ModelScopeのMS-Agentフレームワークで新たに開示された重大な欠陥により、攻撃者は任意のコマンドを実行し、AIエージェントを実行しているシステムを完全に制御することが可能になります。
CVE-2026-2256として追跡され、脆弱性ノートVU#431821が割り当てられた同問題は、サニタイズされていないシェルコマンド実行に由来しており、プロンプトベースの攻撃により影響を受けたインストール環境での権限昇格が可能です。
自律的なAIワークフロー自動化とツール呼び出しに広く使用されているMS-Agentフレームワークには、オペレーティングシステムコマンド実行用の組み込みシェルツールが含まれています。
しかし、研究者たちは、このシェルを通じて渡されるユーザー制御またはAI生成入力をフレームワークがサニタイズできていないことを発見しました。
その結果、悪意のあるプロンプトインジェクションまたは作成された外部コンテンツが、基盤となるシステム上での不要なコマンド実行をトリガーする可能性があります。
CERT調整センター(CERT/CC)は、ベンダーの声明や公式パッチが現在利用できないことに注意した勧告を発表しました。
この脆弱性はItamar Yochpazによって責任を持って報告され、2026年3月2日にChristopher Cullenによって文書化されました。
欠陥はMS-Agentのシェルツールのcheck_safe()メソッドに存在し、正規表現ベースのデニーリストフィルタリングを使用して安全でないコマンドをブロックしようとします。
残念ながら、このアプローチは代替エンコーディング、シェル構文の変形、またはコマンド難読化で簡単にバイパスすることができます。
攻撃者は悪意のあるペイロードをAIプロンプトに組み込むか、信頼されていないコンテンツに組み込み、エージェントにそれをシェルに転送させるよう説得することができます。
MS-Agentは複数の自律的なAIサービスとローカル自動化フレームワークを支える可能性があるため、エージェントが電子メール、アップロードされたファイル、Webコンテンツなどの信頼されていない入力ソースを処理する環境では、悪用リスクが増加します。
成功した悪用は遠隔コマンド実行(RCE)機能を付与し、攻撃者がAIエージェントをハイジャックしてシステムレベルのアクションを実行することを事実上可能にします。
MS-Agentがより広いAI開発エコシステムに統合されていることを考慮すると、この脆弱性はサプライチェーンまたはデータ整合性攻撃の枢機点としても機能する可能性があります。
ベンダーが修正をリリースしていないため、ユーザーは直ちに防御措置を講じるべきです: