2026年に入り、AIエージェントフレームワーク全体でセキュリティインシデントが連鎖しています。CrewAIでは4件のCVEが組み合わさることでリモートコード実行(RCE)・サーバーサイドリクエストフォージェリ(SSRF)・任意ファイル読み取りが可能なことが判明。さらに「ClawHavoc」と名付けられたキャンペーンでは、情報窃取ツールとして機能する悪意あるMCP(Model Context Protocol)スキルが800件以上配布され、公開インターネット上に13万5千以上のAIエージェントインスタンスが無防備に露出しているとされています。
X上では「AIエージェントのエコシステムはセキュリティを後付けで考えて構築されており、問題が積み重なっている」との批判ツイートが多数共有されています。Hacker Newsのスレッドでは「MCP・エージェントフレームワーク・コーディングエージェントの3層すべてに重大な脆弱性が存在するのは組織的な問題」として業界全体の開発文化を批判する議論が人気を集めています。CrewAIのCVE連鎖はそれ自体が示唆的で、個々のバグを直しても「組み合わせて使えばRCE」という構図は、設計段階からセキュリティを組み込まない限り解消できません。
r/AIでは「AIエージェントフレームワークを使うなら、本番環境へのデプロイ前に必ずペネトレーションテストを行うべき」という投稿が多くのアップボートを獲得しており、スタートアップ・エンタープライズを問わず実務的な警告として受け取られています。13万5千という露出インスタンス数は、AIエージェントが「実験的ツール」から「本番インフラ」へ移行しつつある速度の速さと、セキュリティ意識の遅れを同時に示す数字です。
フレームワークのアップデート適用はもちろんですが、より重要なのは利用しているMCPスキルのソースを精査することです。公式リポジトリ以外から取得したスキルは、ClawHavocのような悪意ある配布物である可能性があります。また、AIエージェントに与えているネットワーク・ファイルシステム・外部API接続の権限スコープを最小限に絞り、エージェントプロセスをコンテナや仮想マシンで隔離することが現時点で取り得る最も効果的な緩和策と言えます。