セキュリティ研究者が人気AIエージェントフレームワーク「CrewAI」に4件のCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)を発見しました。プロンプトインジェクション(悪意ある命令をAIに注入する攻撃手法)を起点として、RCE(Remote Code Execution:リモートコード実行)・SSRF(Server-Side Request Forgery:サーバーサイドリクエストフォージェリ)・ファイル読み取りへと連鎖させる攻撃チェーンが実証されており、本番環境での利用に深刻な警鐘を鳴らしています。
今回発見された脆弱性の最大の問題は、その「連鎖性」です。攻撃者はまず悪意ある入力データやウェブページにプロンプトインジェクション命令を埋め込み、CrewAIのエージェントが処理する際にその命令を実行させます。その命令がCode Interpreter(コード実行機能)と組み合わさることで、サーバー上での任意コード実行(RCE)が可能になります。
さらに、デフォルト設定のConfigファイルが適切なサンドボックス(隔離環境)を設けていないため、SSRF攻撃によって内部ネットワークへのアクセスや、ローカルファイルシステムの読み取りも可能になるとされています。つまり、ユーザーがエージェントに「このウェブページを要約して」と指示するだけで、攻撃者が仕込んだ命令が起動し、システム全体が侵害される可能性があります。
X(旧Twitter)上ではこの問題が急速に拡散し、「AIエージェントフレームワークを本番環境で使うな」という警告が多数投稿されました。Hacker Newsでは、プロンプトインジェクションがシステムレベルの脆弱性に繋がる事例として広く議論され、エージェントのサンドボックス化(隔離実行)の重要性が強調されています。Reddit の r/netsec ではCrewAIのアーキテクチャ設計上の根本的な問題点を分析するスレッドが展開されており、「信頼できない入力を処理するエージェントに強力な実行権限を与えるべきではない」という意見が多く見られます。
CrewAIはすでに一部パッチを提供していますが、AIエージェントフレームワーク全般に同様の問題が潜んでいる可能性は否定できません。本番環境でCrewAIを利用しているチームは直ちにパッチの適用とアーキテクチャの見直しを行うとともに、Code Interpreterの実行権限とネットワークアクセスを最小限に制限することが推奨されます。AIエージェントの自律性と安全性のバランスは、今後のフレームワーク設計における最重要課題のひとつとなりそうです。