Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > デフォルトで安全性が確保されていないAIエージェントがもたらすリスク:すべてのCISOが知るべきPraisonAIの教訓

デフォルトで安全性が確保されていないAIエージェントがもたらすリスク:すべてのCISOが知るべきPraisonAIの教訓

by Patrick Spencer updated 5月 28, 2026 サイバーセキュリティー・リスク管理
Reading Time: 7 minutes

2026年5月11日13時56分(UTC)、GitHubはCVE-2026-44338に関するアドバイザリGHSA-6rmh-7xcm-cpxjを公開しました。これはPraisonAIにおける認証バイパスの脆弱性です。その3時間44分39秒後の17時40分(UTC)、”CVE-Detector/1.0″と名乗るスキャナーが、インターネットに公開されているインスタンスのまさに脆弱なエンドポイントへのスキャンを開始しました。Sysdigの脅威リサーチチームはこのタイミングを詳細に記録しており、約50秒間で70件のリクエスト、8分間隔で2回のスキャン、2回目はAIエージェントの表面を特に狙ったものでした。

この脆弱性自体は単純です。PraisonAIは約7,100のGitHubスターを持つオープンソースのマルチエージェントオーケストレーションフレームワークであり、バージョン2.5.6から4.6.33まで、認証がデフォルトで無効になっているレガシーFlask APIサーバーが含まれていました。check_auth()ヘルパーは認証が無効な場合、常にTrueを返します。保護されたルート(GET /agentsおよびPOST /chat)は設計上、すべてオープン状態で動作します。APIに到達できれば、エージェント定義ファイルの読み取り、設定済みエージェントの取得、agents.yamlワークフローの実行が可能です。送信されたメッセージは無視され、ワークフローはそのまま実行されます。

5つの重要なポイント

1. アドバイザリ公開から攻撃スキャンまで3時間44分。

インターネット上のスキャナーは、公開から3時間44分以内にPraisonAIの脆弱なエンドポイントを攻撃しました。公開から悪用までの時間は劇的に短縮されています。Sysdigの広範な調査によれば、これは孤立した事例ではなく、CVEカテゴリ全体でアドバイザリ公開から悪用までの遅延が縮小していることが確認されています。従来の「数日間はパッチ適用の猶予がある」という前提はもはや通用しません。パッチ適用速度を前提としたインシデント対応計画は、すでに誤ったタイムラインで運用されています。

2. 本番グレードのコードで認証がデフォルトで無効化されていた。

レガシーFlask APIサーバーでは、AUTH_ENABLED = FalseおよびAUTH_TOKEN = Noneがハードコーディングされていました。APIに到達できれば、トークンなしでエージェントワークフローを呼び出せます。このバイパスはアプリケーションログに認証失敗の痕跡を残しません—サーバー自体がオープン状態で動作する設計だからです。これはフレームワークレベルでのCWE-306(重要な機能の認証欠如)に該当します。次のフレームワークも異なるアンチパターンを持ってリリースされるでしょう。問題は特定のCVEではなく、パターンそのものです。

3. 被害範囲はエージェントがアクセスできる範囲すべて。

エージェントが規制対象データへアクセスできる場合、そのAPIサーバーの認証欠如はデータへの直接的な経路となります。PraisonAIのエージェントは、設定ファイルの読み取り、エージェントリストの取得、設定済みワークフローの実行が認可チェックなしで可能でした。CVSSスコアは運用上のリスクを過小評価しています。なぜなら、影響範囲の上限はアプリケーションの権限ではなく、エージェントの認可によって決まるからです。エージェント層が破られた後に残る唯一のコントロールはデータ層のコントロールです。

4. 封じ込めコントロールが欠落している。

Kiteworks 2026年予測によると、63%の組織がAIエージェントの目的制限を強制できず、60%が異常動作するエージェントを迅速に停止できず、55%がAIをネットワーク全体から分離できていません。これらはPraisonAIがリアルタイムで露呈させたまさにそのギャップです。多くの組織はAIの挙動を監視する投資はしてきましたが、AIを止めるための投資はしていません。ガバナンスと封じ込めのギャップは15〜20ポイントあり、PraisonAIは攻撃者の圧力下でそのギャップがどのように埋まるかのケーススタディです。

5. データ層でのガバナンスはフレームワーク非依存。

次のAIフレームワークも新たなアンチパターンを伴ってリリースされるでしょう。アーキテクチャ上の答えはデータ層でのガバナンスです—認証、ポリシー強制、改ざん検知付きログ—これはエージェントフレームワークやモデル、プロンプトに依存しません。エージェントが規制データにアクセスしようとした際、データ層がエージェントAPIサーバーが問わなかった質問を投げかけます。このコントロールこそが次のCVEにも耐えうるものです。

