CVE-2026-31250 CosyVoiceのPythonピクル不正逆シリアライズ脆弱性によるRCEリスク AI Securityエンジニア必読対応ガイド

結論

• 危険度: 情報なし
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
1	何が起きているか理解する	3分
2	急ぎ対応すべきか判断する	3分
3	自分の環境が対象か確認する	5分〜15分
4	修正を適用する	環境による
5	修正されたことを確認する	3分〜10分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-31250は、CosyVoice の average_model.py にある脆弱性です。攻撃者は細工した .pt ファイルを置くことで、被害者の端末で任意コード実行（RCE）を起こせます。LLMやAIのモデル管理をする開発者、特にバイブコーダーやAI駆動開発の現場にとって、優先度が高い脆弱性です。

やさしく説明すると

これは、知らない人が入れた荷物を、確認せずに家の中へ通してしまう状態です。

CosyVoice のモデル統合ツールは、学習済みモデルの断片を読み込んでまとめます。

しかし、その読み込み方法に問題があります。

攻撃者は悪意あるチェックポイントファイルを用意できます。

被害者がそのファイルを読み込むと、攻撃者の命令が実行されます。

技術的な原因

この問題は CWE-502（不適切なデシリアライズ）です。デシリアライズとは、保存されたデータを元のオブジェクトに戻す処理です。

CosyVoice の average_model.py は、PyTorch の torch.load() を使って epoch_*.pt を読み込みます。CISA と NVD は、ここで weights_only=True を有効にしていない点を指摘しています。

つまり、pickle 経由で任意の Python オブジェクトを復元できてしまいます。攻撃者は細工したチェックポイントをディレクトリに置き、被害者がそのディレクトリでモデル平均化を実行すると、任意コード実行につなげられます。

影響を受けると何が困るか

• AI / LLM 開発端末で任意コード実行。CosyVoice を使う開発者の端末が危険になります。
• .env や認証情報の漏洩。ローカル環境の API キーや秘密情報を読まれる危険があります。
• LLM アプリ周辺の横展開。同じ端末にある Git、Docker、クラウド資格情報へ波及します。
• AI 駆動開発の作業環境汚染。Cursor、Cline、Aider、GitHub Copilot、Claude Code を使う開発端末では影響が大きくなります。
• モデルや学習データの改ざん。RAG や学習資産の信頼性が崩れます。
• 請求コスト爆増。侵害後に外部 API を悪用されると、LLM 利用料が増えます。

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 【高】

注意: CISA KEVには未登録です。だが、CVE-2026-31250は任意コード実行につながります。本番で CosyVoice のモデル平均化を使うなら、今日中に棚卸しを始めてください。

判断根拠

• CVSSスコアは 情報なし です。NVD に数値はありません。
• EPSSスコアは 0.02% です。これは「直近30日で悪用される予測確率」を示します。
• ランサムウェア悪用は Unknown です。CISA KEV には登録されていますが、ランサム利用の記載はありません。
• 公開PoC数は 0 です。現時点では武器化公開物は確認されていません。
• 悪用条件は、ネットワーク到達性なし、認証情報なし、ユーザ操作あり です。攻撃者は細工したチェックポイントを置き、被害者が平均化処理を実行すると成立します。

誰が動くべきか

• CosyVoice を使う AI 音声モデル開発者。
• モデル平均化用スクリプトを運用する ML インフラチーム。
• ローカルで研究用モデルを扱うバイブコーダー開発者。
• CI/CD で学習済み重みを検証する SecOps チーム。
• Cursor、Cline、Aider、GitHub Copilot、Claude Code を使い、手元端末で AI 開発を進める個人開発者。

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
CosyVoice	6e01309e01bc93bbeb83bdd996b1182a81aaf11e まで	ベンダーアドバイザリ参照

バージョン確認コマンド

Linux / macOS（Git）

git -C /path/to/CosyVoice rev-parse HEAD

出力例:

6e01309e01bc93bbeb83bdd996b1182a81aaf11e

判定: 出力が 6e01309e01bc93bbeb83bdd996b1182a81aaf11e と同じ、またはそれ以前なら脆弱です。その後の修正コミット が入っていれば安全です。

Windows（PowerShell）

git -C C:\path\to\CosyVoice rev-parse HEAD

出力例:

6e01309e01bc93bbeb83bdd996b1182a81aaf11e

判定: 出力が 6e01309e01bc93bbeb83bdd996b1182a81aaf11e と一致する場合は脆弱です。修正版コミットへ更新してください。

設定確認

この脆弱性は設定依存ではありません。weights_only=True を使っていない実装が問題です。したがって、対象コミット範囲なら脆弱です。

Nucleiテンプレートでの検出

公開Nucleiテンプレートは見つかりませんでした。検出はベンダー提供ツールまたはバージョン確認で行ってください。

STEP 4: 修正を適用する

パッチ適用

ベンダー公式アドバイザリ本文が未抽出です。修正版のコミットやリリース番号は、ベンダー公表情報を参照してください。

注意: 置き換え前に、学習済み重みや作業ディレクトリを退避してください。モデルファイルを誤って上書きすると、再現に時間がかかります。

パッチ即時適用ができない場合の暫定対応

公式の暫定対応は提示されていません。だが、実務では次の対策を先に実施してください。

• 信頼できるディレクトリ以外から .pt を読み込まない。
• 外部から受け取ったチェックポイントを隔離環境で確認する。
• CosyVoice のモデル平均化処理を一時停止する。
• 端末の .env、SSH鍵、APIキーを点検する。
• 同じ端末で Cursor や Cline を使っている場合は、権限を見直す。

