概要

CrewAIは、開発者がマルチエージェントAIシステムを統合するための重要なツールです。しかし、セキュリティ研究者Yarden Porat氏によって最近、このツールに深刻な脆弱性が見つかりました。

脆弱性の詳細

これらの脆弱性は、攻撃者がAIエージェントを安全なsandboxから脱出させ、ホストマシンを侵害する可能性があります。主な脅威は、CrewAIエージェントとそのDocker環境内の不安定なフォールバック動作や設定です。

特定の脆弱性

• CVE-2026-2275: Code Interpreter ToolがDockerに接続できない場合、脆弱なSandboxPython環境に自動的にフォールバックし、攻撃者が任意のC関数呼び出しを実行できる。
• CVE-2026-2286: RAG検索ツールがランタイムURLを適切にバリデーションしない場合、SSRF脆弱性が存在し、内部およびクラウドサービスへの不正アクセスを可能にする。
• CVE-2026-2287: CrewAIがDockerの実行状態を継続的に確認できない場合、システムは不安定なsandboxモードにデフォルトで切り替わり、RCEを許可する。
• CVE-2026-2285: JSONローダートールのファイルパスバリデーションが不足しているため、脅威アクターはサーバーから直接機密ファイルにアクセスできる。

影響と対策

これらの脆弱性を悪用するには、Code Interpreter Toolが有効であることが必要です。攻撃者がエージェントを侵害した場合の影響は、ホスト設定により異なります。Dockerを使用している場合はsandboxバイパスが可能で、安全または不安定なモードでは完全なリモートコード実行が可能です。

対応策

現在、これらの脆弱性に対する完全なパッチは利用できません。しかし、ベンダーは不安全なモジュール（例えばctypes）をブロックし、システムがオープンなsandboxにフォールバックするのではなく、セキュアに失敗することを強制する更新を計画しています。

公式アップデートが配布されるまで、管理者は以下の対策を講じるべきです：

• CrewAIのCode Interpreter Toolを完全に無効にする。
• allow_code_execution=True設定を必要でない限りオフにする。
• すべての非信頼エージェント入力をクリーニングし、Dockerの可用性を厳密に監視する。

元記事: https://gbhackers.com/crewai-hit-by-critical-vulnerabilities/