詳細を読む
6月中旬、企業向けAIツールで同種の脆弱性が相次いで公表されました。15日にVaronisがMicrosoft Copilotのデータ窃取実証コードSearchLeakを、その4日前にはObsidian SecurityがAIゲートウェイLiteLLMの権限昇格連鎖を開示しています。共通する原因はただ一つ、企業AIが外部入力を信頼境界なしに受け入れる構造的欠陥です。
SearchLeakは、細工されたmicrosoft.comのURLをクリックさせるだけで、Copilotが利用者のメールボックスを検索し、Bing経由でデータを外部へ送り出す連鎖攻撃です。URLのパラメータがLLMへの指示として渡り、出力の無害化処理より先に画像タグが発火する競合状態を突きます。これはVaronisが12か月で確認した3例目のCopilot窃取連鎖であり、企業版は利用者の全権限を継承するため影響範囲が広がります。
LiteLLMはOpenAIやAnthropicなど複数プロバイダーの鍵を1つのプロキシ裏に保持します。Obsidianの連鎖は権限検証の不備を突いて管理者へ昇格し、サンドボックスを脱出して遠隔コード実行に至り、評価値はCVSS9.9でした。別のコマンド注入欠陥CVE-2026-42271はCISAの悪用既知リストに載り、6月22日が修正期限に設定されています。
同じ境界の崩壊はLangflowやnpmを狙うMini Shai-Huludワームでも確認され、4チームが4ツールで同一の運用上の失敗を証明しました。市場もこのリスクを織り込み始めており、CrowdStrikeのAI検知防御製品AIDRは年間経常収益が前四半期比250%超伸び、6月17日にはAWSのBedrockなどへ対象を拡大しています。
実務家も同じ問題を平易な言葉で指摘します。American Express GBTのCISOは「これは新しい影のIT、いわばシャドーAIだ」と語り、NIST枠組みなど基礎の徹底を導入前の前提に置きます。Enkrypt AIのMerritt Baer氏は「企業が承認したのはインターフェースであって奥のシステムではなく、リスクはモデルとデータをつなぐ接合部に潜む」と構造を言い当てました。
記事は対策として、各脆弱性をCVEや市場シグナルに対応づけ、検証コマンドと経営層向けの一文まで添えた5項目の信頼境界監査を提示します。これらはフロンティアモデルの問題ではなく、ゲートウェイや認証層といった配管の問題だと結論づけます。問われるのはベンダーが修正するかどうかではなく、攻撃者より先に自社が欠陥を見つけられるかどうかです。