Generatived(Beta)|生成AIの最新ニュースとトレンドを提供
Semantic Kernel脆弱性とAI攻撃検証
Generatived
26/5/11 0:00
Microsoft(米国ワシントン州)は、AIエージェント開発基盤「Semantic Kernel」において、プロンプトインジェクション経由で任意コード実行につながる脆弱性「CVE-2026-26030」「CVE-2026-25592」が確認されたと公表した。AIモデルが自然言語をツール呼び出しへ変換する設計を悪用し、エージェントが想定外の操作を実行する恐れがあるという。
Semantic Kernelは、AIモデル連携やプラグイン管理を行うMicrosoftのオープンソースフレームワークとして知られる。報告によれば、「In-Memory Vector Store」の検索機能でAI制御の入力値がeval()に渡される実装があり、PythonのAST検査回避を通じてcalc.exeを起動できる状態だったとされる。
同社は、Azure Container Appsのセッション機能を利用する「SessionsPythonPlugin」にも問題があったと説明した。AIモデルがDownloadFileAsyncを呼び出せる構成により、Windows Startupフォルダへ任意ファイルを書き込み可能となり、サンドボックス外でのコード実行につながる可能性があったという。
Microsoftは両脆弱性を修正済みで、semantic-kernel Python版1.39.4以上、.NET SDK版1.71.0以上への更新を推奨している。加えて、AIモデルをセキュリティ境界として扱わず、ツール引数を攻撃者制御入力として検証する必要があると呼びかけた。
最新のニュース
Incerto、Claude Code法人研修開始
26/5/11 0:00
Incerto(東京都荒川区)は、AnthropicのAI支援ツール「Claude Code」を活用した法人向け研修プログラムの提供を開始した。
HCLTechとCrowdStrikeがCTEM強化
26/5/11 0:00
HCLTech(インド)とCrowdStrike(米国)は、継続的脅威エクスポージャー管理(CTEM)サービス提供に向け、戦略的パートナーシップを拡大したと発表した。
%20(1).webp)
Polimill、自治体向けGPT-5.4導入
26/5/11 0:00
Polimill(東京都港区)は、パブリックセクター向け生成AI「QommonsAI」において、日本マイクロソフトが提供するAzure OpenAI in Foundry Modelsの国内リージョンを採用し、OpenAIの最新モデル「GPT-5.4」の提供を開始した。
%20(1).webp)
Copyright © 2024 Generatived - All right Reserved.
ニュース
フォローをお願いします
言語
Generatived は、Generative AIに特化した情報やトレンドをお届けするサービスです。大きく変わりゆく世界の情報を全力でお届けします。
Generatived は、Generative AIに特化した情報やトレンドをお届けするサービスです。大きく変わりゆく世界の情報を全力でお届けします。
フォローをお願いします
言語
最新のニュース
Incerto、Claude Code法人研修開始
26/5/11 0:00
Incerto(東京都荒川区)は、AnthropicのAI支援ツール「Claude Code」を活用した法人向け研修プログラムの提供を開始した。
HCLTechとCrowdStrikeがCTEM強化
26/5/11 0:00
HCLTech(インド)とCrowdStrike(米国)は、継続的脅威エクスポージャー管理(CTEM)サービス提供に向け、戦略的パートナーシップを拡大したと発表した。
Polimill、自治体向けGPT-5.4導入
26/5/11 0:00
Polimill(東京都港区)は、パブリックセクター向け生成AI「QommonsAI」において、日本マイクロソフトが提供するAzure OpenAI in Foundry Modelsの国内リージョンを採用し、OpenAIの最新モデル「GPT-5.4」の提供を開始した。