人気のAIエージェントフレームワーク「CrewAI」に4件のCVEが発見され、CERT/CCが脆弱性情報VU#221883として公開しました。SecurityWeekの報道によると、攻撃者がCrewAIのエージェントにプロンプトインジェクション(悪意ある指示を注入する攻撃手法)を実行できる場合、RCE(リモートコード実行)・SSRF(サーバーサイドリクエストフォージェリ、サーバーを経由して内部ネットワークにアクセスさせる攻撃)・任意のローカルファイル読み取りという3種類の深刻な攻撃へ連鎖できることが実証されています。
4件のCVEはそれぞれ異なる侵入経路を持っています。CVE-2026-2275はCode Interpreter Toolに起因し、Dockerへの接続が切れると脆弱なSandboxPython環境にフォールバックして任意のC関数呼び出しが可能になります。CVE-2026-2286はRAG検索ツール(情報検索機能)のURL検証不備によるSSRF、CVE-2026-2287はDocker停止時のフォールバック設定不備によるRCE、CVE-2026-2285はJSONローダーのパス検証不備による任意ファイル読み取りです。GBHackersなどは「デフォルト設定のまま使用しているCrewAIインスタンスはすべて潜在的なリスクにさらされている」と報じており、現時点では4件すべてをカバーする完全なパッチはまだ提供されていません。
Redditのr/MachineLearningでは「AIエージェントフレームワークは便利だが、セキュリティ設計が後手に回っている」という批判が多数寄せられ、エンタープライズ環境での本番利用への警戒感が急速に高まっています。X(旧Twitter)上ではセキュリティ研究者から「AIエージェントは全く新しい攻撃面を生み出した」という警告が相次ぎ、本番環境でCrewAIを利用している開発者への注意喚起が広く拡散しました。
CrewAIはAI同士が役割分担しながら複雑なタスクをこなすマルチエージェントシステムの構築に使われる人気フレームワークで、エンタープライズ利用も急増しています。今回の脆弱性が示すのは、エージェントフレームワークが強力になればなるほど、侵害された場合の被害も大きくなるという現実です。CrewAIを使用している組織はDockerの稼働状態の維持、Code Interpreter Toolの無効化、外部入力のサニタイジング強化など即時の緩和策を検討する必要があります。