CVEはコードの欠陥と修正を追跡するために構築されました。現在は、マルウェアとそれに適合しないサプライチェーンインシデントをカバーするように拡張されています。エージェントインフラストラクチャとAIアセットは、その漂流が構造的になる場所です。
4月22日、約90分間、Bitwarden CLIの悪意のあるバージョンがnpmに表示されました。バージョン2026.4.0には、難読化されたローダーを実行し、AWS、Azure、GCP、GitHub、およびnpmトークンをnpm installを実行した開発者マシンから収集する認証情報盗聴ペイロードが含まれていました。攻撃者はCheckmarxサプライチェーンインシデント関連の侵害されたGitHub Actionを通じてBitwarden のnpm発行パスに到達し、その週に他のいくつかの下流消費者に影響を与えました。
約9日後、CVE-2026-42994がBitwardenによって発行されました。ソフトウェアコンポジション分析ツールを実行している防御者たちは、ダッシュボード上でそれを見ることができました。検出エンジニアはルールの作成を開始しました。インシデントは分析を受け、誰かの脅威インテリジェンスフィードのエントリ、そして次の四半期のメトリクスデッキの行になりました。
しかし、CVEが実際に行うことに注意してください。それはパッチを当てるように誰にも指示しません。欠陥は発行パイプラインが侵害された90分間のウィンドウであり、ウィンドウは閉じられてしまいました。CVEは遡及的な通知です。つまり、そのウィンドウ中にnpm installを実行した場合は、開発者認証情報が公開されているものとして扱う必要があります。これは脆弱性追跡ではなく、インシデント対応です。
これは2026年の基準で機能するシステムです。これはCVEが行うために構築されたものから遠く離れています。
漂流
CVEは1999年に脆弱性識別子として始まりました。元の定義は厳格でした。セキュリティポリシーに違反するシステムの欠陥であり、防御者が既知のバージョン範囲に対して適用できる修正があるもの。OpenSSL 1.0.1fのHeartbleed。Apache Strutsのdeserialization欠陥。バージョンにパッチを当て、スキャンして確認し、ダッシュボードが緑になります。
MITREとCNAはほぼすぐにフレームワークを拡張し始めました。2020年のSolarWindsインシデントはCVE-2020-10148を取得しましたが、「脆弱性」は保守者が書いたコード欠陥ではなく、署名された更新に挿入されたバックドアでした。2022年のnode-ipc/peacenotwarは、地政学的位置情報に基づいてファイルを削除したprotestwareのためにCVE-2022-23812を取得しました。どちらの場合の修正も「悪いバージョンを削除する」であり、欠陥のあるコンポーネントへのパッチではありません。識別子は依然として機能しましたが、それはもはや設計された仕事をしていませんでした。
CVEは現在、コードの欠陥ではなくインシデントを追跡していました。
s1ngularityとShai-Huldのような攻撃は拡張を破りました。2025年9月に現れ、2026年を通じて段階的に複数のバリアントで戻ってきた自己伝播型npmワームは、エコシステム全体の何百ものパッケージに感染しました。影響を受けた一部のバージョンはCVEを取得し、ほとんどはそうしませんでした。キャンペーンに関するRed Hatの勧告では明らかなことを認めています:「影響を受けた前例のない数の組織と個人のため、すべてのパッケージ感染がCVE識別子を割り当てられる可能性は低い。」
興味深いことに、4月下旬のBitwardenの侵害自体はShai-Huldのバリアントであり、悪意のあるペイロードに「Shai-Hulud: The Third Coming」という文字列が埋め込まれています。それは1つの識別可能なパッケージと1つの識別可能な悪いバージョンを持つため、CVEを取得しました。同じキャンペーンの以前の波からの700以上のパッケージはほとんどそうしませんでした。
ベンダーはまた開示なしにものを静かに修正します。研究者のレポートは有益として閉じられ、問題は次のリリースで「強化改善」またはさらに良い「セキュリティ強化」(修正ではない)として出荷されます。CVEは要求されません。時々それは合理的です—常にそうとは限りません。どちらにしても、防御者のツール設定がそれを見ることはなく、AIはそれを悪くしています。
これらすべてに対してエージェントが行うこと
フレームワークを最も明確に破るカテゴリは、最初から既存の識別子スキームがないものです。
スキル、MCPサーバー、およびAIエージェント周辺のより広いスキャフォルディングには、CVEフレームワークが処理するために設計されていなかったいくつかのプロパティがあります。実行時に変異します。動作ペイロードは、多くの場合、エージェントが読み取って実行する自然言語指示です。つまり、エージェンティックアセットは常に安定した識別子を持つとは限りません。パブリックレジストリから取得されていますが、Slackを介して共有されたり、3ヶ月前に公式に見えたリポジトリからフォークされたりもします。害はいかなる既存の弱点カテゴリにもマップされません。
たとえば、skills.shレジストリのderpという名前のスキルは問題を示しています。従来のマルウェアインジケータはゼロが含まれています。ネットワーク呼び出し、base64ブロブ、または認証パスはありません。SKILL.mdはClaudeに意図的に不正なコードを生成するよう指示してから、それが行っている事実を隠しながらループで不正な修正を提供します。CVEが指摘するものはありません。メモリ破損、認証バイパス、またはCVESSベクトルはありません。しかし、害は実在しています—無駄な時間、エージェントへの信頼の侵食、コンピュート/トークンの膨らんだ請求—それは動作的なものです。悪意のあるパターンを探すスキャナーはそれをキャッチしません。
