出典: Security NEXT – https://www.security-next.com/181562
「Langflow」にプロンプトインジェクションによるRCE脆弱性が発見
AIエージェントやワークフロー構築に用いられるプラットフォーム「Langflow」に、リモートから任意のコード実行(RCE)が可能となる深刻な脆弱性が確認されました。この脆弱性はプロンプトインジェクションを悪用するもので、サーバの乗っ取りなど重大な被害をもたらす恐れがあります。
主要なポイント
- 脆弱性の内容:「Langflow」の「CSV Agent」コンポーネントの初期化時に危険なコード実行を許可する設定があり、これによりプロンプトインジェクションを介して任意のコードやOSコマンドが実行可能。
- 影響範囲:「LangChain」の「Python REPLツール」が自動的に有効化されている状態で、外部公開されている環境が対象。
- 評価と認定:CVE番号「CVE-2026-27966」が割り当てられ、CVSSv3.1のベーススコアは9.8で「クリティカル(Critical)」と最高レベルの重要度。
- 対応策:ソースコードの修正が行われ、「Langflow」バージョン1.8.0.rc3に反映済み。危険なコード実行を許可しない設定や機能の無効化も推奨されている。
- 公開されている情報:概念実証(PoC)も公開されており、攻撃の具体的手法が明らかになっているため早急な対応が必要。
技術的な詳細や背景情報
「Langflow」はAIモデルのワークフローを視覚的に構築できるプラットフォームで、内部で「LangChain」ライブラリを利用しています。この中の「CSV Agent」コンポーネントはCSVデータを扱うための機能ですが、初期化時に「Python REPLツール」が自動的に有効化されており、ここで外部からのプロンプトに基づくコード実行が可能となっていました。
プロンプトインジェクションとは、AIモデルに与える入力(プロンプト)に悪意あるコードや命令を埋め込み、意図しない動作やコード実行を引き起こす攻撃手法です。今回の脆弱性では、この手法を用いてPythonコードやOSコマンドがリモートから実行されてしまいます。
影響や重要性
この脆弱性を悪用されると、攻撃者はサーバ上で任意のコードを実行できるため、システムの完全な乗っ取りや情報漏洩、さらには他の内部ネットワークへの侵入など多大な被害が想定されます。特にAI関連のプラットフォームは機密データや重要な業務プロセスを扱うことが多いため、影響は甚大です。
また、PoCが公開されているため、悪用のリスクは高く、早急なアップデート適用や設定変更が求められます。CVSSスコア9.8のクリティカル評価は、即時対応が必要な重大な脆弱性であることを示しています。
まとめ
「Langflow」に存在したプロンプトインジェクションによるリモートコード実行脆弱性(CVE-2026-27966)は、AIプラットフォームの安全性に大きな警鐘を鳴らすものです。開発者や利用者は速やかに最新バージョンへのアップデートを行い、危険なコード実行を許可しない設定を適用することが重要です。AI技術の普及に伴い、こうした新たな攻撃手法への理解と対策がますます求められています。
