MicrosoftのAIエージェントフレームワーク「Semantic Kernel」に、プロンプトインジェクション(AIへの悪意ある指示埋め込み)からリモートコード実行(RCE)に発展する2件の重大な脆弱性が発見・修正されたことが、2026年5月7日に公開されました。Python SDK版(CVE-2026-26030)と.NET SDK版(CVE-2026-25592)の2件で、いずれも攻撃者がユーザー入力を通じてホストシステム上で任意のコードやファイル操作を実行できる可能性がありました。
Microsoftのセキュリティブログによると、Python SDK版のCVE-2026-26030はSemantic Kernelがコードインタープリター機能においてLLMから返された文字列をeval()(Pythonの動的コード実行関数)に直接渡していたことが原因で、攻撃者が悪意あるプロンプトを注入することでOSコマンドを含む任意のPythonコードを実行できる状態でした。一方、.NET SDK版のCVE-2026-25592はファイル操作機能においてパス検証(パストラバーサル防止処理)が不十分で、意図しないディレクトリへのファイル書き込みが可能だったとしています。Semantic Kernelは企業向けAIエージェント開発で広く採用されているフレームワークであり、影響を受けるバージョンを使用している組織は速やかなアップデートが推奨されています。
X(旧Twitter)では「プロンプトインジェクションがシェル実行に変わる時代が来た。AIエージェントのセキュリティ設計を根本から見直す必要がある」というセキュリティ研究者の投稿が大きく拡散しました。Redditのr/netsecでは「eval()に外部入力を渡す設計は基本的なミス。AIフレームワークの急速な開発がセキュリティレビュー不足を招いている」という批判的意見が多数の賛同を集め、開発スピードと安全性のトレードオフを問う声が相次ぎました。Hacker Newsでは「OWASP Top 10 for LLMのLLM01(プロンプトインジェクション)が現実の脆弱性として顕在化した最良の事例」として広く引用され、AIエージェントをサンドボックス(隔離された安全な実行環境)内で動作させることの重要性を論じるスレッドが活発に展開されました。
今回の脆弱性はすでに修正済みのパッチが提供されていますが、AIエージェントフレームワーク全般に同種の設計上のリスクが潜んでいる可能性を業界に示したという意味で影響は大きいといえます。MicrosoftはSemantic Kernelの次期バージョンでプロンプトサニタイジング(悪意ある入力の無害化処理)やサンドボックス実行の強化を実施すると予告しており、他のAIフレームワーク開発者にも同様の設計見直しを促す動きが広がっています。AIエージェントが企業インフラに深く組み込まれていく中、セキュリティバイデザインの重要性が改めて問われています。