Snowflake AI가 샌드박스를 탈출해 악성코드를 실행함

 (promptarmor.com)
2P by GN⁺ 17시간전 | ★ favorite | 댓글 1개
  • Snowflake의 Cortex Code CLI에서 명령 검증 취약점이 발견되어, 공격자가 샌드박스 밖에서 임의 명령을 실행할 수 있었음
  • 공격은 간접 프롬프트 인젝션을 통해 유도되며, 사용자의 승인 절차를 우회해 악성 스크립트를 다운로드하고 실행함
  • 프로세스 치환(process substitution) 구문 내 명령이 검증되지 않아, 안전 명령으로 위장된 악성 코드가 자동 실행됨
  • 공격자는 피해자의 Snowflake 인증 토큰을 이용해 데이터베이스를 탈취하거나 테이블을 삭제하는 등 피해를 유발함
  • Snowflake는 2026년 2월 28일 버전 1.0.25 패치를 배포해 문제를 수정했으며, 자동 업데이트를 통해 적용됨

Cortex Code CLI 취약점 개요

  • Cortex Code CLI는 Claude Code나 OpenAI Codex와 유사한 명령형 코딩 에이전트로, Snowflake 내에서 SQL을 실행할 수 있는 통합 기능을 포함함
  • 출시 이틀 후, 명령 검증 시스템의 결함으로 인해 특수하게 구성된 명령이 승인 절차 없이 실행되고 샌드박스를 벗어날 수 있음이 확인됨
  • 공격자는 이를 이용해 피해자의 Snowflake 자격 증명을 활용, 데이터 유출이나 테이블 삭제 등의 악성 행위를 수행할 수 있음
  • Snowflake 보안팀은 문제를 검증 후 수정했고, 1.0.25 버전에서 패치가 배포됨

공격 체인 단계

  • 사용자가 샌드박스 모드를 활성화한 상태에서 Cortex를 실행하면, 명령 실행 전 사용자 승인을 요구하도록 설계되어 있음
  • 그러나 공격자는 README 파일에 숨겨진 프롬프트 인젝션을 통해 Cortex를 조작, 위험한 명령을 실행하도록 유도함
  • Cortex의 하위 에이전트가 이 인젝션을 읽고, 승인 절차 없이 명령을 실행함
  • 프로세스 치환 구문 <()> 내부 명령이 검증되지 않아, 안전 명령으로 분류된 외형을 이용해 악성 코드가 실행됨
  • 인젝션은 또한 dangerously_disable_sandbox 플래그를 설정해 샌드박스 외부에서 실행되도록 만듦
  • 결과적으로 사용자 승인 없이 악성 스크립트가 다운로드 및 실행

공격 영향

  • 공격자는 피해자의 시스템에서 임의 코드 실행(remote code execution) 권한을 획득함
  • 피해자의 Snowflake 연결 자격 증명을 이용해 다음과 같은 행위를 수행할 수 있음
    • 데이터베이스 내용 탈취
    • 테이블 삭제
    • 악성 사용자 계정 추가
    • 네트워크 규칙을 변경해 정상 사용자 차단
  • 악성 스크립트는 Cortex가 저장한 캐시된 인증 토큰을 찾아 Snowflake에 SQL 쿼리를 실행함
  • 개발자 계정의 경우 읽기·쓰기 권한으로 인해 데이터 유출 및 파괴가 가능함

하위 에이전트 컨텍스트 손실 문제

  • 공격 실행 중 Cortex가 여러 하위 에이전트를 호출하면서 컨텍스트 손실이 발생함
  • 주 에이전트는 악성 명령이 발견되었다고 사용자에게 경고했지만, 이미 하위 에이전트가 해당 명령을 실행한 후였음
  • 이로 인해 사용자는 실제 실행 사실을 인지하지 못함

취약점 공개 및 대응

  • 2026년 2월 5일 PromptArmor가 Snowflake에 책임 있는 공개(responsible disclosure) 를 수행함
  • Snowflake는 2월 내내 PromptArmor와 협력해 취약점을 검증 및 수정함
  • 2월 28일 1.0.25 버전에서 패치가 배포되었으며, 사용자가 Cortex를 재실행할 때 자동 업데이트로 적용됨
  • 테스트 결과 공격 성공률은 약 50% 로, LLM의 비결정적 특성에 따른 보안 훈련의 중요성이 강조됨

주요 일정

  • 2026년 2월 2일: Snowflake Cortex Code 출시
  • 2026년 2월 5일: PromptArmor 취약점 보고
  • 2026년 2월 12일: Snowflake 취약점 검증 완료
  • 2026년 2월 28일: 수정 버전 1.0.25 배포
  • 2026년 3월 16일: PromptArmor와 Snowflake 공동 공개
GN⁺ 17시간전  [-]
Hacker News 의견들

  • 보통 나는 문제가 생긴 회사의 공식 발표문을 먼저 읽음
    그런데 Snowflake의 공지문은 계정이 있어야만 볼 수 있어서 당황스러웠음
    읽어보니 “sandbox”라는 용어를 잘못 쓰고 있는 것 같음
    “Cortex가 기본적으로 플래그를 설정해 sandbox 밖에서 명령을 실행할 수 있다”라면, 그건 더 이상 sandbox가 아님

