Microsoftのオープンソース AIエージェント開発フレームワーク「Semantic Kernel」に、プロンプトインジェクション(悪意ある文字列の注入)を起点としてリモートコード実行(RCE)が可能になる重大な脆弱性2件(CVE-2026-26030・CVE-2026-25592)が発見されました。Microsoftは5月7日付のセキュリティブログで詳細を公表しており、Python版はv1.39.4以降、.NET SDK版はv1.71.0以降へのアップグレードで修正済みです。
今回の脆弱性の核心は、AIエージェントが外部入力を受け取ってツールを呼び出す設計において、プロンプトインジェクションがそのままコード実行に昇格してしまう点です。MicrosoftのセキュリティブログはタイトルをあえてPrompts Become Shells(プロンプトがシェルになる)とし、「AIエージェントにツールアクセス権を与えた瞬間、コンテンツの問題がコード実行の問題に変わる」という本質的なリスクを強調しています。
X上では「AIエージェントを本番環境で使う全開発者に影響する」という警戒の声が多数拡散されました。Redditのr/netsecでは「eval()でフィルタリングしていた設計自体が根本的に間違い。AIフレームワークのセキュリティレビューが追いついていない」という批判的な議論が展開され、実証コード(PoC)も共有されて注目を集めました。Hacker Newsでは「AIエージェントのセキュリティ設計について業界全体で議論すべき」という意見が多くのupvoteを獲得し、これを受けてAIエージェント開発のセキュリティ標準化を求める声が高まっています。
Semantic Kernelは多くの企業でAIエージェント基盤として採用されているため、未更新の環境は早急にアップグレードが必要です。AIフレームワーク自体のセキュリティ設計が問われる今回の事例は、急拡大するAIエージェント開発に携わるすべての開発者にとって重要な教訓となるでしょう。