CVE-2026-44286 FastGPTの認証不要SSRF脆弱性が引き起こすAI Agentプラットフォーム危機と対策ガイド

結論

• 危険度: 情報なし
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	5分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	10分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	5分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-44286はFastGPTというAIエージェント構築プラットフォームの脆弱性です。認証なしで攻撃者がサーバー内部のネットワークへ任意のHTTPリクエストを送信できます。このため、LLMゲートウェイやAgentフレームワークを運用する人は最優先で確認と対策が必要です。

やさしく説明すると

この脆弱性は、アプリケーションに勝手に内部ネットワークの住所に手紙を送れるような「玄関の鍵がかかっていない」状態に似ています。通常は許されない内側の通信を誰でもできてしまうため、情報漏洩や不正操作につながります。FastGPTの一部機能がユーザーからのリクエスト先の検査を誤り、保護をすり抜けてしまいます。

技術的な原因

本脆弱性はCWE-918「サーバサイドリクエストフォージェリ（SSRF）」に分類されます。SSRFとは攻撃者がサーバーを経由して内部ネットワークへリクエストを送る攻撃です。FastGPTのlafModuleワークフローノード内のfetchData関数がaxiosというHTTPクライアントで外部から制御されたURLを検証せずに処理し、内部ネットワークのブロックリストガードを回避してしまいました。

影響を受けると何が困るか

• APIキー（OpenAIやAnthropicなど）が流出するリスク
• LLMのコンテキストや顧客データなど機密情報が盗まれる
• AgentやAI Gatewayの乗っ取りによる悪意あるプロンプト操作が起きる
• モデルやRAG（Retrieval-Augmented Generation）用のデータ改ざんの可能性
• 不正リクエストでクラウド請求コストが急増する
• 複数テナント間の情報漏洩が発生するリスク
• AI開発現場のインフラ全体へ攻撃が横展開される危険性
• CursorやCline、GitHub CopilotなどのAIコーディングツール経由でローカルファイル読み取りやコード実行の危険
• IDE拡張機能がリモート操作される可能性
• .envファイルや認証情報が漏洩する事態

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 低

判断根拠

• CVSSスコアはNVDに未登録で詳細なし。CISA KEVでは重大度情報なし。
• EPSSスコアは 0.04%（悪用予測は極めて低い）で、パーセンタイル11.5%。
• ランサムウェアグループによる悪用報告は現時点でなし。
• 公開PoCはGitHubにも存在しない。
• 認証不要で内部ネットワークリクエストが可能だが、悪用には内部ネットワークアクセス権などの環境依存条件が想定される。

誰が動くべきか

• FastGPTを利用・運用しているLLM Gateway運用チーム
• AI Agentフレームワーク開発者、特にAgenticプラットフォームの運用者
• RAGパイプラインを運用し、FastGPT連携しているMLインフラチーム
• バイブコーダー開発者（Cursor/Cline/GitHub Copilot等の利用者）でFastGPT連携機能を利用している場合

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
FastGPT	〜4.14.16（4.14.17未満）	4.14.17以降

バージョン確認コマンド

Python環境（pip）

pip show fastgpt

出力例:

Name: fastgpt
Version: 4.14.16
Summary: AI Agent building platform

判定: バージョンが 4.14.16 以下なら脆弱。4.14.17 以上なら安全。

Python環境（poetry）

poetry show fastgpt

出力例:

fastgpt 4.14.15 AI Agent building platform

判定: バージョンが 4.14.16 以下なら脆弱です。

Docker環境

docker images | grep fastgpt

出力例:

fastgpt              4.14.16    sha256:xxxxxxxxxxxxxxx    2 days ago    latest

判定: タグまたはイメージのバージョンが 4.14.16 以下なら脆弱。

設定確認

この脆弱性は設定による回避がなく、認証の有無に関係なく発生します。したがって、バージョンが脆弱範囲に該当すれば影響を受けます。

Nucleiテンプレートでの検出

本脆弱性に対する公開Nucleiテンプレートは現時点で提供されていません。バージョン確認が最も確実です。

STEP 4: 修正を適用する

パッチ適用

Python環境（pip）

pip install --upgrade fastgpt

判定: バージョンが 4.14.17 以上に更新されていれば問題ありません。

Docker環境

docker pull fastgpt:4.14.17

判定: 最新イメージを使用し、バージョンが 4.14.17 以上になれば修正済みです。

注意: アップグレード前には必ず環境バックアップを取ってください。ステージング環境での動作検証も推奨されます。Downtimeが発生する場合は事前に計画を立ててください。

