LLM(大規模言語モデル)の統合ライブラリとして月間900万ダウンロードを誇る「LiteLLM」において、認証済みユーザーによるリモートコード実行(RCE)が可能な脆弱性(CVE-2026-30623)が発見されました。AnthropicのMCP(Model Context Protocol)SDKとの連携処理におけるコマンドバリデーション不備が原因で、v1.83.7以降のバージョンで修正が行われています。
LiteLLMは、OpenAI・Anthropic・Google・Mistralなど複数のLLMプロバイダーを統一インターフェースで扱えるPythonライブラリで、エンタープライズから個人開発者まで幅広く利用されています。今回の脆弱性は、LiteLLMがMCPサーバーを作成・起動する処理において、ユーザーが指定したコマンド文字列を適切にサニタイズせずシェルに渡してしまうという問題です。認証済みユーザーであれば悪意のあるコマンドを埋め込んだMCPサーバー設定を送信することで、サーバー上で任意のコードを実行できる状態でした。脆弱性は研究者によって発見・報告され、LiteLLM開発チームは迅速に修正版をリリースしています。
Redditのr/netsecでは「LiteLLMを本番環境で使っているチームは即刻アップデートすべき」という警告とともに、MCPエコシステム全体のセキュリティ成熟度についての議論が活発化しています。MCPは比較的新しいプロトコルであり、セキュリティベストプラクティスが業界全体で共有されていない段階での脆弱性発見であることから、「今後も同様の問題が続く可能性がある」という懸念の声が上がっています。
MCPを利用したAIエージェントシステムは急速に普及しており、LiteLLMのような中間レイヤーへの依存度も高まっています。今回の事案は、AIツールチェーンのセキュリティレビューがいかに重要かを示す好例です。LiteLLMを利用している場合はv1.83.7以降へのアップデートを最優先で実施することが推奨されます。