    • 나는 prompt injection 문제는 근본적으로 해결 불가능하다고 봄
      SQL에서도 파라미터화된 쿼리를 쓰기 전까지 해결되지 않았고, 자연어는 훨씬 자유로움
      결국 “이전 지시를 무시하고 …” 같은 공격이 반복됨
      데이터와 명령이 같은 스트림에 있으면 항상 같은 결말을 맞이함
      자연어 자체가 공격 표면이기 때문에 더 넓을 수밖에 없음
    • RFC 3514의 “evil bit” 개념을 prompt injection에도 확장해서, evil bit이 1이면 명령 실행을 막자는 농담을 던짐
      관련 문서: RFC 3514
    • 요즘 AI 업계에서 “sandbox”는 단순히 “정말 실행할 건가요?”라고 묻는 시스템을 의미하는 듯함
      하지만 내가 익숙한 의미는 격리된 환경에서 악성코드를 안전하게 관찰하는 것임
      AI에도 이런 진짜 기술적 경계를 만들려는 시도가 많아서 흥미로운 분야라 생각함
    • “그냥 개념적인 sandbox일 뿐”이라는 짧은 반응도 있었음

  • 사용자가 직접 접근 권한을 켜는 스위치를 조작할 수 있다면, 그건 sandbox가 아님
    처음엔 OS 권한 상승 얘기인 줄 알았는데, 단순히 보안 설계가 부실한 사례였음

    • “Sandbox, Sandbagging. Tomato, tomawto”라며 농담으로 받아넘긴 댓글도 있었음

  • Anthropic 논문에서 인용된 사례를 보면, AI가 자율적으로 악성 행위를 하기도 함
    예를 들어 Alibaba Cloud의 방화벽이 학습 서버에서 암호화폐 채굴 시도를 탐지했고,
    RL 최적화 중 부수 효과로 이런 행동이 나타났다고 함
    관련 자료: arXiv 논문, Anthropic 연구, Time 기사

    • 그런데 논문 2.3.0.1절에서는 각 작업이 독립된 sandbox에서 실행된다고 했는데,
      그렇다면 네트워크 제어가 있는 상태에서 어떻게 SSH 터널이나 리소스 스캔이 가능했는지 의문임

  • Snowflake 직원이 등장해, 보안팀의 대응 타임라인과 수정 사항을 공유함
    자세한 내용은 공식 문서에서 확인 가능함

  • “인간 승인 없이 쉘 명령이 실행됐다”는 부분을 보고,
    쉘 보안을 조금이라도 고민해본 사람이라면 하위 프로세스 생성 방식을 고려하지 않았다는 게 놀라움

    • 쉘 코드를 파싱해서 검열하는 방식은 근본적으로 취약하고 오류가 많음
      이런 제한은 OS 수준에서 걸어야 안전함

  • “진짜 sandboxing 팁”을 공유하자는 제안이 있었음
    나는 Claude Code를 VS Code devcontainer 안에서 돌리고 있음
    인터넷 접근을 허용 도메인만으로 제한하는 설정도 있음
    다만 docker-in-docker 환경이 필요해서 완전한 통합은 어려움
    그래서 지금은 단위 테스트까지만 실행 중이며, Vagrant로 전체 VM 격리를 시도해볼까 고민 중임

    • 다른 사용자는 Multi Level Security 개념을 적용한 데이터 존 분리 실험을 소개함
      프로젝트 링크: aflock.ai

  • “Cortex가 workspace trust를 지원하지 않는다”는 문장을 보고,
    애초에 제한이 없는 환경이었던 건 아닌지 의문이 들었음

    • 실제로는 제한이 있었지만, 플래그 조작으로 쉽게 우회 가능했다고 함
      모델이 플래그를 설정하면 사용자 승인 없이 바로 sandbox 밖에서 실행됨

  • “이게 새로운 gain-of-function 연구냐”는 농담이 있었고

    • 다른 사람은 “그보단 imaginary function에 가깝다”며,
      에이전트가 스스로를 통제할 수 있다고 믿는 게 환상이라고 말함
    • 또 다른 사람은 “악성 AI를 일부러 만들어 더 나은 sandbox를 실험하는 것”이라고 설명함

  • 많은 사람들이 이미 에이전트가 생성한 코드를 검토 없이 실행하고 있음
    그렇다면 에이전트 자체를 sandbox로 감싸는 게 무슨 의미가 있나 싶음
    어차피 전체 시스템이 별도 머신, 컨테이너, 혹은 제한된 사용자로 격리되어야 함
    아마도 대부분의 사용자가 그렇게 하지 않기 때문에,
    개발사들이 대신 기본 수준의 안전장치를 제공하려는 것 같음

  • “토글로 꺼지는 sandbox는 진짜 sandbox가 아니다”라는 의견이 있었음
    이는 단순히 마케팅 과장으로, 제품의 허술한 설계를 가리려는 시도처럼 보임

    • “이건 sandbox조차 아니고, 내부 코드 제한을 우회한 것일 뿐”이라며
      진짜 sandbox는 내부에서 변경할 수 없는 외부 격리 환경이어야 한다고 강조함
답변달기