トップ/記事一覧/AI業務自動化ツール『PraisonAI』に危険度10.0の脆弱性、AIへの指示だけでサーバー乗っ取り CVE-2026-61447ほか計5件、最新版へ即更新を
praisonai-cve-cover-ja

AI業務自動化ツール『PraisonAI』に危険度10.0の脆弱性、AIへの指示だけでサーバー乗っ取り CVE-2026-61447ほか計5件、最新版へ即更新を

AIに仕事を任せる人気ツール『PraisonAI』に、危険度10点満点中10.0の脆弱性CVE-2026-61447など計5件が見つかりました。AIに指示を送るだけで、サーバー上で悪意あるプログラムを実行され、APIキーなどの機密情報を盗まれる恐れがあります。過去にも公開数時間で実際に攻撃された前例があり、利用者は今すぐ2つの部品を最新版へ更新してください。

ニュース2026年7月11日公開 本日更新
目次
この記事のポイント

AIに仕事を任せる人気ツール『PraisonAI』に、危険度10点満点中10.0の脆弱性CVE-2026-61447など計5件が見つかりました。AIに指示を送るだけで、サーバー上で悪意あるプログラムを実行され、APIキーなどの機密情報を盗まれる恐れがあります。過去にも公開数時間で実際に攻撃された前例があり、利用者は今すぐ2つの部品を最新版へ更新してください。

AIに調べ物やプログラム作成、パソコン操作までまとめて任せられる人気ツール「PraisonAI(プレゾンAI)」に、AIへ指示を送るだけで、そのツールが動くサーバー上で攻撃者の悪意あるプログラムを実行され、APIキーなどの機密情報を丸ごと盗まれかねない深刻な欠陥が見つかりました。中心となる識別番号はCVE-2026-61447で、危険度は10点満点中10.0という最高値です。同じ日に、この製品だけで合計5件の欠陥が一度に公表されました。

PraisonAIは、GitHubのスターが8,100を超える、いま注目のAIエージェント構築ツールです(AIエージェントとは、人の代わりに考えて手を動かすAIのこと)。今回の目玉となる欠陥は、AIに「このコードを書いて動かして」と作業させる機能に、生成されたプログラムを検査せずそのまま実行してしまう不備があり、AIへの指示文に悪意ある一文を紛れ込ませるだけで、サーバーを乗っ取れてしまうというものです。しかもPraisonAIは過去にも欠陥が繰り返し見つかり、公開からわずか3時間44分で実際の攻撃が始まった前例もあります。使っている場合は、今すぐ最新版へ更新してください

PraisonAIとは何か

PraisonAIは、複数のAIを「チーム」のように連携させ、調査・計画・プログラム作成・実行までを自動でこなさせるためのツールです。開発者のMervin Praison氏が公開しているオープンソースソフトで、公式には「24時間働くAIの人材を雇うようなもの」とうたわれています。わずか数行のコードで動かせる手軽さと、100種類以上のAIモデルに対応する柔軟さから、AIを業務に組み込みたい開発者に急速に広がっています。GitHubのスターは8,100を超え、2026年4月にはGitHubの人気ランキングで2位に入ったこともあります。

当ブログでも、こうしたAIエージェントを実際に動かす検証として個人で32人分のAIチームを動かした記録を公開しています。便利な一方で、AIに「外部の道具」を持たせて実際の作業をさせる仕組みには、新しい種類の危うさがつきまといます。似た構図の欠陥は、Webページを開くだけでAIエージェントが乗っ取られたLangflowや、AIをまとめるLiteLLMの乗っ取りAIにサーバー群を操作させる連携ツールの認証情報流出でも報告されてきました。今回のPraisonAIは、その中でも「危険度10.0」という最上位の欠陥が含まれる点で際立っています。

