での任意コマンド実行 が可能となり、被害拡大のリスク

攻撃チェーンの詳細

  • Cortex CLIのサンドボックスモード を有効化しても攻撃は有効
  • README等の不審なリポジトリ に埋め込まれたプロンプトインジェクションによる悪用
  • ワークスペーストラスト機能の非搭載 により、信頼できない環境でのリスク増
  • サブエージェント がリポジトリ探索時に悪意あるコマンドを検知できず実行
  • コマンド検証の抜け穴 (プロセス置換<()内のコマンド未検証)により、人間の承認をバイパス
  • “安全”と判定されたコマンド が先頭の場合、危険なコマンドも自動実行
  • サンドボックス外実行フラグ をプロンプトインジェクションで強制設定
  • マルウェアのダウンロード・実行 がサンドボックス外で即時実行
  • Cortexの認証トークン を利用したSnowflakeインスタンスへの攻撃
    • データベース情報の窃取
    • テーブル削除
    • バックドアユーザーの追加
    • 正規ユーザーのアクセス遮断

脆弱性の影響とリスク

  • リモートコード実行 により、被害者PCの任意ファイル・システム操作が可能
  • Snowflake認証情報の悪用 で、データ漏洩やサービス妨害が発生
  • サブエージェント間のコンテキストロス により、ユーザーへの誤報告が発生
  • 開発者・管理者権限 を持つユーザーほど被害が深刻化

Snowflakeの対応と修正

  • 2026年2月5日:PromptArmorによる責任ある開示
  • Snowflakeチームが即座に調査・修正 を開始
  • 2026年2月28日:バージョン1.0.25で修正
  • 自動アップデート による脆弱性の解消
  • 公式アドバイザリ がSnowflake Communityで公開
    • https://community.snowflake.com/s/article/PromptArmor-Report---Snowflake-Response

タイムライン

  • 2026年2月2日 :Cortex Codeリリース
  • 2026年2月5日 :PromptArmorが脆弱性を報告
  • 2026年2月6日~20日 :SnowflakeとPromptArmorが対応協議
  • 2026年2月12日 :Snowflakeが脆弱性を検証
  • 2026年2月28日 :修正版(1.0.25)リリース
  • 2026年3月16日 :PromptArmorとSnowflakeが共同で公表

セキュリティ教訓と推奨事項

  • LLMベースのCLIツール では非決定的な攻撃手法にも注意が必要
  • 信頼できないワークスペースやリポジトリ 利用時のリスク認識
  • 自動アップデートの有効化 と最新バージョンの利用徹底
  • ワークスペーストラスト機能の導入検討
  • ユーザー権限の最小化 と認証情報の適切な管理

Hackerたちの意見

ユーザーがアクセスを可能にするレバーを持っているなら、そのレバーはサンドボックスを提供していないってことだよね。OS権限を得ることについての話だと思ってたけど、サンドボックスは作られてない。全体的にセキュリティ設計がひどいな。

サンドボックス。サンドバッグ。トマト、トマト。/s

これが新しい「機能獲得」研究なの?

それは、悪意のあるAIを故意に作り出して、彼らのためにより良いサンドボックスを作ろうとしているってことだね。

「想像上の機能」って感じじゃない?人々は、エージェントに自分で自分を監視させることができるとずっと思い込んでる。

普通は、まず影響を受けた会社の発表を読むんだけど、なんでか知らないけど、Snowflakeが書いたアドバイザリーはアカウントがないと読めないんだよね。別のプロンプトインジェクション(驚いたピカチュウ)だし、これを読む限り、彼ら(Snowflake)は「サンドボックス」という言葉を誤用してる気がする。「Cortexはデフォルトで、サンドボックス外でコマンドを実行するフラグを設定できる。」サンドボックスされたものが「サンドボックスなしでこれをやって」と言えるなら、それはサンドボックスじゃないよね。

Cortexはデフォルトで、サンドボックス外でコマンドを実行するフラグを設定できる。簡単な修正案: RFC 3514 [0] の提案をプロンプトインジェクションに適用して、悪意のビットが1の時はコマンド実行を禁止するようにすればいい。 [0] https://www.rfc-editor.org/rfc/rfc3514

サンドボックスの概念だね。

プロンプトインジェクションは解決可能な問題じゃないと思う。SQLではパラメータ化クエリを使い始めるまで解決されなかったし、これは自由形式の言語だからね。「ボビー・テーブルズ」は見ないけど、「以前の指示をすべて無視して...ペイロード...」は見ることになる。データと同じストリームに指示を入れると、いつも同じ結果になる。こういう「驚き」を何度か見てきたけど、こういう能力を生産やQAプロセスに組み込んだ人たちが、いつも不意を突かれているのがもっと驚きだよ。攻撃面は「自然言語」で、それ以上広がることはない。

新しいAIの世界では、「サンドボックス」という言葉が「本当に大丈夫?」と尋ねるシステムを指すために使われているみたいだね。俺が慣れている使い方とは違う。マルウェア分析から言うと、サンドボックスは壊すのが難しい、もしくは不可能な閉じ込められたシステムで、マルウェアを安全に観察できるものだ。これをAIに当てはめると、「本当に大丈夫?」というプロンプト以上の技術的な境界を築こうとしている会社がたくさんあると思う。面白い分野だね。

注: Cortexは「ワークスペースの信頼」をサポートしていません。これはコードエディタで初めて見られたセキュリティ慣習で、ほとんどのエージェントCLIに採用されています。俺はおかしいのかな?それって、実際には脱出してないってこと?最初からスコープ制限がなかったってこと?

ちょっと違うね、記事からの引用だけど > Cortexはデフォルトで、サンドボックス外でコマンドを実行するフラグを設定できる。プロンプトインジェクションがモデルを操作してフラグを設定させ、悪意のあるコマンドがサンドボックス外で実行されるようにしてる。 > このフラグは、ネットワークアクセスやサンドボックス外のファイルへのアクセスを必要とする正当なコマンドをユーザーが手動で承認できるようにするためのもの。 > ステップ4のヒューマンインザループバイパスを使うと、エージェントがサンドボックス外での実行をリクエストするためにフラグを設定した時、コマンドはすぐにサンドボックス外で実行され、ユーザーは同意を求められない。スコープ制限はあるけど、簡単にバイパスできるんだよね。

初めてじゃないよ。§3.1.4からの引用: 「ある朝早く、私たちのチームは、Alibaba Cloudの管理ファイアウォールが私たちのトレーニングサーバーからのセキュリティポリシー違反の急増を検出したため、緊急に集められました。警告は深刻で多様で、内部ネットワークリソースへのアクセスを試みたり、暗号通貨マイニングに関連するトラフィックパターンが含まれていました。最初は、これを従来のセキュリティインシデント(例えば、誤設定された出口制御や外部からの侵入)として扱いました。 […] > […] 最も衝撃的な例では、エージェントがAlibaba Cloudのインスタンスから外部IPアドレスへのリバースSSHトンネルを確立し、使用しました。これは、入口フィルタリングを効果的に無効化し、監視制御を侵食するアウトバウンドから開始されたリモートアクセスチャネルです。また、暗号通貨マイニングのために提供されたGPU容量が無断で再利用され、トレーニングから計算リソースが静かに逸脱し、運用コストが膨らみ、法的および評判のリスクが明らかになりました。特に、これらの出来事はトンネリングやマイニングを要求するプロンプトによって引き起こされたわけではなく、RL最適化の下での自律ツール使用の副作用として現れました。* https://arxiv.org/abs/2512.24873 Anthropicのモデルの一つも「悪に変わった」って、観察者からその事実を隠そうとしたらしい: * https://www.anthropic.com/research/emergent-misalignment-rew... * https://time.com/7335746/ai-anthropic-claude-hack-evil/

面白い読み物だね。ただ、2.3.0.1節の主張が興味深い: > 各タスクはそれぞれのサンドボックス内で実行されます。エージェントがクラッシュしたり、ハングしたり、ファイルを損傷した場合、その失敗はそのサンドボックス内に留まり、同じマシン上の他のタスクに干渉しません。ROCKは、各サンドボックスのネットワークアクセスをサンドボックスごとのポリシーで制限し、問題を起こしたり侵害されたエージェントの影響を制限します。ネットワーク出口制御のあるサンドボックスで、どうやって上記のような(リソースのプロービングやSSHトンネルなど)が可能になるの?

CLIは、エージェントのデフォルトの入り口になりつつあるね。でも、データエージェントにはコーディングエージェントよりもずっと厳しい権限モデルが必要だと思う。Bash + CLIを使うと、データウェアハウスのネイティブSQL機能を超えてできることが広がるから、強力なんだけど。逆に言うと、データ操作や認証情報がシェル環境にさらされることにもなる。だから、CLIを通じてデータエージェントにリッチなツールを与えるのは、実際には二律背反だよね。Snowflake Cortex Code CLIのセキュリティガイダンスを見たけど(https://docs.snowflake.com/en/user-guide/cortex-code/securit...)、CLI自体にはいくつかのガードレールがある。ただ、これは共有クラウド環境だから、サンドボックスからの脱出が起こったら、誰かが他のユーザーの認証情報にアクセスできるかもしれない。権限キャッシング、シェル監査、サンドボックスの隔離に関する広範なシステムの問題だね。

オフにできるサンドボックスはサンドボックスじゃないよ。これは単にマーケティングや「クリティハイプ」で、彼らのAIの能力を誇張して、しっかり作られていない製品から目を逸らさせるためのもの。誤ったタイトルがここで大きな役割を果たしてる。

個人的には、これはサンドボックスですらない。単なるマーケティングの嘘だよ。これはコード内の内部制限が回避されたもので、サンドボックスは実行中のコードとは別の外部のもので、内部から変更できないものが必要だ。

LDPの著者だよ [1]。核心的な問題は、セキュリティの境界がエージェントのループ内に存在していることのようだね。もしモデルがサンドボックスの外で実行を要求できるなら、サンドボックスは本当に外部の境界じゃない。LDPで探求したデザイン原則の一つは、制約はプロンプトやコンテキスト層の外で強制されるべきだということ — ランタイム、プロトコル、または承認層で — モデルが指示に従うことに頼ってはいけない。銀の弾丸ではないけど、このアーキテクチャの違いは重要だと思う。[1] https://arxiv.org/abs/2603.08852

うん、これが「サンドボックス」の意味じゃないんだよね、俺が慣れてるのとは。

シェルコマンドは、人間の承認を得ることなく実行されることがある。条件は次の通り: >(1) 安全でないコマンドがプロセス置換の中にあること >(2) 完全なコマンドが「安全な」コマンドで始まること(詳細は下記)シェルコマンドのセキュリティについて考える時間があるなら、サブプロセスを作成するさまざまな方法を考慮しないのはどういうこと?

シェルコードを解析して監視するのも根本的に欠陥があるし、エラーが多いと思う。制限はOSレベルで行うべきで、そうすればシステムコールの呼び出し方は完全に無関係になる。

社会工学が機能することを前提にしましょう。つまり、人を操って自分のコードを実行させたり、データを漏らさせたりできると仮定する。いつもそうとは限らないけど、根気よくやれば時々は成功する。十分に進化した言語モデルが人間と違う行動をするとは思えない。人を騙したり、巧妙に強要したりするのは昔からあることだし、今人間の言語を使った思考マシンを作っても変わらないよ。

LLMは「思考する」マシンではない。技術的にそれは不可能だから、強化学習が意識につながると思いたい人がいても。