出典: Security NEXT – https://www.security-next.com/181603
AIエージェント「MS-Agent」にプロンプトインジェクションの脆弱性が発覚
OS上でタスクの実行やツールの起動を行うAIエージェントフレームワーク「MS-Agent」に、プロンプトインジェクションの脆弱性が確認されました。CERT/CCは2026年3月2日にこの問題を公表し、任意のOSコマンドが実行されるリスクを警告しています。
主要なポイント
- 脆弱性の識別番号:「CVE-2026-2256」として登録されている。
- 問題の内容:正規表現ベースのフィルタリング機能が不十分で、入力検証が甘いため、悪意あるプロンプトにより任意のOSコマンドを実行可能。
- 攻撃の実証:リバースシェルを確立する概念実証(PoC)が既に公開されている。
- ベンダー対応:CERT/CCは調整を試みたが、ベンダーからの公式声明や修正情報は未だ得られていない。
- 緩和策:信頼できないコンテンツを処理しない、またはサンドボックス環境での利用が推奨されている。
技術的な詳細や背景情報
「MS-Agent」は、ユーザーの指示に基づきOS上で様々なタスクを自動化するAIエージェントフレームワークです。今回の脆弱性は、プロンプトに対して正規表現を用いたフィルタリングを行っているものの、十分な検証がされておらず、悪意ある入力がシェルコマンドとして解釈されてしまう点にあります。
プロンプトインジェクションとは、AIや自動化ツールに対して与えられる入力(プロンプト)に悪意あるコードを混入させ、意図しない動作やコマンドの実行を引き起こす攻撃手法です。今回のケースでは、外部ソースからのデータ取得処理を悪用し、リモートからのシェルアクセス(リバースシェル)を確立できることが示されています。
影響や重要性
この脆弱性が悪用されると、攻撃者は被害者のシステム上で任意のコマンドを実行できるため、情報漏洩やシステムの完全な乗っ取りに繋がる恐れがあります。特に、AIエージェントが管理者権限で動作している場合、被害は甚大です。
また、ベンダーからの修正情報が未だ出ていないため、現時点では利用者自身がリスクを管理する必要があります。信頼できない入力を処理しないことや、サンドボックス環境での運用が重要な対策となります。
まとめ
AIエージェント「MS-Agent」のプロンプトインジェクション脆弱性「CVE-2026-2256」は、入力検証の不備により任意のOSコマンド実行を許してしまう重大な問題です。攻撃の実証も公開されており、早急な対策が求められています。利用者は信頼できないデータの処理を避け、サンドボックス環境での利用を検討するなど、リスク軽減に努めることが重要です。今後のベンダーからのアップデート情報にも注目しましょう。