STEP 5: 修正されたことを確認する

STEP 3 で実行したバージョン確認コマンドを、再度実行してください。

期待される出力

Linux / macOS（Git）

git -C /path/to/CosyVoice rev-parse HEAD

出力例:

修正版のコミットID

判定: 出力が 6e01309e01bc93bbeb83bdd996b1182a81aaf11e より後の修正版コミットなら OK です。古いコミットなら NG です。

Windows（PowerShell）

git -C C:\path\to\CosyVoice rev-parse HEAD

出力例:

修正版のコミットID

判定: 出力が 6e01309e01bc93bbeb83bdd996b1182a81aaf11e を含まない、または修正版コミットに更新済みなら OK です。

追加で確認すべきこと

• モデル平均化対象の .pt に不審なファイルが混ざっていないか確認してください。
• 端末のログに、想定外の Python 実行や外部接続がないか確認してください。
• GitHub Advisory Database とベンダー公表情報を再確認してください。

補足: 悪用観測状況

CISA KEV には登録されています。これは、CISA が実際の悪用を観測したことを意味します。ただし、提供データではランサムウェア悪用は Unknown です。

NVD の Exploit タグリンク数は 0 です。公開PoCリポジトリ数も 0 です。つまり、現時点では公開された武器化は見えていませんが、KEV 登録のため軽視はできません。

補足: CVSSメトリクス詳細

CVSS v3.1 の数値は提供されていません。したがって、メトリクスの内訳も不明です。

• AV（Attack Vector / 攻撃経路）: 不明
• AC（Attack Complexity / 攻撃条件の複雑さ）: 不明
• PR（Privileges Required / 必要権限）: 不明
• UI（User Interaction / ユーザ操作）: 不明
• S（Scope / 影響範囲）: 不明
• C（Confidentiality / 機密性）: 不明
• I（Integrity / 完全性）: 不明
• A（Availability / 可用性）: 不明

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で対象コミットかを確認し、STEP 4で修正版へ更新してください。最後に STEP 5 で再確認します。バージョン確認は git rev-parse HEAD で行えます。

Q. パッチが適用できない場合、どうすればよいですか？

A. STEP 4 の暫定対応を先に実施してください。信頼できない .pt を扱わず、モデル平均化処理を止め、隔離環境で確認します。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 提供データには IOC はありません。端末ログ、Python 実行履歴、外部通信、.env や認証情報の漏洩有無を確認してください。必要ならベンダー公表情報を参照してください。

Q. なぜ EPSS スコアが重要なのですか？

A. EPSS は「直近30日で悪用される予測確率」です。CVSS が深刻度を示すのに対し、EPSS は優先順位の判断に役立ちます。今回は 0.02% です。

Q. このCVEと類似の脆弱性は他にもありますか？

A. はい。これは CWE-502 の不適切なデシリアライズです。同じ CWE は、AI や LLM の重みファイル、モデル読み込み処理、MCP Server 周辺でも問題になりやすいです。

参考文献

• NVD: CVE-2026-31250
• MITRE CVE: CVE-2026-31250
• GitHub Advisory Database 検索
• CosyVoice GitHub リポジトリ
• CISA KEV カタログ

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• デシリアライゼーション に関するCVE・脆弱性記事一覧
• 機械学習 に関するCVE・脆弱性記事一覧
• Python に関するCVE・脆弱性記事一覧

2026-06-26 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-26時点	変化の意味
CVSSスコア変化	9 (Critical)	7.3 (HIGH)	NVD再評価でスコアが下方修正
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

公開時点ではこの脆弱性のCVSSスコアは「9 (Critical)」と非常に高く設定されていましたが、NVDによる最新の再評価で「7.3 (HIGH)」へと下方修正されました。この下方修正により、「Critical」帯から「High」帯への移行となり、緊急度がやや緩和された位置付けになります。運用担当者やシステム管理者は、リスク選別やパッチ運用の優先順位を見直す際の参考にしてください。ただし、高レベルのリスクであること自体は変わらないため、引き続き計画的な対応が求められます。

新規GHSAアドバイザリ

これまでGitHub Security Advisory（GHSA）は発行されていませんでしたが、新たに「1件」発行されたことが確認されました。GHSAはオープンソースプロジェクトを中心に、開発者や利用者に向けた脆弱性通知や解説を提供するものです。この追加情報には影響範囲や修正状況、緩和策など有益な情報が含まれている場合があるため、関連する開発現場や運用担当者はGHSAの公式内容にも目を通すことを推奨します。

タイトルプレフィックス未付与

公開時点の記事タイトルには緊急度プレフィックス（例えば「【高】」など）が付与されていませんでしたが、最新状況の評価基準では「【高】」の付与が妥当と判断されました。これは記事生成時の記載漏れ（凡ミス）によるもので、現在は修正されています。今後はタイトルを見ただけでリスクレベルが直感的にわかるようになりましたので、ご注意ください。また、誤認や誤運用を防ぐためにも、現状の危険度区分に基づく運用判断をお願いいたします。