Generatived(Beta)|生成AIの最新ニュースとトレンドを提供
Semantic Kernel脆弱性とAI攻撃検証
Generatived
26/5/11 0:00
Microsoft(米国ワシントン州)は、AIエージェント開発基盤「Semantic Kernel」において、プロンプトインジェクション経由で任意コード実行につながる脆弱性「CVE-2026-26030」「CVE-2026-25592」が確認されたと公表した。AIモデルが自然言語をツール呼び出しへ変換する設計を悪用し、エージェントが想定外の操作を実行する恐れがあるという。
Semantic Kernelは、AIモデル連携やプラグイン管理を行うMicrosoftのオープンソースフレームワークとして知られる。報告によれば、「In-Memory Vector Store」の検索機能でAI制御の入力値がeval()に渡される実装があり、PythonのAST検査回避を通じてcalc.exeを起動できる状態だったとされる。
同社は、Azure Container Appsのセッション機能を利用する「SessionsPythonPlugin」にも問題があったと説明した。AIモデルがDownloadFileAsyncを呼び出せる構成により、Windows Startupフォルダへ任意ファイルを書き込み可能となり、サンドボックス外でのコード実行につながる可能性があったという。
Microsoftは両脆弱性を修正済みで、semantic-kernel Python版1.39.4以上、.NET SDK版1.71.0以上への更新を推奨している。加えて、AIモデルをセキュリティ境界として扱わず、ツール引数を攻撃者制御入力として検証する必要があると呼びかけた。
最新のニュース
%20(1).webp)
NTTビジネスソリューションズ AI連携基盤実証開始
26/6/25 0:00
NTTビジネスソリューションズ(大阪府大阪市)は、全国初の取り組みとして、FIWARE Orion搭載のデータ連携基盤サービスにMCP機能を実装し、純国産プライベートLLM「tsuzumi 2」と連携したAIエージェント実証を2026年8月中旬から開始すると発表した。
DreamCore Studio提供開始
26/6/25 0:00
NEIGHBOR(東京都千代田区)は、AIゲームプラットフォーム「DreamCore」で、本格的なゲーム制作に対応する「DreamCore Studio」の提供を開始した。
Copyright © 2024 Generatived - All right Reserved.
ニュース
フォローをお願いします
言語
Generatived は、Generative AIに特化した情報やトレンドをお届けするサービスです。大きく変わりゆく世界の情報を全力でお届けします。
Generatived は、Generative AIに特化した情報やトレンドをお届けするサービスです。大きく変わりゆく世界の情報を全力でお届けします。
フォローをお願いします
言語
最新のニュース
NTTビジネスソリューションズ AI連携基盤実証開始
26/6/25 0:00
NTTビジネスソリューションズ(大阪府大阪市)は、全国初の取り組みとして、FIWARE Orion搭載のデータ連携基盤サービスにMCP機能を実装し、純国産プライベートLLM「tsuzumi 2」と連携したAIエージェント実証を2026年8月中旬から開始すると発表した。
DreamCore Studio提供開始
26/6/25 0:00
NEIGHBOR(東京都千代田区)は、AIゲームプラットフォーム「DreamCore」で、本格的なゲーム制作に対応する「DreamCore Studio」の提供を開始した。