何が危険なのか、どこまで被害が広がるのか

今回まとめて公表された5件は、いずれもAIに与える「指示」や、AIが読み込む「外部データ」を通じて、ツールが動くサーバーを不正に操れてしまうという共通の弱点を突いています。中でも最も重いCVE-2026-61447は、AIがプログラムを書いて実行する機能に穴があり、攻撃者がAIへの指示に細工した一文を混ぜるだけで、サーバー上で好きなプログラムを実行できてしまいます。この手口は「プロンプトインジェクション」と呼ばれます(AIへの指示文=プロンプトに、命令をこっそり注入する攻撃のこと)。米国立標準技術研究所(NIST)はこれを、悪意あるコードの実行を許す分類(CWE-94)として整理しています。

被害の中身は具体的です。プログラムを自由に実行されると、まずツールが持っている環境変数(OpenAIやAnthropicのAPIキー、データベースの接続情報など機密の設定値)がそっくり盗まれます。APIキーを奪われれば、攻撃者はあなたの契約でAIを使い込んで高額請求を発生させたり、つながっているサービスへ侵入したりできます。さらに、別の欠陥(CVE-2026-61445)ではサーバーのファイルを書き換えて命令を実行でき、しかもPraisonAIをDockerという仕組みで動かしている場合は管理者権限で動くため、サーバーそのものを完全に支配される恐れがあります。

怖いのは、利用者が「悪意ある指示」を自分で打ち込む必要すらない点です。AIエージェントは、Webページや課題チケット、外部から取り込んだ文書などを自動で読み込んで作業します。その読み込むデータの中に攻撃者が命令文を仕込んでおけば、AIがそれを「作業指示」と勘違いして実行してしまいます。AIが攻撃にも守りにも使われる状況は、AIがサイバー攻撃を加速させている構造とも重なります。

誰がこの穴を狙い、何が起きるのか

この欠陥を突くと想定されるのは、AIサービスに使われるAPIキーや、つながった先の社内システムを狙う金銭目的の攻撃者や、公開された欠陥を自動で探し回って手当たり次第に侵入を試みるスキャナー集団です。PraisonAIのようなツールは、複数のAIサービスやデータベースへの鍵をまとめて握っていることが多く、一つ落とせば連鎖的に多くの資産へ手が届く「鍵束」として、攻撃者にとって狙いがいのある標的です。

攻撃の流れはこうです。攻撃者はAIエージェントが読み込むWebページ・文書・チケットなどに、細工した指示文をあらかじめ仕込んでおき、利用者がAIにそれを処理させた瞬間に、サーバー上で情報を盗み出すプログラムを実行させます。利用者はAIにいつもの作業を頼んだだけのつもりでも、裏でAPIキーや接続情報が抜き取られてしまいます。インターネットに直接つながった状態でPraisonAIを動かしている場合は、指示を送り込む必要すらなく、外から直接叩かれる恐れもあります。

結果として、狙われた開発者や企業は、AIサービスの利用料を不正に使い込まれたり、つながった社内システムやデータベースに侵入されたり、サーバーそのものを乗っ取られて別の攻撃の踏み台にされたりします。AIに便利な道具を持たせる仕組みは急速に広がっていますが、その道具が外部からの入力を無防備に受け取ると、AI自身が攻撃者の手先として働かされてしまう、という新しいリスクが浮き彫りになっています。

技術的に見ると何が起きているのか

今回のPraisonAIの5件は、「AIの出力や外部入力を、検証せずに実行系へ流し込んでいる」という共通の原因を持ちます。1件ずつ見ていきます。なお、PraisonAIはpraisonaipraisonaiagentsという2つの部品(パッケージ)に分かれており、欠陥によって直すべき部品と修正版が異なる点に注意が必要です。

CVE-2026-61447:AIへの指示だけで任意のプログラムを実行、機密情報を窃取(危険度10.0)

