PraisonAI の脆弱性 CVE-2026-44338 が FIX：デフォルトでの認証無効化が引き起こす問題とは？

PraisonAI Vulnerability Exploited Within Hours of Public Disclosure

2026/05/15 CyberSecurityNews — 多くのエンタープライズにおいて AI フレームワークが中核となり始めているが、人気の高い AI プラットフォームに存在する脆弱性を悪用する脅威アクターが、深刻なセキュリティ・リスクをもたらしている。PraisonAI のレガシー API サーバに存在する、深刻な脆弱性 CVE-2026-44338 が開発者コミュニティに大きな衝撃を与えている。

このフレームワークのデフォルトは、認証が無効化された状態で提供されているため、そのままの状態で使用すると、内部ワークフローへのアクセス権を事実上開放することになる。

このアーキテクチャ上の設計ミスにより、ネットワーク上の任意のユーザーが、自動化エージェントの操作を乗っ取り、タスクを実行し、高額な API クォータを消費させることが可能となるが、その際に有効な認証情報は一切不要である。

PraisonAI 脆弱性の悪用

この高深刻度の脆弱性の根本的な原因は、提供されているレガシー Flask API サーバの内部に存在し、特に “src/praisonai/api_server.py” のエントリポイントに影響する。

セキュリティ研究者は、コードベースがハードコードされた不安全なデフォルト設定に依存していることを発見した。具体的には、AUTH_ENABLED = False および AUTH_TOKEN = None が明示的に設定されている。

基盤となる check_auth() 関数は、認証が無効化されている場合に fail-open とする設計となっているため、すべてのリクエストが自動的にセキュリティ・チェックをバイパスする。

さらにリスクを増大させているのは、このスクリプトが直接起動された場合に “0.0.0.0:8080” にバインドされる点である。

これにより、脆弱で保護されていないエンドポイントがローカル環境に限定されず、到達可能なすべてのネットワーク・インターフェイスに公開されてしまう。

同様に、フレームワークのデプロイメント・サブシステムも不安全な構成を踏襲しており、認証無効でオープンなホスト・バインディングを推奨するサンプル設定が生成される。

Authorization ヘッダを指定せずに、2つの主要エンドポイントを標的とすることで、脅威アクターによる悪用は容易に達成される。

単純な GET リクエストで “/agents” ルートにアクセスすることで、未認証の状態でエージェント・メタデータの列挙が可能となり、システムの運用範囲が即座に可視化される。

さらに重要なのは、”/chat” に対する POST リクエストにより、ローカルの “agents.yaml” ワークフローが即時に実行される点である。

GitHub Advisories GHSA-6rmh-7xcm-cpxj によると、この脆弱性を悪用する攻撃者は、直接的なプロンプト・インジェクションを伴わずとも、事前に設定された自動化ワークフローを繰り返して実行できる。

攻撃者は、システムから返される、機密性の高い出力データを容易に取得できる。さらに、繰り返し実行により、外部 AI モデルの高コストなクォータを枯渇させることが可能である。

すでに PraisonAI のメンテナーは、バージョン 4.6.34 をリリースし、この問題に対処している。pip パッケージを利用している開発者は、環境を直ちに更新する必要がある。

セキュリティ・エンジニアに強く推奨されるのは、レガシー API サーバからの移行である。新しい serve agents コマンドは、デフォルトでセキュアに設計されており、”127.0.0.1″ にローカル・バインドされ、アクセスには “–api-key” 引数が必須となるため、未認証侵入のリスクが効果的に排除される。

訳者後書：AI フレームワーク PraisonAI の、古い API サーバ機能で見つかった深刻な脆弱性について解説する記事です。問題の原因は、初期設定で認証機能が “無効 False” に固定され、外部からの通信を拒否しない広大な接続設定 “0.0.0.0” が推奨されていたという、設計上の重大な不備にあります。この CVE-2026-44338 を悪用されると、攻撃者は認証なしで外部から AI エージェントの情報を参照し、連携タスクの実行などが可能になります。これにより、機密データが露出するだけではなく、連携する AI モデルのクォータ (利用枠) が枯渇するというリスクがあります。ご利用のチームは、ご注意ください。