MENU

【高】CVE-2026-58195 Agentic-Flowに致命的コードインジェクション脆弱性発覚 AI Security対応策を徹底解説バイブコーダー必見

  • URLをコピーしました!

AI Security速報をXで配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加などの更新情報を見逃したくない方は、Xをフォローしてねー!

Xでフォローする

本記事は公開時点の情報をもとにした速報記事です。内容が更新される場合があるため、必要に応じてベンダー公式情報や一次情報もあわせて確認してください。

目次

結論

  • 危険度: High (CVSS 8.8)
  • 対象: (詳細はベンダーアドバイザリ参照)
  • 修正: ベンダーアドバイザリ参照
  • KEV: No (NVD Critical由来。CISA KEVには未登録)
タイトルの緊急度プレフィックス(【至急】【最重大】等)の意味
表記 条件 意味 対応目安
【至急/ランサム悪用】 CISA KEV登録 + ランサムウェア悪用観測 ランサムグループが現在進行形で悪用 本日中に対応開始
【至急/重大】 CISA KEV登録 + CVSS 9.0以上 実世界で攻撃観測あり + スコア極めて高い 本日中に対応開始
【重大/KEV登録】 CISA KEV登録(CVSS低またはNVD未反映) 実世界で攻撃観測あり 数日以内
【最重大】 CVSS 9.5以上(KEV未登録) 理論上の危険度ほぼ満点、攻撃観測はまだない 1週間以内に対応計画
【重大】 CVSS 9.0〜9.4(KEV未登録) Critical帯の理論的高リスク 1〜2週間以内
【高】 CVSS 7.0〜8.9(KEV未登録) High帯のリスク 計画的に対応
(プレフィックスなし) CVSS 7.0未満 Medium以下のリスク 通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-07-17 | 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP やること かかる目安
STEP 1 何が起きているか理解する 5分
STEP 2 急ぎ対応すべきか判断する 3分
STEP 3 自分の環境が対象か確認する 5分
STEP 4 修正を適用する 環境による
STEP 5 修正されたことを確認する 3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-58195はAgentic-FlowというAIエージェント管理ツールにある脆弱性です。攻撃者は認証なしにMCPサーバーの特定のパラメータを悪用し、サーバー上で任意のOSコマンドを実行できます。AI GatewayやAgentフレームワークの運用者にとっては、これが悪用されるとシステムの完全な制御を奪われるため最優先で対応が必要です。

やさしく説明すると

玄関の鍵をかけ忘れたような状態です。Agentic-FlowのMCPサーバーは、利用者が指定した名前や言語などの情報をそのままコマンドに組み込んで実行します。たとえば、悪意のある利用者が特別な文字列を渡すと、サーバー上で勝手にコマンドを動かせます。つまり、合鍵を知らない人に作られてしまうイメージです。これにより、システム全体が乗っ取られる危険があります。

技術的な原因

この脆弱性はCWE-78(OSコマンドインジェクション)です。簡単に言うと、ユーザーからの入力が不適切にサニタイズ(安全化)されず、そのままOSのコマンド実行関数 execSync() に渡されています。つまり、攻撃者は入力パラメータ(agent, task, name, language, agentdbなど)を細工して任意のコマンドを実行可能です。CWE-78は実務的に非常に重大な脆弱性に分類されます。

影響を受けると何が困るか

  • Agentic-Flowを使うAI GatewayやAgentフレームワークのMCPサーバーが攻撃者に乗っ取られます
  • APIキーや認証情報が漏洩し、クラウド上のLLMサービスを不正利用される恐れがあります
  • LLMコンテキストや顧客データの漏洩・改ざんが起きる可能性があります
  • プロンプトインジェクションを介したエージェント操作の乗っ取りにつながります
  • ランニングコストの激増やテナント間の情報漏洩、インフラ全体への横展開の危険があります
  • バイブコーダーのAI駆動開発ツールがMCPサーバーの脆弱性を経由して攻撃を受ける可能性があります

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ 情報源 言語 何が分かるか リンク
総合 NVD(米国 NIST) 米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。 開く
総合 MITRE CVE CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。 開く
総合 JVN iPedia(JPCERT/CC・IPA) 日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。 開く
総合 CISA KEV(悪用観測カタログ) 米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。 開く
総合 GitHub Advisory Database OSSパッケージ(npm/pypi/maven/composer/go等)別の脆弱性アドバイザリ。修正PRへのリンクが豊富。 開く
総合 OpenCVE 複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。 開く
Linux Red Hat CVE Red Hat製品(RHEL/CentOS Stream/Rocky/AlmaLinux系)の影響評価とパッチ状況。 開く
Linux Ubuntu Security Ubuntu の影響評価。各Ubuntuバージョン(22.04/24.04等)でのパッチ提供状況が一目で分かる。 開く
Linux Debian Security Tracker Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。 開く
Linux SUSE CVE SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。 開く
悪用 Exploit Database 公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。 開く
悪用 Packet Storm Security セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。 開く
悪用 GitHub PoC 検索 GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。 開く
悪用 X(Twitter)検索 日英 直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。 開く
スキャナ Snyk Vulnerability DB パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。 開く
スキャナ Tenable(Nessus) Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。 開く
スキャナ Rapid7(Metasploit/Nexpose) Metasploit悪用モジュール、Nexposeでの検出情報。 開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります(特にJVN iPediaは日本国内で報告された脆弱性のみ掲載)。