AIにプログラムを書かせて実行させる「CodeAgent」という機能に、AIが生成したPythonコードを、内容の検査(AST検証)も、危険な命令の制限も、隔離環境(サンドボックス)もかけずにそのまま実行してしまう不備がありました。安全のためのサンドボックス設定(sandbox=True)は用意されているものの、実際には無視されて機能していませんでした。攻撃者はプロンプトインジェクションでAIに悪意あるコードを書かせ、たとえば環境変数からAPIキーを読み出して外部へ送信するプログラムを実行させられます。ログインは不要(権限要件なし)で、対象はpraisonaiagentsの1.6.77以前、1.6.78で修正されています。報告者はanushkavirgaonkar氏です。

CVE-2026-61445:ファイルの書き込みとコマンド実行で管理者権限を奪取(危険度9.9)

プログラム作成を補助する「AICoder」機能に、ファイルの保存先を検証しない不備がありました。保存先の指定に絶対パスを混ぜると安全チェックをすり抜け(例:/etc/cron.d/のような定期実行の設定場所やSSHの鍵ファイルへの書き込み)、そこから任意のプログラムを実行できます。加えて命令を実行する機能も入力を素通しするため、AIへのチャットに「このコマンドを実行して」と紛れ込ませるだけでサーバー上で命令が走ります。開発元の勧告によると、PraisonAIをDockerで動かすと管理者(root)権限で動くため、被害はサーバー全体に及びます。対象はpraisonaiの4.6.77以前、4.6.78で修正されています。

CVE-2026-60090:データベースへの不正命令の注入(危険度9.8)

AIに記憶を持たせる「知識ストア」機能(PGVectorやCassandraというデータベースを使う部分)に、データベースへ送る命令文へ利用者由来の値を無検証で埋め込む不備がありました。本来は数値であるはずの「次元数」の項目が実行時にチェックされておらず、3); DROP TABLE tenant_secrets; --のような細工した文字列を渡すと、データベースへ不正な命令を注入できます(SQL/CQLインジェクションと呼ばれる古典的な手口)。これによりデータの盗み見や削除が可能です。NVDによると対象はpraisonaiの4.6.78より前、4.6.78で修正されています。

CVE-2026-61426:初期設定が無防備で、誰でもAIに接続できる(危険度8.6)

PraisonAIの初期設定そのものに問題がありました。すべての通信経路に接続を開放し、APIキー(合言葉)を要求せず、外部サイトからのアクセス制限(CORS)も無効という無防備な状態が既定になっていたため、インターネットに露出していると、認証なしで誰でもAIエージェントの指示内容(システムプロンプト)を覗き見たり、AIを勝手に動かしたりできてしまいます。対象はpraisonaiagentsの1.7.3より前、1.7.3で修正されています。過去にもPraisonAIは「認証が初期状態で無効」という同種の欠陥を出しており、繰り返しの構図です。

CVE-2026-61429:内部ネットワークへの不正アクセス(SSRF、危険度8.5)

Webページを読み込む機能(Crawl4AI/Chromiumを使う部分)に、アクセス先を偽って内部ネットワークへ踏み込ませる手口(SSRF)を防ぎきれない不備がありました。DNSの名前解決を途中ですり替える「DNSリバインディング」や、転送(リダイレクト)を悪用することで、本来アクセスできないはずの社内サーバーやクラウドの内部情報へ到達できてしまいます。対象はpraisonaiagentsの1.6.78より前、1.6.78で修正されています。

影響を受けるバージョンと対策

修正版は欠陥ごとに異なり、しかも直すべき部品がpraisonaipraisonaiagentsの2つに分かれます。片方だけ更新しても全部は塞げません。まとめて解消するには、praisonaiを4.6.78以上、praisonaiagentsを1.7.3以上へ、どちらも入手できる最新版へ更新してください。

識別番号内容危険度対象の部品修正版
CVE-2026-61447指示だけで
プログラム実行
10.0praisonaiagents1.6.78
CVE-2026-61445ファイル書き込み+
命令実行(管理者権限)
9.9praisonai4.6.78
CVE-2026-60090データベースへの
不正命令の注入
9.8praisonai4.6.78
CVE-2026-61426初期設定が無防備で
誰でも接続可能
8.6praisonaiagents1.7.3
CVE-2026-61429内部ネットワークへの
不正アクセス(SSRF)
8.5praisonaiagents1.6.78

