MicrosoftのAIエージェントフレームワーク「Semantic Kernel」において、プロンプトインジェクション攻撃を起点としてホストレベルのリモートコード実行(RCE)に到達できる脆弱性パスが発見されました。単一の悪意ある入力がシステムコマンドの実行にまで連鎖するこの問題は、AIエージェントのセキュリティ設計に根本的な再考を迫るものとして注目を集めています。
Semantic Kernelは、Azure OpenAI ServiceやAnthropicのモデルをプラグインやツールと組み合わせてオーケストレーションするためのフレームワークです。Microsoftセキュリティブログが2026年5月に詳細を公開した報告によると、攻撃者はLLMに処理させる外部コンテンツ(Webページや文書等)に悪意ある指示を埋め込むことで、フレームワークが持つファイルシステムアクセスやコード実行ツールを呼び出させることができるといいます。
問題の核心は、AIエージェントが「命令」と「データ」を同じトークン列として処理する点にあります。通常のWebアプリケーションであればSQLインジェクションやXSSとして認識されるこの構造的弱点が、AIエージェントでは「ホストシェルへのRCE」という形で顕在化します。Semantic KernelはMicrosoftの主要AIフレームワークであり、エンタープライズ向けのAIエージェント開発に広く使われているため、影響範囲は広範に及びます。
X(旧Twitter)上ではセキュリティ研究者から「『プロンプトがシェルになる』というタイトルが全てを表している。AIエージェントのセキュリティモデルは根本から見直しが必要」との声が上がっています。Hacker Newsでは「AIエージェントにファイルシステムやネットワークアクセスを与える際は常に最小権限の原則を徹底すべき」と、古典的なセキュリティ原則の重要性を再確認するコメントが多数寄せられています。
Microsoftは同ブログ記事の中で、エージェントのツール権限を最小限に制限すること、外部コンテンツをサンドボックス環境で処理すること、ユーザー入力と内部命令の区別を明確にするアーキテクチャの採用を推奨しています。
今回の発見は、id 3で報じたGitHub Copilot(CVE-2025-53773、CVSS 9.6)のRCEとともに、AIエージェントフレームワーク全体のセキュリティ実態を問う連続的な問題提起として業界に受け止められています。AIエージェントが企業システムの中核に組み込まれていく中で、「信頼できる入力とは何か」という問いへの答えを設計レベルで用意しておくことが、今後ますます重要になるでしょう。