ModelScope MS-Agent の脆弱性 CVE-2026-2256:リモート・ハイジャックと乗っ取りの恐れ

MS-Agent Vulnerability Exposes AI Agents to Remote Hijacking, Granting Full System Control

2026/03/03 gbhackers — 軽量 AI エージェント構築フレームワーク ModelScope MS-Agent に、深刻な脆弱性 CVE-2026-2256 が発見された。この脆弱性はコマンド・インジェクションの欠陥に起因し、AI エージェントの乗っ取りをリモート攻撃者に許すものであり、基盤となるコンピュータ・システムの完全奪取に至る可能性がある。

MS-Agent は、自律型 AI エージェントの構築および実行を、ビルトインの “Shell ツール” などにより支援するものだ。このツールは、タスクを実行するエージェントのために、ホスト OS 上でコマンドライン命令を直接実行する。

CategoryDetails
CVE IDCVE-2026-2256
Vulnerability TypeCommand Injection / Remote Code Execution (RCE)
Affected SoftwareModelScope MS-Agent Framework
Flawed ComponentShell tool (check_safe() method)

この Shell ツールの機能は強力であるが、実行前にコマンドが適切に検証されない場合に、重大なセキュリティ・リスクを生じる。

コマンド・インジェクション欠陥の仕組み

Carnegie Mellon University の研究者によると、この脆弱性は MS-Agent が未信頼の入力を処理する方法に起因する。

このフレームワークは、check_safe() メソッドにより、Shell ツールに渡されるコマンドを事前に検査する。このメソッドは、禁止される語句や記号の拒否リストを用いて危険なコマンドをブロックする設計となっている。

しかし、研究者たちが確認したのは、拒否リストが不十分であるため、攻撃者によるプロンプト・インジェクション攻撃が可能になることだ。

具体的に言うと、エージェントに要約させる文書や解析対象コードなどの、無害に見えるテキスト内部に悪意のコマンドを隠蔽することで、check_safe() フィルタを回避できてしまう。

たとえば、スペル変更/エンコード/代替コマンド形式などにより、拒否リストの回避は容易になる。その結果として、悪意の命令は防御をすり抜け Shell ツールにより実行される。

悪用に成功した攻撃者は、対象マシン上で任意のオペレーティング・システム・コマンドを実行できる。この攻撃者は、MS-Agent プロセスと同一権限を取得し、以下を可能にする。

  • 重要システム・ファイルの改変/削除
  • AI エージェントがアクセス可能な機密データの窃取
  • 長期アクセス維持のためのマルウェア/バックドアの設置
  • 同一ネットワーク内の他ホストへの攻撃展開
緩和と防御の戦略

調整過程において、ベンダー ModelScope はパッチまたは公式声明を提供していないため、MS-Agent を使用する組織は直ちに防御措置を講じる必要がある。厳格に制御された環境だけに MS-Agent を展開するために、以下の措置を講じるべきだ。

  • すべての入力データを検証済みかつ信頼済みのものに絞り込む。
  • Shell 実行機能を必要とするエージェントは、安全なサンドボックス環境で実行する。
  • 最小権限の原則 (least-privilege) を徹底する。
  • 脆弱な拒否リスト方式を廃止し、明示的に許可されたコマンドのみを実行可能とする、許可リスト方式へ移行する。

この事例が示すのは、AI エージェント統合時におけるコード実行機能のリスクである。特にプロンプト・インジェクションと Shell 実行機能の組み合わせは高リスクをもたらすため、設計段階から厳格な分離および制御が不可欠である。

AI エージェント構築フレームワーク ModelScope MS-Agent において、基盤となるシステムを完全に支配される恐れのある深刻な脆弱性 CVE-2026-2256 が発見されました。この問題の原因は、AI エージェントが OS コマンドを実行するための “Shell ツール” において、入力された命令の内容が十分に検証されていないことにあります。このフレームワークには、実行前に危険なコマンドをブロックする check_safe() という検査機能が備わっています。

しかし、この機能は拒否リストに含まれる特定の言葉をフィルタリングするだけの不完全なものでした。そのため、攻撃者が文書の要約や解析をエージェントに依頼する際に、その指示の中に巧妙に細工した悪意のコマンドを紛れ込ませるプロンプト・インジェクションを行うことで、簡単に検査をすり抜けることが可能になっていました。脆弱性 CVE-2026-2256 に対するパッチが提供され、このフレームワークに依存する AI エージェントがアップデートされ、プロンプト・インジェクションが減ることを期待します。よろしければ、Prompt Injection での検索結果も、ご参照ください。