MicrosoftはAIエージェント開発フレームワーク「Semantic Kernel」において、CVE-2026-25592とCVE-2026-26030の2件の重大な脆弱性を公開しました。いずれもプロンプトインジェクション攻撃(悪意ある入力をAIに挿入する手法)を起点とするRCE(任意コード実行)脆弱性で、単一の悪意あるプロンプトを用いることで攻撃者が対象デバイスを完全制御できる可能性があります。
Semantic KernelはMicrosoftが公開するオープンソースのAIエージェント統合フレームワークで、LLMをアプリケーションに組み込む際に広く使われています。今回開示された脆弱性は、LLMが外部ツールや関数を呼び出す「ツール呼び出し」機能の処理過程に存在します。攻撃者が巧妙に設計したプロンプトを入力することで、フレームワーク内のセキュリティ境界を突破し、ホストOSでの任意コード実行が可能になるとされています。Microsoftはセキュリティアドバイザリとともに修正パッチを提供しており、Semantic Kernelを利用している開発者・企業に対して直ちにアップデートを適用するよう勧告しています。
セキュリティコミュニティでは警戒感が広がっており、X上では「エージェント型AIのセキュリティ境界が形骸化しつつある。ツール権限管理の見直しが急務だ」との警告が多数見られます。r/netsecでは「プロンプトインジェクション=シェルインジェクション。同等レベルの脅威として捉え、同等の防御策を施すべき」という意見が主流となっています。Hacker Newsでも「AIエージェントのセキュリティ危機は予想されていた。実行権限の最小化(最小権限の原則)の徹底が必須」との指摘が多数上がっています。
AIエージェントが外部ツールやシステムリソースへのアクセスを持つ場面が急増している今、プロンプトインジェクションは単なる誤動作ではなくRCEにつながる攻撃ベクターとして再定義されつつあります。エージェントフレームワークを採用する開発者には、入力の検証・ツール実行権限の絞り込み・ネットワーク分離など、従来のウェブセキュリティと同水準の対策が求められる時代が到来しています。