パッチ即時適用ができない場合の暫定対応

ベンダーから公式の暫定対応策は発表されていません。パッチ未適用環境はネットワークレベルやWAFで内部ネットワークへの不要なHTTPリクエストを制限してください。

STEP 5: 修正されたことを確認する

STEP 3で説明したバージョン確認コマンドをもう一度実行します。アップデート後のバージョン番号を必ず確認してください。

期待される出力

Python環境（pip）

pip show fastgpt

出力例:

Name: fastgpt
Version: 4.14.17
Summary: AI Agent building platform

判定: バージョンが 4.14.17 以上ならOK。

Docker環境

docker images | grep fastgpt

出力例:

fastgpt              4.14.17    sha256:xxxxxxxxxxxxxxx    1 hour ago    latest

判定: バージョンが 4.14.17 以上なら安全です。

追加で確認すべきこと

• 今後、Nucleiテンプレートがリリースされたらスキャンを実施してください。
• ログ監視で不審な内部向けリクエストがないか引き続きチェックしてください。

補足: 悪用観測状況

現時点でCISA KEVカタログに登録されているものの、ランサムウェア悪用の情報はありません。GitHub上にもPoCは公開されていません。CEPSSスコアは極めて低く、実運用環境での広範な悪用はまだ観測されていません。

補足: CVSSメトリクス詳細

• AV（攻撃元の物理的近さ）: 未登録のため不明。
• AC（攻撃の困難さ）: 未登録。脆弱なバージョンでは認証不要でアクセス可能なため低いと推定。
• PR（攻撃者の権限）: 未登録。未認証の攻撃も可能。
• UI（ユーザー操作の必要性）: 未登録。不要と思われる。
• S（範囲）: 未登録。内部ネットワークへのリクエスト送出が可能で範囲が影響する可能性あり。
• C（機密性への影響）: 重大。内部情報流出の恐れあり。
• I（完全性への影響）: 中程度。内部データ改ざんの可能性。
• A（可用性への影響）: 低め。リクエスト乱用による負荷の増大はある可能性。

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で対象バージョンか確認し、STEP 4で4.14.17以上にアップデートしてください。具体的なバージョンとコマンドは本文をご参照ください。

Q. パッチが適用できない場合、どうすればよいですか？

A. ネットワークで内部ネットワークへのHTTPリクエストを制限するなど暫定対応を講じてください。公式の代替方法は出ていません。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 不正な内部ネットワークへのHTTPリクエストのログを監視し、異常がないかチェックしてください。現時点で悪用報告はありません。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の理論的深刻度を示しますが、EPSSは「実際に悪用される確率」を予測します。両者を合わせて優先度判断に役立ちます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-918（SSRF）分類の脆弱性は他のAI AgentやLLM Gateway製品でも報告例があります。共通対策としてリクエスト先検証の強化が必要です。

参考文献

• FastGPT 4.14.17リリースノート
• FastGPT公式セキュリティアドバイザリ
• NVDデータベース CVE-2026-44286

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• SSRF に関するCVE・脆弱性記事一覧
• AI Agent に関するCVE・脆弱性記事一覧

2026-05-13 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 0日）。

項目	公開時点	2026-05-13時点	変化の意味
CVSSスコア変化	9 (Critical)	2.3 (LOW)	NVD再評価でスコアが下方修正

CVSSスコア変化（9 (Critical) → 2.3 (LOW)｜NVD再評価でスコアが下方修正）

本脆弱性（CVE-2026-44286）について、当初NVD（National Vulnerability Database）ではCVSSスコアが「9 (Critical)」として公開されていましたが、その後「2.3 (LOW)」へと大幅に下方修正されました。これは、NVDによるリスク評価が再検討され、実際の危険性が当初想定よりもかなり低いと判断されたことを意味しています。

この下方修正により、運用面では緊急性や対処の優先度が著しく下がることになります。利用者や管理者は既にパッチ適用や対策を進めていた場合でも、今後は通常のメンテナンス枠での対応や、影響範囲の再評価が推奨されます。一方で、必ずしもリスクがゼロになったわけではないため、引き続き公式情報や今後のアドバイザリ更新に注意を払ってください。

2026-05-20 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-05-20時点	変化の意味
CVSSスコア変化	9 (Critical)	2.3 (LOW)	NVD再評価でスコアが下方修正

CVSSスコア変化について

2026年5月20日時点で、CVE-2026-44286のCVSSスコアが「9 (Critical)」から「2.3 (LOW)」へと大幅に下方修正されました。これはNVD（National Vulnerability Database）による再評価の結果であり、脆弱性の実際の悪用難易度や影響範囲が従来の想定よりも限定的と判断されたことを示します。