STEP 2: 急ぎ対応すべきか判断する

結論: 高

判断根拠

  • CVSS v3.1スコアは8.8でHighクラス。ネットワーク経由で認証なしに攻撃可能なため実務的に怖いです
  • EPSS(実際悪用確率)データは未提供で判断困難
  • ランサムウェアによる悪用報告は現時点で不明(Unknown)です
  • 公開PoCやExploitは現時点でGitHubやExploitDBにありません
  • 攻撃条件はネットワーク経由でユーザー操作が必要な点。認証不要かつ低複雑度なのでリスク高いです

誰が動くべきか

  • Agentic-FlowのMCPサーバーを運用・管理しているエンジニアやSRE/SecOpsチーム
  • Agentic-FlowをAI GatewayやAgentフレームワークとして利用しているLLMアプリケーションの開発・運用者
  • バイブコーダーなどAI駆動開発ツールからAgentic-Flow経由で実行環境を構成している場合は開発者も注意を払うべきです

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品 脆弱なバージョン範囲 修正版
Agentic-Flow < 2.0.14 2.0.14

バージョン確認コマンド

Node.js/npm

npm list agentic-flow

出力例:

agentic-flow@2.0.13
└─(依存関係ツリー)

判定: バージョンが 2.0.14 未満なら脆弱

Dockerコンテナ

docker images | grep agentic-flow

出力例:

agentic-flow          latest       sha256:abc123...   2 weeks ago

判定: タグやダイジェストからバージョンを確認し、2.0.14未満なら脆弱

設定確認

本脆弱性は設定依存ではなく、対象バージョンのAgentic-Flow MCPサーバーが攻撃可能です。バージョン確認が最も有効な検出方法です。

Nucleiテンプレートでの検出

現時点で公開されたNucleiテンプレートはありません。検出はバージョン確認により実施してください。

STEP 4: 修正を適用する

パッチ適用

Node.js/npm (Agentic-Flowがnpmパッケージの場合)

npm install agentic-flow@2.0.14

出力例:

+ agentic-flow@2.0.14
added 20 packages, updated 10 packages

判定: バージョンが 2.0.14 以上になっていれば修正済み

Dockerイメージのアップデート

docker pull ruvnet/agentic-flow:2.0.14
docker stop 
docker rm 
docker run -d --name  ruvnet/agentic-flow:2.0.14

判定: コンテナのAgentic-Flowが 2.0.14 以上を使用しているか確認

注意: パッチ適用前に必ずバックアップを取得し、適用後はステージング環境で動作検証してください。サービス停止が伴う場合はダウンタイム計画を立てて実施してください。

パッチ即時適用ができない場合の暫定対応

ベンダーから公式の暫定対応は提示されていません。可能な限り、Agentic-Flow MCPサーバーへのアクセスをIP制限やネットワーク隔離で保護し、不要なユーザー操作を防止してください。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを、修正後にもう一度実行してください。

期待される出力

Node.js/npm

npm list agentic-flow

出力例:

agentic-flow@2.0.14
└─(依存関係ツリー)

判定: バージョンが 2.0.14 以上ならOK

Dockerコンテナ

docker images | grep agentic-flow

出力例:

agentic-flow          2.0.14       sha256:abc123...  1 hour ago

判定: 2.0.14 以上のタグが確認できればOK

追加で確認すべきこと

  • 可能ならログを監視し、脆弱性攻撃の痕跡がないか確認してください
  • 公開Nucleiテンプレートはないため、ベンダー提供の検出ツールがあれば活用してください

補足: 悪用観測状況

現時点でCISA KEVには本CVEは未登録であり、ランサムウェアグループによる悪用は未確認です。GitHubやExploit DatabaseにもPoC(実証コード)は公開されていません。とはいえ、CVSSスコアは高く、認証不要で悪用され得るため警戒が必要です。

補足: CVSSメトリクス詳細

  • AV(攻撃元): NETWORK(ネットワーク経由で攻撃される)
  • AC(攻撃複雑度): LOW(攻撃は簡単で難しくない)
  • PR(必要権限): NONE(認証・権限は不要)
  • UI(ユーザー操作): REQUIRED(利用者の何らかの操作が必要)
  • S(スコープ): UNCHANGED(攻撃範囲は同一スコープ)
  • C(機密性影響): HIGH(重要情報が漏洩する)
  • I(完全性影響): HIGH(情報改ざんされる)
  • A(可用性影響): HIGH(サービス停止等が発生)

よくある質問(FAQ)

Q. このCVEに対応するために最低限すべきことは何ですか?

A. まず自分の環境でAgentic-Flowのバージョンを確認し、2.0.14未満ならアップデートしてください。その後、修正済みバージョンになっていることを再度確認しましょう。

Q. パッチが適用できない場合、どうすればよいですか?

A. ネットワークレベルでAgentic-Flow MCPサーバーへのアクセスを制限し、不要なユーザー操作を防止してください。また、脆弱なバージョンを使い続けるのはリスクが高いので早期のアップデートを計画してください。

Q. 既に攻撃を受けているか確認する方法はありますか?

A. ログ監視で不審なコマンド実行やアクセスパターンを調べてください。現状、明確なIOCは公開されていないため、ベンダーの今後の情報提供にも注意してください。

Q. なぜEPSSスコアが重要なのですか?

A. CVSSは脆弱性の深刻度を示しますが、EPSSは「その脆弱性が実際に悪用される確率」を示します。両者を併せて確認すると、対応優先度の判断がより正確になります。

Q. このCVEと類似の脆弱性は他にもありますか?

A. CWE-78(OSコマンドインジェクション)分類の脆弱性は多数存在し、ほとんどのAIプラットフォームで共通の問題となり得ます。Agentic-Flow以外でも十分な入力検証を必ず実施してください。

参考文献

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

AI Security速報を継続配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加、海外アドバイザリなどを X で配信してるので、ぜひフォローをお願いします!

@ai_sec_news_256 をフォロー

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次