開発者がマルチエージェントAIシステムを調整するために使用する主要ツールであるCrewAIは、現在、重大なセキュリティ欠陥の連鎖に脆弱です。
直接的または間接的なプロンプトインジェクションを使用することで、攻撃者はAIエージェントを操作して安全なサンドボックスを脱出し、ホストマシンを侵害することができます。
主な脅威は、CrewAIエージェント内およびそのDocker環境内の不安全なフォールバック動作と構成設定に由来しています。
最も深刻な欠陥は、Pythonコードを安全に実行するために設計されたフレームワークのコードインタープリタツールに由来しています。攻撃者がこのツールを悪用すると、残りの脆弱性をトリガーして認証情報を盗むか、より深いネットワークアクセスを得ることができます。
セキュリティ研究者Cyataの Yarden Poratは最近、フレームワークをリモートコード実行(RCE)、サーバーサイドリクエストフォージェリ(SSRF)、および任意のローカルファイル読み取りにさらす4つの脆弱性を発見しました。
特定されたCVE
- CVE-2026-2275: コードインタープリタツールがDockerに到達できない場合、脆弱なSandboxPython環境に自動的にフォールバックし、攻撃者が任意のC関数呼び出しを実行できるようにします。
- CVE-2026-2286: RAG検索ツール内にSSRF脆弱性が存在します。これは、ランタイムURLの適切な検証に失敗し、内部およびクラウドサービスへの不正なアクセスを許可するためです。
- CVE-2026-2287: CrewAIは実行中にDockerが実行されていることを継続的に検証することに失敗し、システムはRCEを許可する不安全なサンドボックスモードにデフォルト設定されます。
- CVE-2026-2285: JSONローダーツール内のローカルファイル読み取り脆弱性はファイルパス検証に欠けており、脅威行為者がサーバから機密ファイルに直接アクセスできるようにします。
悪用は、コードインタープリタツールがアクティブであることに大きく依存しています。攻撃者がエージェントを成功裏に侵害した場合、影響はホストのセットアップに基づいて異なります。
ホストマシンがDockerを使用している場合、攻撃者はサンドボックスバイパスを達成できます。マシンが構成または不安全なモードで動作している場合、攻撃者はデバイスを完全に乗っ取るために完全なリモートコード実行を達成できます。
現在、4つすべての脆弱性に対する完全なパッチはありません。
ベンダーは問題を認め、ctypesなどの不安全なモジュールをブロックし、オープンサンドボックスにフォールバックするのではなく、システムが安全に失敗するようにするアップデートをリリースする計画です。
公式アップデートが展開されるまで、管理者は直ちに防御措置を講じる必要があります。ユーザーはコードインタープリタツールを完全に無効化し、allow_code_execution=True設定が絶対に必要な場合を除いてオフになっていることを確認する必要があります。
セキュリティチームは、信頼されていないすべてのエージェント入力をサニタイズし、システムが脆弱なフォールバックモードをトリガーするのを防ぐためにDocker可用性を厳密に監視する必要があります。
翻訳元: https://gbhackers.com/crewai-hit-by-critical-vulnerabilities/
