AIエージェントや LLMワークフローを手軽に構築できるオープンソースプラットフォーム「Flowise」に、CVSS スコア 10.0(最高深刻度)のリモートコード実行(RCE)脆弱性が発見され、実際の攻撃への悪用が確認された。セキュリティ研究機関 VulnCheck の観測によると、現時点でインターネット上に公開されている Flowise インスタンスは1万2千〜1万5千台に上るとされており、日本国内の AI 開発現場も決して対岸の火事ではない。

脆弱性の概要:「便利さ」の裏側に潜むリスク

今回の脆弱性は CVE-2025-59528 として追跡されており、Flowise の CustomMCP ノードに起因する。このノードは外部の MCP(Model Context Protocol)サーバーと接続する設定を行う機能だが、mcpServerConfig というユーザー入力値を一切の安全検証なしに JavaScript として評価(eval)してしまう設計上の欠陥がある。

攻撃者がこの入力に悪意ある JavaScript コードを埋め込むだけで、サーバー上で任意コードが実行され、ファイルシステムへのアクセスも可能になる。入力値検証もサンドボックスも存在しない、典型的な「信頼しすぎ」の実装だ。

脆弱性自体は 2025 年 9 月に公開されており、Flowise バージョン 3.0.6 で修正済み。現在の最新版は 2 週間前にリリースされた 3.1.1 だ。VulnCheck の研究者 Caitlin Condon 氏は、自社の Canary ネットワークが本脆弱性の初の悪用を検出したことを LinkedIn で公表した。現時点での攻撃活動は Starlink の単一 IP から発生しており、規模は限定的とのことだが、今後の拡大は十分に想定される。

さらに、Flowise にはこれとは別に CVE-2025-8943 および CVE-2025-26319 も存在し、いずれも野外での悪用が確認されているという。複数の脆弱性が重なっている点は、より深刻に受け止める必要がある。

Flowise とはどんなプラットフォームか

Flowise はドラッグ&ドロップ型の UI で AI エージェントや LLM ベースのワークフローを構築できる、ローコード・オープンソースのプラットフォームだ。チャットボット、自動化パイプライン、ナレッジベースアシスタントなどの用途で、エンジニアから非エンジニアまで幅広いユーザーが利用している。

特に「コードを書かずに AI エージェントを作れる」というアピールポイントから、日本でも PoC(概念実証)や社内ツール構築の場面での採用が増えている。まさに「使いやすさ」が今回の脆弱性リスクを広げている側面もある。

実務への影響:AI 開発ツールのセキュリティ管理が急務

即座に確認・対応すべき事項

バージョン確認と即時アップデート:Flowise を利用している場合、まず現在のバージョンを確認する。3.0.6 未満であれば最新版 3.1.1 への更新を最優先で実施すること。

インターネット公開の見直し:外部からのアクセスが不要な環境であれば、Flowise インスタンスをパブリックインターネットから切り離すことを強く推奨する。VPN 経由や内部ネットワーク限定でのアクセスに切り替えるだけで、攻撃面を大幅に削減できる。

MCPノードの利用状況の把握:CustomMCP ノードを実際に使っているフロー・プロジェクトを洗い出す。不要であれば無効化も検討する。

ログ・アクセス記録の確認:今回のような CVSSスコア 10.0 の脆弱性が既知になっている以上、攻撃を受けていない確証が必要だ。アクセスログに不審なリクエストがないか、脆弱性公開(2025年9月)以降のログを遡って確認したい。

AI 開発ツール全般への教訓

Flowise に限らず、LLM アプリ・AIエージェント構築ツールは急速に普及している一方、セキュリティの成熟度はまだ低い製品が多い。「ローコードで手軽に使える」という特性は、セキュリティ的な検討が後回しになりやすいリスクと表裏一体だ。

本番環境やステージング環境でこうしたツールを動かしているチームは、OSS ライブラリのバージョン管理と脆弱性情報の追跡を開発フローに組み込む必要がある。GitHub Dependabot や OSS スキャンツールの活用が現実的な第一歩だ。

筆者の見解

AI エージェント開発の現場でよく見られるパターンがある。「とりあえず動いた、クラウドに置いた、終わり」だ。その結果、外部に公開されたまま放置されたインスタンスが大量に生まれる。今回の 1万5千台超という数字はまさにその産物だろう。

「今動いているから大丈夫」は、セキュリティの文脈では通用しない。動いているものは攻撃者にも動いて見える。

MCP(Model Context Protocol)はAIエージェントの連携基盤として急速に普及しており、その実装の安全性は今後ますます重要な論点になる。Flowise の今回の問題は「ユーザー入力を eval する」という古典的なミスが AI 開発ツールの世界に再現されたものだが、MCPという新しいレイヤーが攻撃面をどう変えていくかは注視すべきだ。

AIエージェントを安全に動かすには、コードの完成度と同じくらい、インフラの隔離・最小権限・入力の検証という基本原則が問われる。「使いやすさ」と「安全性」を両立させる設計こそ、次世代の AI 基盤に求められる条件だと思う。PoC で便利に使えたツールをそのまま本番投入する前に、一度立ち止まって構成を見直してほしい。

出典: この記事は Max severity Flowise RCE vulnerability now exploited in attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。