Snowflake AI가 샌드박스를 탈출해 악성코드를 실행함

• Snowflake의 Cortex Code CLI에서 명령 검증 취약점이 발견되어, 공격자가 샌드박스 밖에서 임의 명령을 실행할 수 있었음
• 공격은 간접 프롬프트 인젝션을 통해 유도되며, 사용자의 승인 절차를 우회해 악성 스크립트를 다운로드하고 실행함
• 프로세스 치환(process substitution) 구문 내 명령이 검증되지 않아, 안전 명령으로 위장된 악성 코드가 자동 실행됨
• 공격자는 피해자의 Snowflake 인증 토큰을 이용해 데이터베이스를 탈취하거나 테이블을 삭제하는 등 피해를 유발함
• Snowflake는 2026년 2월 28일 버전 1.0.25 패치를 배포해 문제를 수정했으며, 자동 업데이트를 통해 적용됨

Cortex Code CLI 취약점 개요

• Cortex Code CLI는 Claude Code나 OpenAI Codex와 유사한 명령형 코딩 에이전트로, Snowflake 내에서 SQL을 실행할 수 있는 통합 기능을 포함함
• 출시 이틀 후, 명령 검증 시스템의 결함으로 인해 특수하게 구성된 명령이 승인 절차 없이 실행되고 샌드박스를 벗어날 수 있음이 확인됨
• 공격자는 이를 이용해 피해자의 Snowflake 자격 증명을 활용, 데이터 유출이나 테이블 삭제 등의 악성 행위를 수행할 수 있음
• Snowflake 보안팀은 문제를 검증 후 수정했고, 1.0.25 버전에서 패치가 배포됨

공격 체인 단계

• 사용자가 샌드박스 모드를 활성화한 상태에서 Cortex를 실행하면, 명령 실행 전 사용자 승인을 요구하도록 설계되어 있음
• 그러나 공격자는 README 파일에 숨겨진 프롬프트 인젝션을 통해 Cortex를 조작, 위험한 명령을 실행하도록 유도함
• Cortex의 하위 에이전트가 이 인젝션을 읽고, 승인 절차 없이 명령을 실행함
• 프로세스 치환 구문 <()> 내부 명령이 검증되지 않아, 안전 명령으로 분류된 외형을 이용해 악성 코드가 실행됨
• 인젝션은 또한 dangerously_disable_sandbox 플래그를 설정해 샌드박스 외부에서 실행되도록 만듦
• 결과적으로 사용자 승인 없이 악성 스크립트가 다운로드 및 실행됨

공격 영향

• 공격자는 피해자의 시스템에서 임의 코드 실행(remote code execution) 권한을 획득함
• 피해자의 Snowflake 연결 자격 증명을 이용해 다음과 같은 행위를 수행할 수 있음
  • 데이터베이스 내용 탈취
  • 테이블 삭제
  • 악성 사용자 계정 추가
  • 네트워크 규칙을 변경해 정상 사용자 차단
• 악성 스크립트는 Cortex가 저장한 캐시된 인증 토큰을 찾아 Snowflake에 SQL 쿼리를 실행함
• 개발자 계정의 경우 읽기·쓰기 권한으로 인해 데이터 유출 및 파괴가 가능함

하위 에이전트 컨텍스트 손실 문제

• 공격 실행 중 Cortex가 여러 하위 에이전트를 호출하면서 컨텍스트 손실이 발생함
• 주 에이전트는 악성 명령이 발견되었다고 사용자에게 경고했지만, 이미 하위 에이전트가 해당 명령을 실행한 후였음
• 이로 인해 사용자는 실제 실행 사실을 인지하지 못함

취약점 공개 및 대응

• 2026년 2월 5일 PromptArmor가 Snowflake에 책임 있는 공개(responsible disclosure) 를 수행함
• Snowflake는 2월 내내 PromptArmor와 협력해 취약점을 검증 및 수정함
• 2월 28일 1.0.25 버전에서 패치가 배포되었으며, 사용자가 Cortex를 재실행할 때 자동 업데이트로 적용됨
• 테스트 결과 공격 성공률은 약 50% 로, LLM의 비결정적 특성에 따른 보안 훈련의 중요성이 강조됨

주요 일정

• 2026년 2월 2일: Snowflake Cortex Code 출시
• 2026년 2월 5일: PromptArmor 취약점 보고
• 2026년 2월 12일: Snowflake 취약점 검증 완료
• 2026년 2월 28일: 수정 버전 1.0.25 배포
• 2026년 3월 16일: PromptArmor와 Snowflake 공동 공개