オープンソースのAIエージェント構築プラットフォーム「Flowise」のCustomMCPノードに、CVSSスコア10.0(最高深刻度)のコードインジェクション脆弱性CVE-2025-59528が発見されました。公開インスタンス1万2千件以上を標的に6ヶ月以上にわたって積極的な悪用が続いており、npmパッケージv3.0.6への緊急アップデートが強く推奨されています。
CVSSスコア10.0は、攻撃の容易さ・影響範囲・権限不要という要素がすべて最高水準であることを意味します。CustomMCPノードがユーザー入力をサニタイズ(無害化処理)せずにそのまま実行してしまうという初歩的な設計上のミスが根本原因で、攻撃者はこれを悪用して任意のコードをサーバー上で実行できる状態にあります。6ヶ月以上にわたり悪用が続いていたという事実は、AIプラットフォームのセキュリティ監視体制の脆弱さを浮き彫りにしています。
セキュリティ研究者からの警告がX上で急速に拡散し、「AIインフラの急速な普及がセキュリティ対策を追いついていない」という懸念が多数のコメントで共有されました。r/netsecでは「ユーザー入力をサニタイズせずに実行するのは初歩的なミス」という批判的コメントが多数寄せられ、Hacker Newsでは「6ヶ月以上悪用され続けていた」という事実への驚きとともに、AIプラットフォームのセキュリティレビュー不足を問題視するスレッドが展開されています。
FlowiseはLangChainなどを活用してAIエージェントをノーコードで構築できる人気ツールであり、急速な普及と引き換えにセキュリティ審査が後回しになったことが今回の事態を招きました。AIツールの採用が企業・個人を問わず加速する中、特にオープンソースAIインフラを本番環境で運用している組織は、速やかなバージョンアップと侵害調査の実施が急務です。