自律型AIエージェントの構築と実行に使用される軽量ソフトウェアツールであるMS-Agentフレームワークで、重大な脆弱性が発見されました。
CVE-2026-2256として追跡されるこのコマンドインジェクション脆弱性により、リモート攻撃者がこれらのAIエージェントをハイジャックでき、基礎となるコンピュータシステムの完全なコントロールを与える可能性があります。
MS-Agentは、開発者がタスクを自動的に実行でき、様々なデジタルツールを使用できるAIエージェントを作成するのに役立つように設計されています。これらの組み込み機能の1つは「Shellツール」です。
このツールにより、AIエージェントは割り当てられたタスクを完了するために、ホストオペレーティングシステム上でコマンドライン命令を直接実行できます。
| カテゴリ | 詳細 |
|---|---|
| CVE ID | CVE-2026-2256 |
| 脆弱性の種類 | コマンドインジェクション/リモートコード実行(RCE) |
| 影響を受けるソフトウェア | ModelScope MS-Agent Framework |
| 欠陥のあるコンポーネント | Shellツール(check_safe() メソッド) |
この機能はAIエージェントを非常に有能にしますが、コマンドが実行される前に適切にチェックされない場合、かなりのセキュリティリスクも生じます。
コマンドインジェクション脆弱性がどのように機能するか
カーネギーメロン大学の研究者が述べたところによると、この脆弱性はMS-Agentフレームワークが信頼できない入力をどのように処理するかに起因しています。このソフトウェアはコマンドをShellツールに送信する前に調査するために、check_safe()と呼ばれるメソッドに依存しています。
このメソッドは「ブロックリスト」(禁止されたワードまたはシンボルのリスト)を使用して危険なコマンドをブロックします。
しかし、セキュリティ研究者はこのブロックリストが不十分であることを発見しました。攻撃者は「プロンプトインジェクション」と呼ばれるテクニックを使用してAIエージェントをだますことができます。
エージェントが要約するよう求められたドキュメントや分析するよう求められたコードなど、害のなさそうに見えるテキストの中に悪意のあるコマンドを隠すことで、攻撃者はcheck_safe()フィルタをバイパスできます。
ブロックリストは異なるスペル、エンコーディング、または代替コマンド形式を使用して簡単に騙すことができるため、悪意のある命令は防御をすり抜けShellツールによって実行されます。
正常に悪用された場合、攻撃者はターゲットマシン上で任意のオペレーティングシステムコマンドを実行できます。攻撃者はMS-Agentプロセス自体と同じレベルのアクセスを獲得します。
これは、ハッカーが以下のことができることを意味します:
- 重要なシステムファイルを修正または削除します。
- AIエージェントがアクセスできる機密データを盗みます。
- 長期アクセスのためにマルウェアまたはバックドアをインストールします。
- 侵害されたマシンを使用して同じネットワーク上の他のコンピュータを攻撃します。
軽減とディフェンス戦略
調整プロセス中に、ベンダー(ModelScope)はパッチまたは正式な声明を提供しませんでした。
正式な修正がない場合、MS-Agentを使用している組織は直ちに保護措置を取る必要があります。
セキュリティ専門家は、MS-Agentを、すべての入力データが検証され信頼できる厳密に制御された環境にのみ配置することを強く推奨しています。
シェル実行機能を必要とするエージェントは、安全な「サンドボックス」に配置するか、必要な絶対的な最小権限で実行する必要があります(最小権限)。
さらに、開発者は脆弱なブロックリストフィルタを、特別に承認されたコマンドのみの実行を許可するストリクト許可リストに置き換えることを検討すべきです。
翻訳元: https://gbhackers.com/ms-agent-vulnerability-exposes-ai-agents/
