セキュリティ研究機関Lyrie Researchが2026年に発表した調査で、マルチエージェント構築用OSSフレームワーク「CrewAI」において、プロンプトインジェクションを起点にコンテナサンドボックスを脱出してホストサーバーでのリモートコード実行(RCE)に至る攻撃チェーンが実証されました。Microsoft Semantic KernelのCVE-2026-25592/26030と合わせて、主要なAIエージェントフレームワーク全体に横断する深刻な設計上の問題が浮き彫りになっています。
CrewAIはLangChain系エコシステムの中でも特に採用者が多いフレームワークのひとつで、役割を持つ複数の「エージェント」が協調してタスクを実行する設計が特徴です。Lyrie Researchが実証した攻撃チェーンは3段階で構成されます。まずエージェントが参照する外部コンテンツ(ウェブページや文書)に悪意ある命令を埋め込む「間接プロンプトインジェクション」、次にその命令によってPythonコード実行ツールを呼び出させてコンテナの制限をバイパスする「サンドボックス脱出」、最後にホストOSのシェルコマンドを実行する「RCE」という流れです。Semantic KernelのCVSSスコアが最大10.0だったことを踏まえると、本脆弱性の深刻さも同水準に達する可能性があります。
X(旧Twitter)では「CrewAIはOSSの中でも特に使用者が多いフレームワーク—この脆弱性の影響範囲は想像以上に広い可能性がある」とセキュリティ研究者が警告を発しています。Redditのr/netsecでは「LangChain、AutoGen、CrewAIと主要エージェントフレームワークが次々に重大脆弱性を抱えていることが明らかに—評価基準の策定が急務」という議論が活発化し、本番環境でのエージェント利用を一時停止する企業の事例も共有されました。Hacker Newsでは「サンドボックスをどう設計しても、LLMが信頼境界を越えて操作できるツールがある限り根本的解決にはならない—フレームワーク設計の哲学的問題だ」という深い議論がなされ、ツール呼び出し権限の設計原則に関する技術的考察が展開されました。
CrewAIを本番環境で運用しているチームは、最新バージョンへのアップグレードとともに、エージェントに付与するツール権限の最小化(最小権限の原則)と外部コンテンツを「信頼できない入力」として扱う設計の徹底を今すぐ確認することが推奨されます。AIエージェントフレームワークのセキュリティ評価基準が存在しない現状では、導入前の独立したセキュリティレビューが実質的に必須となっています。