AIアプリケーション開発プラットフォーム「Langflow」に存在する高深刻度のパストラバーサル脆弱性(CVE-2026-5027)が、インターネット上に公開されたサーバーに対する実際の攻撃に悪用されていることが、セキュリティ研究機関VulnCheckのハニーポット観測で確認された。

Langflowとは

Langflowは、AIアプリケーション・AIエージェント・RAG(Retrieval-Augmented Generation)システム・MCPワークフローを、ドラッグ&ドロップのビジュアルインターフェイスで構築できるオープンソースプラットフォームだ。従来のコーディング不要でAIワークフローを組み立てられることから、AI開発チームの間で急速に普及しており、GitHubでのスター数は14万9,000件超、フォーク数は9,200件を超える人気プロジェクトである。

脆弱性の詳細:CVE-2026-5027

今回問題となっているCVE-2026-5027は、Langflowのファイルアップロード機能に存在するパストラバーサル(ディレクトリトラバーサル)脆弱性だ。

具体的には、POST /api/v2/files エンドポイントが、マルチパートフォームデータの filename パラメータを適切にサニタイズ(無害化)していない。攻撃者は ../ のようなパストラバーサル文字列を利用することで、サーバーのファイルシステム上の任意の場所にファイルを書き込むことが可能になる。

この脆弱性を発見したTenableによれば、問題はさらに深刻だ。Langflowはデフォルトで未認証の自動ログインが有効になっており、認証情報なしで脆弱なエンドポイントに到達できる。つまり、たった1回の未認証リクエストで有効なセッショントークンを取得し、そのまま攻撃を実行できてしまう。

発見から修正までの経緯

  • 2026年初頭: TenableがLangflowチームに脆弱性を報告(返答なし)
  • 2026年3月27日: 2ヶ月以上経過しても返答がなかったため、Tenableが脆弱性を公開
  • 2026年3月30日: Snyk Securityが修正版を確認
  • langflow-base パッケージ v0.8.3 で修正
  • Langflowアプリケーション本体は v1.9.0 で修正

修正版リリース後も積極的な悪用が続いており、VulnCheckはハニーポットで脆弱なインスタンスへのテストファイル書き込みを検出している。Censysのスキャンでは約7,000台のLangflowインスタンスがインターネットに公開されていることが確認された(ただしこの数値は過去12ヶ月の履歴を含む)。

相次ぐLangflowへの攻撃

今回のCVE-2026-5027は、Langflowを狙った攻撃の連続の中の1件に過ぎない。2026年に入ってから、CVE-2026-0770、CVE-2026-21445、CVE-2026-33017と複数の脆弱性が立て続けに悪用されている。

さらに2025年には、米国CISA(サイバーセキュリティ・インフラセキュリティ庁)がCVE-2025-3248の積極的悪用を警告しており、VulnCheckはイランの脅威グループ「MuddyWater」による活動が現在も継続していると報告している。

日本の現場への影響:今すぐ確認すべきこと

AI開発ツールが急速に普及している今、社内のAIチームや開発部門がLangflowを使用していないかを確認し、以下の対応を即座に実施することを強く推奨する。

即座に実施すべき対応:

  • バージョン確認と更新: Langflowを使用している場合は、本日リリースされた最新版 v1.10.0 への更新を速やかに実施する
  • インターネット露出の確認: LangflowインスタンスがパブリックなIPアドレスに公開されていないか確認する。Censysのスキャンで7,000台が露出していることからも、想定以上に公開されているケースが多い
  • 認証設定の見直し: デフォルトの未認証自動ログインが有効になっているインスタンスは、認証を必須に変更する
  • ファイルシステムの監査: すでに攻撃を受けていないか、サーバー上に不審なファイルが作成されていないか確認する

特に、PoC(概念実証コード)の公開後わずか数週間で積極的な悪用が始まった点は、AIツールを標的とした攻撃サイクルが非常に速くなっていることを示している。

筆者の見解

AIアプリ開発ツールの脆弱性管理は、これからのIT部門の必須課題になると感じている。

LangflowのようなノーコードAIプラットフォームは、エンジニアでない担当者でもAIワークフローを構築できるとして急速に普及した。しかし、「導入の手軽さ」を実現するための設計判断——今回で言えば「デフォルトで認証なしでアクセスできる」——が、セキュリティ上の重大なリスクを引き起こすのは、AIツールに限らず繰り返されてきたパターンだ。

「デフォルトで安全」(Secure by Default)の原則は今やセキュリティの基本中の基本だが、AI開発ツール界隈ではまだ十分に根付いていない。利便性を優先するあまり、本番環境でそのまま使われてしまう危険なデフォルト設定が放置されている状況は、早急に改善されるべきだろう。

加えて、開発チームが脆弱性報告に2ヶ月以上無応答だったという事実は、オープンソースプロジェクトのセキュリティレスポンス体制として見過ごせない問題だ。エンタープライズ用途で採用する際は、機能の豊富さだけでなく、開発チームのセキュリティ対応能力も評価基準に加えることをお勧めしたい。

AIツールの採用が加速する今だからこそ、「便利なものを素早く使い始める」という姿勢と「それを安全に運用するための仕組みを整える」という姿勢の両立が、IT部門の腕の見せどころになっている。

出典: この記事は Path traversal flaw in AI dev platform Langflow exploited in attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。