Langflowに深刻な脆弱性、AIワークフローが乗っ取られる恐れ
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、AIエージェント構築フレームワーク「Langflow」に存在する重大な脆弱性(CVE-2026-33017)が実際の攻撃で悪用されているとして、緊急警告を発した。CVSSスコアは9.3(最大10)と評価される深刻度で、同機関の「既知の悪用済み脆弱性(KEV)カタログ」にも追加された。
脆弱性の内容と影響範囲
CVE-2026-33017はコードインジェクション脆弱性であり、認証なしでリモートコード実行(RCE)が可能となる。攻撃者は細工した単一のHTTPリクエストを送信するだけで任意のPythonコードを実行できる。影響を受けるのはLangflow バージョン1.8.1以前で、フロー実行がサンドボックス化されていないことが原因だ。
LangflowはGitHub上でスター数14万5,000を超える人気のオープンソースツールで、ノードをドラッグ&ドロップで接続してAIパイプラインを視覚的に構築できる点が評価されている。日本のAI開発コミュニティでも広く利用されており、その普及度の高さが攻撃者にとっての魅力となっている。
脆弱性公開からわずか20時間で攻撃開始
アプリケーションセキュリティ企業のEndor Labsによると、脆弱性アドバイザリが公開されてからの展開は驚くほど迅速だった。
- 20時間後: 自動スキャン活動の開始
- 21時間後: Pythonスクリプトを用いた実際の悪用
- 24時間後:
.envファイルや.dbファイルなど機密データの窃取
公開時点でPoC(概念実証コード)は存在しておらず、攻撃者はアドバイザリの情報だけを元に独自にエクスプロイトを構築したとみられている。
対応策と推奨事項
CISAは連邦政府機関に対し、2026年4月8日までにセキュリティアップデートの適用または製品使用停止を命令した。民間企業や地方自治体も同様の対応が推奨される。
具体的な対応策は以下のとおり:
- Langflowをバージョン1.9.0以降にアップグレードする(最優先)
- 脆弱なエンドポイントを無効化または外部アクセスを制限する
- Langflowをインターネットに直接公開しない
- アウトバウンドトラフィックを監視する
- 不審なアクティビティが検出された場合は、APIキー・データベース認証情報・クラウドシークレットを即座にローテーションする
繰り返す脆弱性リスク
Langflowでは2025年5月にも別の重大脆弱性(CVE-2025-3248)が悪用され、CISAが警告を発した経緯がある。AIツールの急速な普及に伴い、こうしたフレームワークを狙った攻撃は今後も増加が予想される。AI開発を行う組織は、利用するツールのセキュリティ管理を改めて見直すことが重要だ。
元記事: CISA: New Langflow flaw actively exploited to hijack AI workflows