詳細を読む
AIエージェント開発で広く使われる3つの主要フレームワークに、深刻な脆弱性が相次いで見つかりました。Check Point ResearchはLangGraphのSQLインジェクションを遠隔コード実行(RCE)へ連鎖させ、TenableとVulnCheckはLangflowのパストラバーサルが実際に悪用されていると報告。CyeraはLangChain-coreの不備でAPI鍵が読み取られる危険を指摘しました。いずれも目新しい欠陥ではなく、古典的なバグが新しい基盤に潜んでいた形です。
最も差し迫っているのがLangflowです。ファイルアップロード用エンドポイントのパストラバーサル(CVE-2026-5027)を突くと、攻撃者は任意の場所にファイルを書き込めます。標準設定で自動ログインが有効なため、認証なしの1リクエストだけでシェルを奪取できてしまいます。Censysの調査では約7000台が公開されており、その多くが北米に集中しています。
VulnCheckは6月9日に実際の攻撃を確認しました。修正版1.9.0は4月15日に公開済みでしたが、攻撃開始までの約2カ月間、未更新のインスタンスは無防備にさらされていたことになります。教訓は、米政府のカタログ登録ではなく脆弱性公開の時点でパッチ適用を始めるべきだという点です。
LangGraphはエージェントに記憶を与える永続化層が狙われました。月5000万件超ダウンロードされる同基盤では、SQLインジェクション(CVE-2025-67644)で偽の行を書き込み、msgpackデコーダの欠陥(CVE-2026-28277)と連鎖させてコード実行に至ります。実環境での悪用は未確認ですが、実証コードはすでに公開されています。
LangChain-coreではプロンプト読み込みAPIの不備(CVE-2026-34070)により、.envファイル内のAPIキーなど任意のファイルが読み取られます。さらに環境変数の秘密情報を解決するデシリアライズ欠陥(CVE-2025-68664、CVSS9.3)も併発し、修正バージョンが異なる点に注意が必要です。両方を確実に更新しないと、より深刻な欠陥が残ります。
専門家は、これらが「AIリスク」とは見えない点を警告します。元AWS副CISOのMerritt Baer氏は、WAFは深層で動くデコーダを検知できず、EDRもエージェントサーバの通常動作として見逃すと指摘。輸入したフレームワーク自体を境界として守る発想が欠けていたことが、今回の盲点を生みました。利用企業は速やかなパッチ適用と公開資産の点検を急ぐべきです。