CrewAI Hit by Critical Vulnerabilities Enabling Sandbox Escape and Host Compromise
2026/04/01 gbhackers — マルチエージェント AI システムのオーケストレーションに使用される主要ツール CrewAI に、複数の重大なセキュリティ欠陥の連鎖による危険な状況が生じている。AI エージェントを操作する攻撃者は、直接/間接プロンプト・インジェクションを介してサンドボックス・エスケープを引き起こし、ホストマシンの侵害を可能にする。
最も深刻な欠陥は、Python コードを安全に実行するために設計された Code Interpreter Tool に存在する。この脅威は、CrewAI エージェントおよび Docker 環境のコンフィグ設定に起因し、不適切なフォールバック挙動を引き起こす。
Cyata のセキュリティ研究者 Yarden Porat が発見した 4 件の脆弱性には、リモートコード実行 (RCE)/サーバサイド・リクエスト・フォージェリ (SSRF)/任意のローカルファイル読み取りが含まれる。
一連の脆弱性を連鎖的に悪用する攻撃者は、クレデンシャル窃取やネットワーク侵害を可能にする。
4 つの脆弱性の詳細
CVE-2026-2275:Code Interpreter Tool は Docker に接続できない場合に、脆弱な SandboxPython 環境へと自動フォールバックする。この挙動を突く攻撃者は、任意の C 関数呼び出しを実行できる。
CVE-2026-2286:RAG 検索ツールに存在する SSRF の脆弱性である。実行時の URL の検証不備により、内部およびクラウド・サービスへの不正アクセスを引き起こす。
CVE-2026-2287:CrewAI の実行中には、Docker 稼働状態が継続的に検証されない。この結果として、システムは不安全なサンドボックス・モードへ移行し、RCE を許可してしまう。
CVE-2026-2285:JSON ローダー・ツールにおけるファイルパス検証の欠如により、サーバ上の機密ファイルへの直接アクセスを許可してしまう。
この攻撃の前提として、Code Interpreter Tool の有効化が条件となる。エージェント侵害が成功した場合の影響の範囲は、ホストのコンフィグに依存する。
Docker を使用する環境では、サンドボックス・バイパスが可能となる。コンフィグの不備や安全モードが欠落している環境では、攻撃者による完全なリモートコード実行が達成され、デバイス制御の完全な奪取が可能となる。
現時点において、これら 4 件の脆弱性に対する完全なパッチは存在しない。
ベンダーは問題を認識しており、ctypes などの危険モジュールのブロックや、不安全フォールバックに代えて安全な停止を強制するための更新を計画している。
公式アップデートが提供されるまでの間、管理者にとって必要なことは、速やかな防御措置の実施である。Code Interpreter Tool の完全な無効化と、必要最小限の “allow_code_execution=True” 設定が必要となる。
さらに、セキュリティチームは、すべての非信頼入力をサニタイズし、Docker 稼働状態を厳格に監視することで、脆弱なフォールバック・モードの発動を防止する必要がある。
訳者後書:複数の AI エージェントを連携させる人気フレームワーク CrewAI に存在する、4 件の深刻な脆弱性の連鎖が報告されました。この問題の原因は、 セキュリティのために用意された Docker などのサンドボックスが利用できない場合に、 自動的に 制限の緩い不安全なモードへと切り替わってしまう、不適切なフォールバック挙動 にあります。最も危険なのは、 エージェントが Python コードを実行する際に使用する Code Interpreter Tool です。
本来は隔離された Docker 内で動くべきですが、 何らかの理由で Docker に接続できないと、 ホスト上で直接コードを動かそうとする、脆弱な環境へフォールバックしてしまいます。 この欠陥を突く攻撃者は、直接/間接プロンプト・インジェクション を通じて、 ホスト側のファイル読み取りや、 任意のシステムコマンド実行、内部ネットワークへの不正アクセスを連鎖的に引き起こし、ホストマシンの完全な乗っ取りにいたる可能性があります。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.