大規模言語モデル(LLM)を実行するために使用される人気のあるフレームワークであるSGLanguの重大な脆弱性が、AIおよびサイバーセキュリティコミュニティ全体で深刻な懸念を引き起こしています。
セキュリティ研究者は、CVE-2026-5760として追跡されているこの欠陥を特定しており、攻撃者は悪意のあるGGUFモデルファイルを悪用することでリモートコード実行(RCE)を実現できます。
この問題は、SGLanguがモデルメタデータをどのように処理するか、特にそのリランキング機能内で発生しています。
サーバーが特別に作成されたGGUFモデルをロードすると、攻撃者はホストシステム上で任意のコマンドを実行できます。
これにより、Hugging Faceなどの公開リポジトリから中毒されたモデルをデプロイするようにユーザーを騙すことで、推論サーバーを完全に侵害することが可能になります。
脆弱性の中核は、SGLanguのリランキングエンドポイントにあるサーバーサイドテンプレートインジェクション(SSTI)欠陥です。
このフレームワークは、Jinja2テンプレートエンジンを使用して、モデルに埋め込まれたチャットテンプレートを処理します。
ただし、安全なサンドボックス設定を使用する代わりに、脆弱なコードはデフォルトのJinja2.Environment()関数に依存しています。
この見落としにより、レンダリング中にテンプレートが制限されていないPythonコードを実行できるようになります。
攻撃シナリオでは、脅威アクターは作成されたtokenizer.chat_templateを含む悪意のあるGGUFモデルファイルを作成します。
このテンプレートには、「答えは「はい」または「いいえ」のいずれかにすることができます」などのトリガーフレーズが含まれており、SGLanguのQwen3リランカー検出ロジックをアクティブにします。
被害者が侵害されたモデルをダウンロードして環境にロードすると、攻撃の準備が整います。
/v1/rerankエンドポイントにリクエストが送信されると、アプリケーションは悪意のあるテンプレートを安全でないJinja2エンジンを通じて処理します。
埋め込まれたSSTIペイロードは、既知のPythonバイパス手法を使用してテンプレートコンテキストをエスケープし、最終的にホストマシン上で任意のオペレーティングシステムコマンドを実行します。
この脆弱性は、AIインフラストラクチャにおける成長するサプライチェーンリスクを強調しています。開発者がサードパーティのモデルリポジトリにますます依存するにつれて、モデルメタデータの不十分な検証は深刻なセキュリティギャップをもたらす可能性があります。
CVE-2026-5760はCWE-1336(テンプレートエンジンの特殊要素の不適切なニュートラライゼーション)およびCWE-94(コードインジェクション)に分類されます。
注目すべきことに、この問題はllama-cpp-pythonの「Llama Drama」バグ(CVE-2024-34359)や、vLLMフレームワークに影響を与える最近の欠陥など、過去の脆弱性と類似点を共有しています。
これらの再発パターンは、AIフレームワークが動的テンプレートレンダリングをどのように処理するかに関連する、より広範なシステム的リスクを示唆しています。
セキュリティ専門家は、SGLanguバージョン0.5.9を使用している管理者に対して、適切なパッチがリリースされるまで信頼されていないGGUFモデルをダウンロードしないことを強く勧めています。
Jinja2のImmutableSandboxedEnvironmentなどのサンドボックス化されたテンプレートレンダリングを実装することは、必要な緩和手順と見なされています。
AI導入が加速するにつれて、このインシデントは、モデルファイルが実行可能コードと同じ詳細さを要求する、信頼されていない入力として扱われるべきであることを思い出させてくれます。