【高】CVE-2026-30635 automagik-genie MCP Serverのコマンドインジェクション脆弱性対策術 AI Security向け実践ガイド

結論

• 危険度: High (CVSS 8.1)
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP 1: 何が起きているか

一言でいうと

CVE-2026-30635は、automagik-genieのMCP Serverにあるコマンド注入脆弱性です。攻撃者は任意コマンドを実行でき、LLMやAI Gatewayを使う運用者にとって最優先で確認したい脆弱性です。

やさしく説明すると

これは、玄関の鍵を通り越して、家の中の家電まで勝手に操作されるような問題です。

本来は安全に処理すべき入力が、コマンドとして実行されます。

つまり、攻撃者はアプリに文字を渡すだけで、想定外の命令を動かせます。

AIやLLMの文脈では、MCP ServerやAgentの裏側にある実行環境が直接危険になります。

技術的な原因

原因は CWE-78（OSコマンドインジェクション） です。アプリが外部入力をそのままシェルコマンドに渡すと、攻撃者は任意の命令を混ぜ込めます。

NVDの説明では、view_task（別名 view）が readTranscriptFromCommit 関数内で悪用されます。さらに、ユーザーが外部の FORGE_BASE_URL から読む場面で影響が出ます。

影響を受けると何が困るか

• APIキー（OpenAI/Anthropic等）の漏洩
• LLMコンテキスト窃取（顧客データ含む）
• プロンプトインジェクションを介したエージェント乗っ取り
• モデル/RAGデータの改ざん
• 請求コスト爆増
• テナント間情報漏洩
• インフラ全体への横展開
• AIコーディングツール（Cursor/Cline/Aider/GitHub Copilot/Claude Code等）経由のローカルファイル読み取り・任意コード実行
• IDE拡張のリモート操作
• .env や認証情報の漏洩

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 【高】

判断根拠

• CVSSは 8.1 です。深刻度は HIGH です。実務的には、外部から到達できるなら優先対応です。
• EPSSは 0.17% です。これは直近30日で悪用される予測確率です。数値は低いですが、優先度を下げる理由にはなりません。
• CISA KEVは 未登録 です。つまり、CISAの悪用観測カタログにはまだ載っていません。
• 公開PoC数は 0 です。少なくとも提供データ上では、武器化された公開PoCは確認されていません。
• 悪用条件は AV:N、PR:N、UI:N です。ネットワーク越しに、認証なしで、ユーザー操作なしに到達できます。ただし AC:H なので、悪用には条件の組み合わせが必要です。

誰が動くべきか

• automagik-genieの 2.5.27 を使うLLM Gateway運用チーム。
• MCP Serverを本番運用するAI Securityチーム。
• Agenticなワークフローを自前で組む開発チーム。
• Cursor、Cline、Aider、GitHub Copilot、Claude Code を使うバイブコーダー開発者。
• 外部 FORGE_BASE_URL を参照するRAGやLLM Proxyの保守者。

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

バージョン確認コマンド

npm list automagik-genie --depth=0

automagik-genie@2.5.27

設定確認

設定依存ではないため、バージョンが対象範囲なら脆弱です。特に FORGE_BASE_URL を外部に向ける構成では、影響確認を急いでください。

Nucleiテンプレートでの検出

公開Nucleiテンプレートは見つかっていません。検出はバージョン確認で行ってください。

STEP 4: 修正を適用する

パッチ適用

提供データには修正版の具体的な番号がありません。ベンダー公式アドバイザリを参照して、修正済みバージョンへ更新してください。

注意: 更新前にバックアップを取得してください。MCP ServerとAI Gatewayは、設定と依存関係の両方を確認してから本番適用してください。

パッチ即時適用ができない場合の暫定対応

公式の暫定対応は提示されていません。実務的には、FORGE_BASE_URL の外部参照を停止し、該当機能を無効化し、MCP Serverへの到達範囲を最小化してください。

STEP 5: 修正されたことを確認する

STEP 3 で実行したバージョン確認コマンドを、再度実行する。

期待される出力

Node.js（npm）

npm list automagik-genie --depth=0

出力例:

automagik-genie@修正版

判定: バージョンが 2.5.27 以外なら、修正後の確認としてOKです。ベンダーアドバイザリで示された修正版以上であることを確認してください。

追加で確認すべきこと

• 外部 FORGE_BASE_URL への不審なアクセスがないかログを確認してください。
• MCP Serverの実行ログに、想定外のコマンド実行痕跡がないか確認してください。
• LLM ProxyやAI Gatewayの設定差分を再確認してください。

補足: 悪用観測状況

CISA KEVには未登録です。つまり、CISAはこのCVEを悪用観測カタログにまだ載せていません。

提供データでは、NVDの Exploit タグリンク数は 0 です。公開PoCリポジトリ数も 0 です。現時点では、公開された武器化情報は確認されていません。

補足: CVSSメトリクス詳細

• AV:N = 攻撃元はネットワークです。遠隔から狙えます。
• AC:H = 攻撃複雑度は高いです。成立には条件調整が必要です。
• PR:N = 必要権限はありません。認証なしで狙えます。
• UI:N = ユーザー操作は不要です。被害者のクリックを待ちません。
• S:U = スコープは未変更です。影響は同じ権限境界の中で起きます。
• C:H = 機密性への影響は高いです。情報漏洩の危険があります。
• I:H = 完全性への影響は高いです。改ざんの危険があります。
• A:H = 可用性への影響は高いです。停止や障害の危険があります。

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で対象バージョンを確認し、STEP 4でベンダーが示す修正版へ更新してください。更新後はSTEP 5で再確認してください。

Q. パッチが適用できない場合、どうすればよいですか？

A. STEP 4の暫定対応を実施してください。FORGE_BASE_URL の外部参照停止、該当機能の無効化、到達範囲の制限が基本です。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 提供データにIOCはありません。まずはMCP Serverのログ、外部 FORGE_BASE_URL へのアクセス履歴、想定外のコマンド実行痕跡を確認してください。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは深刻度を示します。EPSSは直近30日で悪用される予測確率を示します。両方を見ると、AI Securityの対応順を決めやすくなります。

Q. このCVEと類似の脆弱性は他にもありますか？

A. 同じ CWE-78 の脆弱性は他にもあります。外部入力をコマンドに渡す実装は、LLMアプリケーションやAgenticシステムで特に注意が必要です。

参考文献

• NVD: CVE-2026-30635
• MITRE CVE Record: CVE-2026-30635
• GitHub Advisory Database: GHSA-64vr-4gr2-m642
• CISA KEV Catalog

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• High脆弱性 に関するCVE・脆弱性記事一覧
• os-cmdi に関するCVE・脆弱性記事一覧
• コマンドインジェクション に関するCVE・脆弱性記事一覧
• AI Agent に関するCVE・脆弱性記事一覧