このスコア変更に伴い、運用上の緊急度や優先度を見直す必要があります。初期評価で「Critical」とされていたため即時対応が推奨されていましたが、現在では「LOW」となったため、通常メンテナンスレベルでの対処で十分です。既にリソースを割いて対応を進めている運用チームは、今後の対応計画の見直しを推奨します。ただし、スコアが低下しても個別環境ごとのリスク評価は継続してください。

2026-05-27 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-05-27時点	変化の意味
CVSSスコア変化	9 (Critical)	2.3 (LOW)	NVD再評価でスコアが下方修正

CVSSスコア変化

2026年5月27日付で、CVE-2026-44286のCVSSスコアが「9 (Critical)」から「2.3 (LOW)」へ大幅に下方修正されました。これはNVD（National Vulnerability Database）による再評価の結果であり、公開当初想定されていた緊急性が見直された形です。もともとCriticalに分類されていたため、攻撃リスクや優先度を高く見積もる運用が求められていましたが、現状では深刻度が大幅に下がっています。

この修正は、実際の攻撃成立条件や影響範囲、被害可能性を最新の情報で再整理した結果と考えられます。運用上は、既に緊急対応を完了した場合でも、改めて実環境でのリスクを再評価し、優先度の見直しや定常的なメンテナンス対応レベルへの引き下げも選択肢となります。ただし、LOWスコアとなった場合でも現象によっては限定的な被害が続く可能性もゼロではないため、必要に応じてアセスメントの内容を見直し、不安な点があれば引き続きパッチ適用等を検討してください。

2026-06-03 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-03時点	変化の意味
CVSSスコア変化	9 (Critical)	2.3 (LOW)	NVD再評価でスコアが下方修正

CVSSスコア変化

2026年6月3日付で、CVE-2026-44286のCVSSスコアが「9 (Critical)」から「2.3 (LOW)」へと大幅に下方修正されました。この変更はNVDによる再評価の結果であり、脆弱性の危険度が緊急・致命的なレベルから、一般的な運用の中で低リスクと判断されたことを示します。

この修正により、これまで優先的に対応を計画していた組織にとっては、即時対応や緊急パッチ適用が必須ではなくなります。引き続き当該環境のアップデートや既知脆弱性の管理は推奨されますが、本件に限っては従来のメンテナンスサイクルでの対応に切り替えることが可能です。先行してリスク評価や緊急対応を進めていた場合には、現時点の業務優先度の見直しや対応計画の再調整もご検討ください。

2026-06-10 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-10時点	変化の意味
CVSSスコア変化	9 (Critical)	2.3 (LOW)	NVD再評価でスコアが下方修正

CVSSスコア変化

本脆弱性（CVE-2026-44286）は、公開当初「9 (Critical)」と評価されていましたが、最新のNVDによる再評価により「2.3 (LOW)」へと大幅に下方修正されました。これは、技術的検証や実際の影響範囲の再分析が行われた結果、想定されていた深刻な被害リスクが限定的であることが判明したためと考えられます。

運用者としては、元の評価に基づく「至急対応」から、通常の計画的メンテナンスの範囲内での対応が推奨される状況となりました。すでに対策を完了している場合は安心できますが、未実施の場合も、従来ほどの緊急性はないと判断されます。今後はPoCや実際の悪用情報が出ない限り、通常のセキュリティ更新プロセスで十分です。

2026-06-17 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-17時点	変化の意味
CVSSスコア変化	9 (Critical)	2.3 (LOW)	NVD再評価でスコアが下方修正

CVSSスコア変化

この脆弱性（CVE-2026-44286）のCVSSスコアが、公開時点の「9 (Critical)」から「2.3 (LOW)」へとNVDによって大幅に下方修正されました。これは、初期評価よりも本脆弱性が実際に及ぼす影響の深刻度が大きく見直されたことを意味します。
スコアがCritical（緊急対応が求められるレベル）からLOWへ下がったことで、当該脆弱性に対する対応優先度も大幅に下がります。運用上は、通常の定期メンテナンス時に対応する方針でも問題ないと判断されます。すでに緊急対応計画を立てていた場合は、リソース配分や対応スケジュールの見直しを推奨します。
なお、CVSSスコア改定の背景には、攻撃の成立要件や攻撃可能範囲、もしくは現実的な悪用リスクが改めて精査され、当初の理解より限定的なリスクに留まると確認されたことが考えられます。評価理由の詳細については、NVD公式ページでの追加情報も併せてご確認ください。