Generatived(Beta)|生成AIの最新ニュースとトレンドを提供
Semantic Kernel脆弱性とAI攻撃検証
Generatived
26/5/11 0:00
Microsoft(米国ワシントン州)は、AIエージェント開発基盤「Semantic Kernel」において、プロンプトインジェクション経由で任意コード実行につながる脆弱性「CVE-2026-26030」「CVE-2026-25592」が確認されたと公表した。AIモデルが自然言語をツール呼び出しへ変換する設計を悪用し、エージェントが想定外の操作を実行する恐れがあるという。
Semantic Kernelは、AIモデル連携やプラグイン管理を行うMicrosoftのオープンソースフレームワークとして知られる。報告によれば、「In-Memory Vector Store」の検索機能でAI制御の入力値がeval()に渡される実装があり、PythonのAST検査回避を通じてcalc.exeを起動できる状態だったとされる。
同社は、Azure Container Appsのセッション機能を利用する「SessionsPythonPlugin」にも問題があったと説明した。AIモデルがDownloadFileAsyncを呼び出せる構成により、Windows Startupフォルダへ任意ファイルを書き込み可能となり、サンドボックス外でのコード実行につながる可能性があったという。
Microsoftは両脆弱性を修正済みで、semantic-kernel Python版1.39.4以上、.NET SDK版1.71.0以上への更新を推奨している。加えて、AIモデルをセキュリティ境界として扱わず、ツール引数を攻撃者制御入力として検証する必要があると呼びかけた。
最新のニュース
SARUCREW AIエージェント全社導入
26/6/25 0:00
SARUCREW(東京都渋谷区)は、自社開発のAIエージェント「Godrilla」を全社導入し、広告運用業務で最大90%のリードタイム削減を実現したと発表した。
%20(1).webp)
日立ソリューションズCloudflare提供
26/6/24 0:00
日立ソリューションズ(東京都品川区)は、Cloudflareとディストリビューター契約を締結し、AIエージェント開発からゼロトラストを含むセキュリティまで支援する「Cloudflare」の提供を6月22日に開始すると発表した。
%20(1).webp)
Copyright © 2024 Generatived - All right Reserved.
ニュース
フォローをお願いします
言語
Generatived は、Generative AIに特化した情報やトレンドをお届けするサービスです。大きく変わりゆく世界の情報を全力でお届けします。
Generatived は、Generative AIに特化した情報やトレンドをお届けするサービスです。大きく変わりゆく世界の情報を全力でお届けします。
フォローをお願いします
言語
最新のニュース
SARUCREW AIエージェント全社導入
26/6/25 0:00
SARUCREW(東京都渋谷区)は、自社開発のAIエージェント「Godrilla」を全社導入し、広告運用業務で最大90%のリードタイム削減を実現したと発表した。
日立ソリューションズCloudflare提供
26/6/24 0:00
日立ソリューションズ(東京都品川区)は、Cloudflareとディストリビューター契約を締結し、AIエージェント開発からゼロトラストを含むセキュリティまで支援する「Cloudflare」の提供を6月22日に開始すると発表した。