人気のマルチエージェントフレームワーク「CrewAI」で4件の深刻な脆弱性が報告され、攻撃者がプロンプトインジェクションを起点としてリモートコード実行(RCE)・SSRF(サーバーサイドリクエストフォージェリ)・任意ファイル読み取りへと連鎖攻撃を仕掛けられることが明らかになりました。完全なパッチはまだリリースされておらず、本番環境で利用しているチームには早急な対応が求められています。
今回報告された脆弱性は以下の4件です。CVE-2026-2275はCrewAIのCode Interpreterツールに関するもので、Dockerが利用できない環境では安全でないサンドボックス(SandboxPython)にフォールバックし、Cの関数呼び出しを通じたRCEが可能になります。CVE-2026-2286はRAG(検索拡張生成)サーチツールのURLバリデーション不足に起因するSSRFで、クラウドのメタデータサービスを含む内部システムへのアクセスが可能です。CVE-2026-2287はDockerランタイムの検証失敗によって安全でないサンドボックスモードへのフォールバックを引き起こすRCE脆弱性、CVE-2026-2285はJSONローダーツールのパス検証欠如による任意ファイル読み取り脆弱性です。
攻撃経路の特徴は、これらの脆弱性が「プロンプトインジェクション(AIに不正な命令を埋め込む攻撃手法)」を起点として連鎖利用できる点です。つまり悪意ある外部データを処理するだけで、サンドボックスを脱出してホストシステムの掌握まで至り得るのです。Hacker Newsでは「AIエージェントフレームワークはセキュリティが後付けで設計されている」との批判が上位コメントに集中しており、根本的な設計思想への問い直しを求める声が多数見られました。
CrewAIのメンテナーは現在、ctypesなどの危険なモジュールのブロック・フェイルクローズ設定の強制・セキュリティドキュメントの更新といった緩和策を開発中です。r/netsecではCrewAIを本番環境で使用しているチームからの懸念報告が相次いでおり、当面の回避策としてCode Interpreterの無効化・コード実行フラグの制限・入力値のサニタイズが推奨されています。AIエージェントの実運用が拡大するにつれ、プロンプトインジェクションを出発点とした複合攻撃リスクはCrewAIに限らず、エージェントフレームワーク全体の共通課題となっています。