Microsoftは5月7日、AIエージェント構築フレームワーク「Semantic Kernel」のPython SDKにリモートコード実行(RCE)脆弱性(CVE-2026-26030、CVSS 9.8)が存在すると公表しました。プロンプトインジェクション経由でホストシステム上の任意コードを実行できるこの脆弱性は、semantic-kernel 1.39.4以降へのアップグレードで修正されます。同日、.NET SDK版の脆弱性(CVE-2026-25592)も同時開示されており、両プラットフォームのユーザーに早急な対応が求められています。
この脆弱性の本質は「プロンプトがシェルになる」という点にあります。Semantic KernelはAIエージェントが外部ツールを呼び出せる仕組みを持っており、攻撃者が細工した入力テキスト(プロンプトインジェクション)を通じて、そのツール呼び出し機能を乗っ取ることができます。Microsoftのセキュリティブログによると、外部データ(ウェブページの内容、メールの本文、ドキュメントなど)を処理させる使い方が特にリスクが高く、エージェントが「データ」と「命令」を区別できないことが根本的な問題です。SQLインジェクションが「データ」として渡された文字列がSQL命令として実行される問題であったように、プロンプトインジェクションは「AIへの入力」が「システム命令」に変わる構造的欠陥と言えます。
Hacker Newsでは「AIエージェントにツールを接続した瞬間、プロンプトインジェクションはコード実行の問題になる」というコメントが人気を集め、SQLインジェクションとの歴史的類似性への言及が議論を深めました。X(旧Twitter)では「プロンプトがシェルになる時代が来た」という表現がバズり、ツールを持つAIエージェント全般への警戒感が高まっています。Redditのr/netsecやr/MachineLearningでは、本番環境でエージェントを運用している開発者に対し見直しを呼びかける声が多数上がりました。
AIエージェントが実際の業務システムに組み込まれていくにつれ、プロンプトインジェクションは理論上のリスクから現実の攻撃ベクタへと変わりつつあります。今回の最高深刻度評価(CVSS 9.8)は、AIフレームワークのセキュリティ対応が従来のソフトウェアと同等以上の厳格さで行われなければならないことを改めて示しています。