LangChainベースのAIワークフロー構築ツール「Langflow」に、認証なしでパブリックフローを操作できるコードインジェクション脆弱性が発見され、CISAが3月25日付けで既知悪用脆弱性カタログ(KEV)に追加しました。政府機関・連邦請負業者には4月8日までのパッチ適用が義務付けられています。
Langflowは、LLM(大規模言語モデル)を活用したRAG(検索拡張生成)パイプラインや自動化ワークフローをノーコードで構築できるツールです。その手軽さゆえに企業の内部ネットワーク上で稼働するケースが多く、今回の認証不要というコードインジェクション脆弱性は特に深刻なリスクをもたらします。Hacker Newsでは「AIオーケストレーションツールはネットワーク境界で動くことが多いため、このクラスの脆弱性は特に危険」という指摘が多くの支持を集めました。
r/netsecでは「LangflowやLangChain等のAIフレームワークはセキュリティ設計が甘すぎる。プロダクション運用は慎重に」という意見が相次ぎました。AIツールの開発サイクルが速く、セキュリティよりも機能開発が優先される傾向があることへの批判も多く見られます。実際、Langflowの他にも複数のAIフレームワークで同種の脆弱性が報告されており、構造的な問題として認識されつつあります。
X上では「AIツールを使った社内システムのセキュリティ評価を今すぐ実施すべき」というCISO向けの投稿が企業セキュリティ担当者間で広まっています。AIワークフローツールを本番環境で使用している組織は、外部からのアクセス制御状況と認証設定を即座に確認することが推奨されます。
LangflowはGitHubで2万以上のスターを持つ人気プロジェクトであり、企業での採用事例も急速に増えています。KEV追加はすでに実際の攻撃が確認されていることを示しており、パッチ未適用のシステムへの攻撃リスクは現在進行形です。AIツールの急速な企業導入と、それに追いついていないセキュリティ評価プロセスのギャップが、今後も同種のインシデントを生み出す温床となりうるでしょう。