MicrosoftはAIエージェント開発フレームワーク「Semantic Kernel」に、深刻度の最高水準となるCVSS(共通脆弱性評価システム)スコア10.0を含む脆弱性2件(CVE-2026-25592・CVE-2026-26030)を公開しました。いずれもRCE(リモートコード実行)——攻撃者が被害者のサーバー上で任意のコードを実行できる攻撃——につながる欠陥であり、AIエージェントへの悪意あるプロンプトが直接システム侵害の引き金になることを実証するものです。Python SDK版はバージョン1.39.4、.NET SDK版は1.71.0への即時アップデートが強く推奨されます。
CVE-2026-26030(CVSS 9.8)はPython SDK側の欠陥です。Semantic KernelがLLM(大規模言語モデル)の出力をコード実行パイプラインに渡す際、内部でPythonのeval()(文字列をコードとして評価・実行する関数)が呼び出されますが、その入力に対するサニタイズ(無害化処理)が不十分でした。攻撃者は悪意ある文字列をプロンプト経由でeval()に注入することで、サーバー上で任意のコードを実行できます。
CVE-2026-25592(CVSS 10.0)は.NET SDK側の欠陥で、スコアは理論上の最大値です。設計上はコードを安全な領域に閉じ込めるはずのサンドボックス(隔離環境)機構に脱出経路が存在しており、外部から制御されたプロンプト入力によってサンドボックス外のシステムリソースへのアクセスが可能になります。
Hacker Newsでは「"プロンプトがシェルになる"というタイトルが全てを語る。AIエージェントのセキュリティモデルを根本から見直す必要がある」という声が多くの共感を集めました。これまでWebアプリのSQLインジェクションやXSSが典型的な入力検証の失敗として知られてきましたが、今回の事例はLLMへのプロンプト入力が同様の攻撃面になり得ることを公式脆弱性として裏付けた点で象徴的です。
Redditでは「CVSS 10.0はほぼ見ない。AIフレームワークが攻撃面として本格的に認識された節目だ」という投稿が注目を浴びています。CVSS 9.0以上は「緊急(Critical)」と分類されますが、満点の10.0が付与されるケースは非常に稀で、認証不要かつネットワーク越しに完全なシステム制御が奪われる状況を示します。
Semantic Kernelは企業向けAIエージェントの構築基盤として広く使われており、Azure OpenAI ServiceやCopilotスタックとの統合も深いため、影響を受けるシステムの裾野は広い可能性があります。X(旧Twitter)では「パッチはsemantic-kernel 1.39.4(Python)と1.71.0(.NET)。今すぐアップデートを」という情報が即座に拡散されました。
修正済みバージョンへの更新が最優先の対応策です。
semantic-kernel==1.39.4 以降にアップグレードMicrosoft.SemanticKernel 1.71.0 以降にアップグレードより広い教訓として、LLMが生成したテキストを直接コード実行系の関数に渡す設計は、ユーザー入力を直接SQLクエリに連結するのと同様の危険をはらんでいます。外部データ(プロンプト・LLM出力・ツール戻り値)を実行前に必ず検証・サニタイズし、実行環境には最小権限の原則を適用することがAIエージェント開発の基本的なセキュリティ要件として改めて浮き彫りになりました。