脅威アクターはCrewAIの4つの脆弱性を連鎖させることで、リモートコード実行を含む様々なタイプの攻撃を実行することができます。
PythonベースのオープンソースマルチエージェントオーケストレーションフレームワークであるCrewAIは、開発者によって定義された特定のタスクとワークフローの完了に協力するマルチエージェントAIシステムの作成をサポートしています。
Cyataのヤルデン・ポラットによって発見された4つの問題は、ユーザーが安全なDockerコンテナ内でPythonコードを実行できるCode Interpreterツールの使用に依存しています。
CVE-2026-2275として追跡されている最初のバグは、Code Interpreterツールがクリーンアクセスできない場合にSandboxPythonにフォールバックするために存在します。
エージェント構成でコード実行を可能にするフラグが設定されている場合、または開発者がCode Interpreterツールを手動で追加した場合、この動作は任意のC関数呼び出しを通じたコード実行につながる可能性があります。CERT/CC勧告で説明されています。
CVEの成功した悪用により、攻撃者は不適切なデフォルト設定によって引き起こされる他の3つの欠陥をトリガーできる可能性があります。
そのうちの1つであるCVE-2026-2286は、攻撃者が内部およびクラウドサービスからコンテンツを取得できるようにするサーバー側リクエストフォージェリ(SSRF)バグとして説明されています。RAGサーチツールが実行時に提供されるURLを適切に検証できないために存在します。
次はCVE-2026-2287で、CrewAIが実行時にDockerがまだ実行されているかどうかを適切にチェックせず、リモートコード実行を可能にするサンドボックス設定にフォールバックするバグです。
最後に、CVE-2026-2285はJSONローダーツールに影響を与える任意のローカルファイル読み取り欠陥であり、ファイル読み取り時にパスを検証せず、サーバ上の任意のファイルへのアクセスを可能にします。
攻撃者は、直接的または間接的なプロンプトインジェクションを通じて、Code Interpreterツールを使用するCrewAIエージェントに影響を与えることにより、4つの問題を連鎖させることができます。
セキュリティ欠陥の成功した悪用により、攻撃者はサンドボックスから逃げ出し、ホストマシン上でコードを実行したり、そのファイルシステムからファイルを読み取ったりできる可能性があります。バグは認証情報を盗むためにも悪用される可能性があります。
脆弱性に完全に対処するためのパッチはまだリリースされていませんが、CrewAIのメンテナーは、特定のモジュールのブロッキング、フォールバックの代わりにクローズドで失敗する設定変更、より明確な実行時警告、および更新されたセキュリティ関連ドキュメントを通じてそれらに対処するためのソリューションに取り組んでいます。
Code Interpreterツールを削除または制限し、必要でない限りコード実行フラグを無効にし、エージェントの信頼できない入力への露出を制限し、入力サニタイゼーションを適用し、安全でないサンドボックスモードへのフォールバックを防止することにより、バグを軽減する必要があります。
翻訳元: https://www.securityweek.com/crewai-vulnerabilities-expose-devices-to-hacking/