自社のセキュリティ、信じていませんか?その根拠はありますか

Read Now

「デフォルトで安全でない」が本当の脆弱性クラス

このCVE自体はCWE-306(重要な機能の認証欠如)であり、CVSSスコアは7.3です。深刻ですが、特異な事例ではありません。PraisonAIが注目に値するのは、より深いパターンにあります。開発グレードのAPIサーバーがデフォルトでhost: 0.0.0.0にバインドされ、同じ設定を継承したサンプルデプロイメントYAMLが配布され、運用者への警告もありませんでした。

Black Duck AIリサーチエンジニアのVineeta Sangaraju氏はSecurityWeekのコメントで鋭く指摘しています。「AI支援ツールにより、攻撃者はアドバイザリ公開から実際のエクスプロイト作成まで、これまで存在しなかった短時間で移行できるようになっています。」これは脅威モデルの構造的な変化であり、個別のインシデントではありません。CrowdStrikeの2026年グローバル脅威レポートでは、AIを活用した攻撃者の活動が前年比89%増加し、検知の82%がマルウェア非依存であると報告されています。オープン状態で動作するエージェントインフラは、まさにこのパターンに合致する「正当なツール」です—スキャンすべきペイロードはなく、単にワークフローエンドポイントへのリクエストが走るだけです。

多くの組織がまだ構築できていないAIエージェント脅威モデル

自律型エージェントは単なるコードではありません。ファイルの読み取り、API呼び出し、モデル実行、データ移動などの「実行権限を持つコード」です。エージェントを制御するAPIサーバーがオープン状態であれば、エージェントがアクセスできるすべての下流システムが、インターネット上の誰からでも到達可能になります。

Sysdigは、攻撃タイムライン分析で「ネットワーク層の監視はこの種のトラフィックを的確に検知できる。なぜならバイパスはアプリケーションログに認証欠如の痕跡を残さないからだ」と指摘しています。アプリケーション層のSIEMルールは、アクセスが認可されたかどうかの真実のソースではないため、誤検知を生みます。検知はネットワーク層(CVE-Detector/1.0のユーザーエージェントやGET /agentsのスキャンパターンが見える場所)と、データ層(予期しないエージェントIDが規制コンテンツに触れた場合に検知できる場所)で行う必要があります。

多くの組織が埋められていない封じ込めギャップ

Kiteworks 2026年予測レポートによれば、63%の組織がAIエージェントの目的制限を強制できず、60%が異常動作するエージェントを迅速に停止できず、55%がAIシステムをネットワーク全体から分離できていません。これらは封じ込めコントロール—何か問題が起きたときにAIを止める能力—であり、監視コントロールに比べて15〜20ポイント遅れています。多くの組織はエージェントの予期しない行動を観察できますが、認可範囲を超える行動を防止したり、迅速に停止したり、機密システムから隔離したりすることはできません。

PraisonAIは、これらのギャップが実際のエクスプロイトと出会った場合のケーススタディです。エージェントはagents.yamlで運用者が設定した内容をそのまま実行し、もしそのワークフローが機密データにアクセスできるなら、認証されていないAPIサーバーはそのデータへの公開エンドポイントとなります。3時間44分という悪用ウィンドウを重ねると、答えは明白です:目的バインディング、キルスイッチ、ネットワーク分離はロードマップ上の項目ではなく、事前導入要件です。

アーキテクチャ上の答え:データ層でのガバナンス

PraisonAIから得られる教訓は、「AIエージェントフレームワークのデフォルトを改善すべき」というだけではありません。エージェント層やアプリケーション層に依存した防御策は、次のフレームワークが新たなアンチパターンで登場し、攻撃者の反応速度がさらに短縮される中で、繰り返し破られ続けるということです。アーキテクチャ上の答えは、データ層でのガバナンスです。

エージェントが侵害された場合、設定ミスがあった場合、または過剰な権限を持っていた場合でも、規制データにアクセスしようとした際に、データ層が認証、ポリシー評価、操作の記録を行うべきです。Kiteworks Secure MCP ServerおよびAI Data Gatewayはこのパターンを実装しています:すべてのエージェントリクエストはOAuth 2.0で認証され、すべての操作はABACおよびRBACポリシーにリアルタイムで照らして評価され、すべてのインタラクションが改ざん検知付きの監査ログエントリとして記録されます。FIPS 140-3認証の暗号化により、データは転送中も保存中も保護されます。エージェントは認可ユーザーの権限を継承し、それを超えることはできません。

攻撃者がPraisonAI型のエンドポイントに到達し、機密ファイルの読み取りを試みるワークフローを実行した場合、データ層はこう問いかけます:「このエージェントは認証されているか?」「このユーザーはこのデータへの権限があるか?」「この操作はポリシー内か?」「このアクセスパターンは異常か?」いずれかの答えがNOなら、ワークフローは失敗します。CVEは封じ込められたイベントとなり、データ侵害にはなりません。Kiteworks Private Data Networkはこのアーキテクチャをメール、ファイル共有、MFT、SFTP、Webフォーム、API全体に拡張します—1つのポリシーエンジン、1つの監査ログ、フレームワーク非依存のガバナンスです。

CISOおよびセキュリティチームが今すべきこと

まず、公開されているAIエージェントインフラを棚卸ししましょう。LangChain、AutoGen、CrewAI、PraisonAI、カスタム構築など、すべてのエージェントフレームワークを発見し、それぞれがどこにデプロイされているか、どのデータにアクセスできるか、APIがループバック外に公開されていないかを文書化してください。想像以上に多くのフレームワークが存在するはずです。

次に、ネットワークから到達可能なAIサービスはすべて本番資産として扱いましょう。AIサービスには、本番資産レベルの認証、ネットワークセグメンテーション、監視が必要です。55%の組織がAIをネットワーク全体から分離できていない—これは現場で十分な対策が取られていないシグナルです。

三つ目、設定だけでなくデフォルト値も監査しましょう。PraisonAIの脆弱性はデフォルト設定にありました。技術スタック内のすべてのAIツールのデフォルト値を確認し、運用者が何もしなかった場合にフレームワークがどう振る舞うかを把握してください。

四つ目、封じ込めギャップを解消しましょう。63%が目的バインディングを、60%がキルスイッチを持っていません。どちらもパイプラインは存在します—次のフレームワークCVEがギャップを突く前に本番導入してください。

五つ目、検知をデータ層へシフトしましょう。アプリケーション層のログではPraisonAIのスキャンを見逃しました。コントロールが存在する場所—データ層で、認可されていないエージェントによる規制コンテンツへのアクセスを検知できるテレメトリを構築してください。

六つ目、4時間パッチウィンドウへの備えをしましょう。自社の技術スタックに影響する高深刻度アドバイザリ発表から数時間以内に検知・対応できる運用能力を構築してください。従来のパッチサイクル前提はもはや安全ではありません。

AIデータガバナンスや自社の機密データ保護についてさらに詳しく知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

はい。「社内利用のみ」とは、しばしば「侵害されたユーザー端末から到達可能」という意味であり、攻撃者が足場を得た場合には実質的にインターネット公開と同等です。Kiteworks 2026年予測によれば、55%の組織がAIをネットワーク全体から分離できていません。社内限定は、データ層での認証、ネットワークセグメンテーション、アクセス制御の代替にはなりません。

このバイパスは、AUTH_ENABLEDがFalseの場合サーバーがオープン状態で動作するため、アプリケーションログに認証欠如のシグナルが残りません。検知にはネットワーク層(スキャンパターンのため)、およびデータ層(認可されていないエージェントアクセスのため)が必要です。Kiteworks 2026年予測によれば、61%の組織がシステム間で監査ログが分断されており、この種のイベントを発見するために必要なクロスレイヤー相関が困難になっています。

認証されていない状態で規制データにアクセスできるエージェントは、SOXセクション404やGLBAセーフガード規則への明確なギャップとなります。両フレームワークとも、実証可能なアクセス制御と監査証跡を要求しています。Kiteworks 2026年予測によれば、33%の組織が証拠品質の監査証跡を欠いています—認証され、記録されたエージェントアクセスがなければ、監査人はエージェントインフラを未記載のコントロール不備と見なします。

はい、即時対応が必要です。また2026年5月11日以降のモデルプロバイダーの請求も監査してください。開発環境には本番データのコピーが保持されていたり、本番とネットワークセグメントを共有していたり、他で再利用された認証情報を信頼しているケースがよくあります。Kiteworks 2026年予測によれば、63%の組織がAIエージェントの目的制限を強制できていません—開発環境をAIエージェントガバナンスの対象外とすることが、そのまま本番環境にギャップを持ち込む原因となります。

脅威モデルが安定することはありません—新しいフレームワークが新たなアンチパターンを持ってリリースされ、公開から悪用までのウィンドウは今後も短縮され続けます。Kiteworks 2026年予測によれば、100%の組織がAIをロードマップに載せています。導入を遅らせることは、AIの成熟度と安全運用に必要なAIガバナンス成熟度の両方で後れを取ることを意味します。どのフレームワークCVEでも被害範囲を封じ込められるガバナンスされたデータ層上で導入を進めてください。

追加リソース

  • ブログ記事
    手頃なAIプライバシー保護のためのゼロトラスト戦略
  • ブログ記事
    AIデータセキュリティに77%の組織が失敗している理由
  • eBook
    AIガバナンスギャップ:2025年に91%の中小企業がデータセキュリティでロシアンルーレット状態
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks