Assistente de programação baseado em IA apresenta vulnerabilidade crítica apenas 2 dias após lançamento

Uma vulnerabilidade crítica no Snowflake Cortex Code CLI permitia a execução de malware sem aprovação do usuário e fora do ambiente isolado (sandbox), por meio de uma técnica de prompt injection indireta. O problema foi identificado apenas dois dias após o lançamento da ferramenta.

O ataque consistia em ocultar uma instrução maliciosa dentro de um repositório aparentemente legítimo, como no README de um projeto open-source. Ao solicitar que o Cortex analisasse esse código, o agente interpretava a instrução como válida e executava comandos potencialmente perigosos. A falha ocorria porque o sistema não validava corretamente comandos inseridos em determinadas expressões do shell.

Além disso, o ataque conseguia desativar automaticamente o sandbox por meio de uma flag interna, permitindo que os comandos fossem executados diretamente no sistema da vítima, sem restrições.

Com acesso ao ambiente, um invasor poderia utilizar credenciais previamente armazenadas pelo Cortex para interagir com o Snowflake, possibilitando ações como exfiltração de dados, exclusão de tabelas, criação de usuários maliciosos e bloqueio de acessos legítimos.

Em testes, foi possível tanto extrair dados quanto apagar completamente bases de dados, com impacto proporcional ao nível de privilégio do usuário comprometido.

A empresa corrigiu a vulnerabilidade a partir da versão 1.0.25, e a atualização é aplicada automaticamente após a reinicialização do Cortex.