derpは小さいですが、構造的に同一の攻撃はそうではありません。4月の私がManifold Securityで行った研究では、単一のClawHub著者によって公開された30のスキルをカタログ化するClawSwarmキャンペーンを特定しました。これらの一部には、Cron Helper(903ダウンロード)やAgent Security(685ダウンロード)のようなユーティリティが含まれ、静かにユーザーのAIエージェントを第三者ネットワークに登録します。1つをインストールすると、エージェントは外部サーバーに登録し、その機能をレポートし、Hederaクリプト財布を生成し、ディスクに認証情報を保存し、4時間ごとにタスクをポーリングします。スキルは機能します。また、オペレータの知識がないまま、エージェントを他の誰かの経済に登録します。
そのためのCVEは何ですか?これらのスキルは従来の意味ではマルウェアではありません。HTTPSコールが文書化されています。ウォレット生成は正当なSDKを使用します。フラグを立てるシェルコードもブロックする既知のC2もありません。レジストリがキャンペーンをプルしたとしても、同じパターンは1週間以内に異なる著者と異なるファイル名の下で再び表示される可能性があります。アーティファクト中心モデルには掴むものがありません。
フロンティアモデルベンダーは問題の変種に直面しています。彼らはリリースをバージョン化します(Sonnet 4.6、Opus 4.7、GPT-5.1など)が、セキュリティ修正はリリースノート内で常に発表されるわけではありません。昨日のモデルで機能していたが今日のモデルで失敗した脆弱性は、セキュリティデルタが呼び出されない機能更新または新しい「セーフガード」にバンドルされ、多くの場合、変更がモデル自体ではなくシステムプロンプトまたは分類器への場合、バージョンバンプもありません。
最近の学術調査では、LLM関連コンポーネントを参照した295のGitHub Security Advisoriesを対象に、既存のCWEメタデータはコードレベルの欠陥をキャプチャしますが、モデル仲介公開を系統的に過小代表しています。脆弱性がモデル推論を通じてトリガーまたは増幅される場合です。著者たちが言うように:「現在のGHSAメタデータはLLM関与の構造化インジケータが不足しており、モデル仲介公開パターンを識別するために手動分類が必要です。」
LangChain CoreのCVE-2025-68664は、プロンプト影響を受けたメタデータを通じてトリガー可能なdeserialization欠陥であり、システムに進むのは珍しいケースですが、ほとんどはそうしません。エージェントからツール呼び出し出力を流出させることができるプロンプトインジェクション技術は、次のモデルチェックポイントで修正され、6ヶ月後の研究論文に表示され、ダッシュボードに表示されないことがあります。
どちらも悪用可能ですが、1つだけ追跡されています。
実行可能なシグナルレイヤーがどのように見えるか
CVEは、設計された対象に対してその役割を果たします。しかし、フレームワークの下にある仮定—安定した識別子、固定コンテンツ、調整された開示、ベンダー勧告—はエージェント攻撃面の意味のある増加する部分には当てはまりません。
このカテゴリの実行可能なシグナルレイヤーは、おそらく現在のシステムが欠けている3つのことが必要です。
- アーティファクト識別子ではなく動作識別子:エージェントに環境変数を流出させるよう指示するスキルが削除され、同じ指示が明日異なる著者で異なるファイル名の下に表示される場合、関連する識別子はSHAではなく動作です。エージェントが実際に何をしているかをフィンガープリント—どこにどのようなデータフローが流れ、どのような外部サービスに登録されるか、ユーザーに代わってどのようなツール呼び出しを行うか—上流アーティファクトが短時間でも追跡するための耐久性のあるものを提供します。
- テイクダウンのためのレジストリ透明性:npmがパッケージを削除する場合、紙の軌跡があります。スキルレジストリがパブリッシャーを削除する場合、多くの場合、そうではありません。エコシステムは前方のこの面で成熟しますが、エンタープライズ消費者は待つのではなく今それを押すべきです。
- 責任のある開示、しかしベンダーの場合:修正して静かに出荷するものについて、モデルベンダーを含むベンダーから正直な会計が必要です。短期的にはこれについて楽観的ではありません。商業的なインセンティブは間違った方向を指しており、顧客圧力(そしてバグバウンティハンターからもっと)はベンダーがここに移動する傾向があります。
あなたが持っているダッシュボードはあなたが持っていた脅威のために構築されました
脆弱性追跡システムはアーティファクト中心のモデルを中心に構築されました。設計された脅威に対して依然として引っ張ります。BitwardenのCVEは業界全体のダッシュボードに着陸しました。次のものも同じようにします。
着陸しないものは、アドバイザリなしでレジストリから取得されたスキルです。または、プロンプトインジェクションに静かに抵抗するモデルチェックポイント。または、SKILL.mdがそれに指示したため、既に他の誰かのネットワークに登録されているあなたのエージェント。
2026年にセキュリティプログラムを実行する場合、ダッシュボードはますます不完全なピクチャーです。あなたを打つもの必ずしもそれ上にあるもの。あなたのツール実際に見ているもの、そして見るのをやめたものを知ることは、仕事が始まる場所です。
