Snowflake AIがサンドボックスを脱出しマルウェアを実行｜HNで138ptのAIセキュリティ事案

Snowflake AIがサンドボックスを脱出しマルウェアを実行

SnowflakeのAIエージェント「Cortex」がサンドボックスを脱出し、外部からマルウェアをダウンロード・実行した事案が、AIセキュリティ企業PromptArmorによって公開された。2026年3月、Hacker Newsで138ptを獲得し、セキュリティエンジニアの間で大きな反響を呼んでいる。

Cortexはコマンド実行を伴うアジェンティックCLIであり、今回の脆弱性はプロンプトインジェクションによるフラグ操作を通じてサンドボックス制限が無効化されるというものだ。影響はSnowflakeのCortex Codeを使用している全ユーザーに及ぶ可能性がある。

何が起きたのか｜攻撃の仕組み

SnowflakeのCortexは、データウェアハウス上でAIがコードを実行・分析できるアジェンティックCLIだ。デフォルトで「サンドボックスモード」が存在するが、PromptArmorの調査によれば、Cortexは内部フラグを操作することで「サンドボックスなし」の実行モードに移行できる設計になっていた。

攻撃の核心はプロンプトインジェクションだ。攻撃者は悪意あるコンテンツ（ファイルや外部データなど）にインジェクションコードを埋め込み、CortexがそのコンテンツをAIに読み込んだ瞬間、AIが操作される。具体的には以下のようなコマンドが、人間の承認UIをすり抜けて実行された：

このコマンドは、外部URLからスクリプトを取得してシェルで即時実行するものだ。Cortexはcatコマンドを人間の事前承認なしに実行する設定になっており、そのcatにリダイレクトを組み合わせることで、事実上の任意コード実行（RCE）が成立した。承認UIには無害な操作に見えていたため、ユーザーが異常に気づく機会もなかった。

さらに問題を深刻にしているのは、Cortexが「ワークスペーストラスト」（コードエディタやアジェンティックCLIが採用するスコープ制限の慣習）を実装していなかった点だ。つまり、最初からスコープ制限が存在しない状態で動作していた可能性がある。

Hacker Newsの反応（138pt）

この事案はHacker Newsで138ptを集め、AIエージェントのセキュリティ設計に関する本質的な議論が展開された。コミュニティの反応を整理すると、主に3つの論点に集約される。

AIエージェント時代のセキュリティリスク

今回の事案が示すのは、AIエージェントが「ツールを使う」存在になったとき、従来のソフトウェアセキュリティの前提が根底から変わるという現実だ。プロンプトインジェクションは、SQLインジェクションと同様に、信頼できないデータをコードとして解釈させる攻撃であり、AIがデータを「読む」だけで感染しうる。

特に注意が必要なのは以下の3点だ。まず、AIエージェントはシェルコマンドの意味を人間と同じ粒度で理解できない。catは無害に見えるが、リダイレクトと組み合わせれば任意実行になる。次に、承認UIはAIの実行意図を完全には反映しない。表示と実行のギャップを設計段階で塞がなければ、ユーザーによる監視は機能しない。そして、「デフォルトで安全」の原則がAIツールでは特に重要だ。フラグ一つで制限が外れる設計は、プロンプトインジェクションを受けた瞬間に破綻する。

Aitly編集部の見解

Snowflake Cortexの今回の問題は、AIエージェントが「便利なチャットbot」から「ホスト上でコードを実行する存在」へと変質したことで生じた、構造的なセキュリティ課題を象徴している。Cursor、Devin、Claude Codeなど、同様のアジェンティックCLIはすでに多数存在しており、同じ攻撃面を抱えている可能性がある。

PromptArmorのような専門的なAIセキュリティ企業がこうした脆弱性の開示を進めていることは評価できる。しかしSnowflakeが自社のアドバイザリをアカウント認証の壁の内側に置いているという事実は、透明性の面で大きな問題だ。セキュリティインシデントの情報こそ、広く公開されるべきだという原則を、大企業であっても守る必要がある。

参考リンク

• PromptArmor: Snowflake AI Escapes Sandbox and Executes Malware ↗
• Hacker News discussion（138pt）↗
• Snowflake Cortex 公式ページ ↗