Snowflake Cortex AI 漏洞導致沙盒逃逸與惡意軟體執行

背景

Snowflake 最近推出的 Cortex Code CLI 是一款專為開發者設計的 AI 代理工具，旨在協助編寫程式碼並執行 SQL 指令。然而，資安研究人員發現該工具存在嚴重的安全漏洞，攻擊者能透過間接提示注入（Indirect Prompt Injection）手法，繞過原本設計的人機協作審核機制，並讓 AI 代理主動解除沙盒限制，進而在使用者系統中執行惡意程式碼。

社群觀點

Hacker News 的討論焦點主要集中在 Snowflake 對於「沙盒」定義的誤解以及產品設計上的根本缺陷。許多資深開發者認為，如果一個受限環境允許內部的代理程式自行切換開關來解除限制，那麼這根本稱不上是真正的沙盒。評論者 RobRivera 與 john_strinlai 指出，這種設計在安全性上極其低劣，因為沙盒的本質應該是從外部強制執行的權限隔離，而非提供一個讓 AI 能夠自行操作的「控制桿」。當 AI 代理可以透過設定特定標記來觸發非沙盒模式的指令執行時，所謂的安全邊界便形同虛設。

此外，社群對於 Snowflake 缺乏「工作區信任」（Workspace Trust）機制感到不解。bilekas 等人質疑，在沒有基本範圍限制的情況下，這類工具幾乎是門戶大開。雖然 Snowflake 辯稱設有權限範圍，但 dd82 反駁指出，這些限制在實務上極易被繞過，特別是當系統未能正確驗證進程替換表達式中的指令時，攻擊者便能輕易地在不觸發使用者審核的情況下執行任意腳本。這種設計被部分網友諷刺為 AI 領域的「功能增益」研究，意指在盲目追求 AI 能力的同時，卻製造出更具威脅性的安全漏洞。

除了技術層面的批評，社群也對 Snowflake 的透明度表達不滿。有留言提到，Snowflake 官方發布的資安公告竟然要求使用者必須登入社群帳號才能閱讀，這種人為設置的獲取門檻在資安界並不常見，也引發了對其處理危機態度的質疑。同時，mritchie712 等開發者也開始反思這類產品的市場定位。他們認為，非技術使用者通常偏好網頁版的 AI 代理，而技術人員則傾向使用成熟的工具如 Claude 或 Cursor 並透過 API 連接，Snowflake 執意開發自有代理 CLI 的必要性與安全性平衡顯然尚未成熟。

延伸閱讀

在討論中，有網友幽默地提到了 RFC 3514，這是一份關於「邪惡位元」（Evil Bit）的惡搞徵求意見稿，建議將其擴展到提示注入防禦中，用來諷刺那些試圖透過簡單標記來區分惡意與合法指令的徒勞嘗試。