マルチエージェントAIシステムのオーケストレーション用に広く使用されているフレームワークであるCrewAIは、攻撃者がサンドボックス環境から脱出し、基礎となるホストマシンを完全に侵害することを可能にする重大なセキュリティ欠陥の連鎖に対して脆弱であることが判明しました。
これらの欠陥は、直接的または間接的なプロンプトインジェクションによってトリガーされる可能性があり、悪意のある行為者がAIエージェントを操作して権限のないアクションを実行させることができます。
脆弱性は以下の識別子で追跡されています:
攻撃はCrewAIの展開内でコードインタープリタツールがアクティブであることに大きく依存しています。攻撃者はまずプロンプトインジェクションを使用してAIエージェントをハイジャックします。
そこからの影響はホスト構成に依存します。
Dockerが有効なホストでは、攻撃者はサンドボックスエスケープを達成できます。設定またはアンセーフモードで実行されているホストでは、攻撃者は完全なリモートコード実行を達成し、事実上デバイスの完全な制御を獲得できます。
認証情報の盗難とラテラルネットワーク移動は、追加の悪用後のリスクです。
現在のところ、4つの脆弱性すべてに対する完全なパッチは存在しません。
ベンダーは問題を認め、アンセーフモジュールctypesをブロックし、オープンサンドボックスにフォールバックする代わりにフェイルセーフな動作を強制する更新をリリースする計画を立てています。
公式の修正がリリースされるまで、管理者は直ちに以下の手順を実行する必要があります:
本番環境でCrewAIを実行しているセキュリティチームは、これらの脆弱性を重大度が高いものとして扱い、ベンダーパッチを待つ間に遅滞なく軽減措置を適用する必要があります。
翻訳元: https://cyberpress.org/crewai-vulnerabilities/