オープンソースのLLM(大規模言語モデル)サービングツールキット「LMDeploy」のバージョン0.12.0以下に深刻なSSRF(サーバーサイドリクエストフォージェリ)脆弱性が存在することが明らかになりました。CVE-2026-33626として追跡されるこの脆弱性(CVSSスコア7.5)は、The Hacker Newsによると公開からわずか12時間31分後に実際の攻撃がSysdigのハニーポットシステムで検出されており、AIインフラのセキュリティ対策の遅れを改めて浮き彫りにしています。
技術的な詳細をSysdigが公表したところによると、脆弱性はlmdeploy/vl/utils.py内のload_image()関数に起因しています。この関数が任意のURLを内部・プライベートIPアドレスの検証なしに取得する実装になっており、攻撃者は視覚言語モデルへの通常の画像入力リクエストを悪用してSSRFを起こすことができます。実際に確認された攻撃では、AWSのインスタンスメタデータサービス(IMDS)への認証情報アクセス、内部Redis・MySQLへの接続、管理インターフェースへの到達、そして帯域外DNS経由のデータ持ち出しが試みられました。
r/netsecでは「公開後13時間での悪用は極めて速い——画像ローダーをSSRFプリミティブとして使うのはスマートな攻撃手法だ」という技術的考察が活発に行われました。X上では「AIインフラのセキュリティが完全に後回しにされている証拠」「LLMサーバーを社内ネットワークに直結している企業は今すぐ確認を」という警告が広まり、Hacker Newsでは「AIツールチェーン全体のセキュリティ監査が急務」というスレッドが上位に入りました。
脆弱性はLMDeploy 0.12.3で修正されており、適切なURL検証とIPアドレスフィルタリングが実装されました。GitLab Advisory Databaseでは視覚言語サポートが有効な0.12.0以下の全バージョンが影響を受けるとされています。企業内ネットワークにLMDeployを展開しているケースでは、外部から画像URLを指定できる経路が内部ネットワーク全体への入り口になりうるため、バージョンアップと合わせてネットワーク分離の見直しが推奨されます。LLMサービングスタックへのセキュリティ投資が実際の利用拡大に追いついていない現状が、今回の迅速な悪用によって改めて示された形です。