MicrosoftのAIエージェント開発フレームワーク「Semantic Kernel」に、外部からのプロンプトインジェクション(悪意のある命令をプロンプトに埋め込む攻撃手法)を起点としてホスト上でリモートコード実行(RCE)が可能になる深刻な脆弱性が2件開示されました。CVE-2026-25592およびCVE-2026-26030として登録されており、CVSS(共通脆弱性評価システム)スコアは最大10.0——脆弱性評価の最高値を記録しています。
Microsoftのセキュリティブログによると、攻撃者は悪意のある内容を含む文書を1件だけSemantic Kernelベースのエージェントに取得させるだけで、エージェントが使用しているPythonサンドボックスを脱出し、ホストマシン上で任意のコードを実行できることが実証されました。RAGパイプライン(検索拡張生成)やドキュメント処理ツールとして企業内システムにSemantic Kernelを組み込んでいるケースが多いため、実際の影響範囲は相当広いと見られています。パッチは各バージョンで提供済みであり、Microsoftは即時アップグレードを強く推奨しています。
セキュリティ研究者の間ではX上で「プロンプトがシェルになる時代が来た——AIエージェントのセキュリティモデルを根本から見直す必要がある」と警鐘が鳴らされています。r/netsecでは「CVSS 10.0はさすがに深刻。RAGパイプラインにベクターストアを使っているすべてのチームは即座にアップグレードすべき」との書き込みが多数集まりました。Hacker Newsではより本質的な批判として「eval()にLLMの出力を渡す設計自体が問題」「信頼境界の設計ミスがここまで危険な結果を招く典型例」という意見が多くのポイントを獲得しています。
今回の脆弱性はSemantic Kernel固有の問題ではなく、AIエージェントフレームワーク全体に共通するアーキテクチャ上の課題を示しています。エージェントが外部のテキストやドキュメントを信頼できないソースとして扱い、サンドボックスの境界を厳格に設計する「最小権限の原則」がLLM時代においても変わらず必要であることを、今回の事例は改めて証明しました。Semantic Kernelを本番環境で利用しているチームは、パッチ適用と同時にシステム設計の見直しを行うことが急務です。