更新に加えて、PraisonAIをインターネットに直接さらさないことも重要です。外部からアクセスできる状態で動かすと、初期設定の無防備さ(CVE-2026-61426)を突かれて直接叩かれます。社内ネットワークやローカル環境に限定し、必要ならAPIキーによる認証を必ず有効にしてください。あわせて、AIエージェントに読ませる外部データ(Webページ・文書・チケット)を信頼できるものに絞ることで、プロンプトインジェクションの入口を狭められます。こうしたAI連携ツールは、OSSサプライチェーン(外部部品の安全性)を継続的に点検する対象に必ず含めておきたいところです。

PraisonAIで欠陥が繰り返される理由

PraisonAIで重い欠陥が見つかるのは、今回が初めてではありません。2026年5月には、APIサーバーが認証を無効のまま出荷されていた欠陥(CVE-2026-44338)が公表され、セキュリティ企業Sysdigの報告によれば、勧告が公開されてからわずか3時間44分後には、攻撃者のスキャナーが該当する穴を探し回り始めていました。過去には危険度10.0の「サンドウォール(隔離環境)を破る」欠陥(CVE-2026-34938)や、複数の欠陥を束ねた「9件クラスタ」の勧告(RAXE-2026-050)も出ています。

共通するのは、AIの出力や外部からの入力を、検証せずにコマンド実行・ファイル操作・データベースへ流し込むという設計上の癖です。AIエージェントの分野は開発スピードが速く、機能追加が優先されがちで、入力の検証や権限の絞り込みが後回しになりやすい構造があります。マイクロソフトも「プロンプトがシェル(命令実行の窓口)になる」として、AIエージェント基盤に共通するこの危うさを警告しています。PraisonAIを使う場合は、「便利な新機能ほど、まだ検証が甘いかもしれない」という前提で、更新と権限設計を習慣にしておくことが欠かせません。

確認できていること、まだ分からないこと

✓ 確認済みの事実

  • PraisonAIで同日に計5件の欠陥が公表され、最も重いCVE-2026-61447は危険度10.0。AIへの指示(プロンプトインジェクション)で任意のプログラムを実行できる(NVD
  • 直すべき部品はpraisonai(4.6.78で修正)とpraisonaiagents(1.7.3で修正)に分かれ、片方だけの更新では全部を塞げない(NVD
  • PraisonAIは過去にも重い欠陥が繰り返し見つかり、CVE-2026-44338は公開から3時間44分で攻撃スキャナーの標的になった(Sysdig

? まだ確認されていないこと

  • ?今回の5件が実際の攻撃に悪用されたという公式な報告は、公開時点では確認されていない
  • ?米政府CISAの「実際に攻撃が確認された脆弱性リスト(KEV)」には、公開時点で登録されていない(KEVの最新状況はこちらで確認できる
  • ?ただし過去の同製品の欠陥が公開直後に攻撃されている経緯から、今回も早期に悪用が試みられる可能性は高いとみられる

今すぐできる対策

対策の軸ははっきりしています。PraisonAIの2つの部品を、どちらも入手できる最新版へ更新することが最優先です(目安はpraisonaiが4.6.78以上、praisonaiagentsが1.7.3以上)。修正版はPyPI(Pythonの部品配布サイト)やGitHubのリリースページから入手できます。AIに作業を任せる構成は便利ですが、その分だけ握られている鍵が多く、乗っ取られたときの被害が大きくなります。

あわせて、インターネットに直接さらさない・AIに与える権限と読ませるデータを絞ることが重要です。外部公開が不要ならローカル環境に限定し、APIキー認証を有効化する。プログラム実行やファイル操作の機能が不要なら無効にする。信頼できない外部データをそのままAIに処理させない。すでに露出させて動かしていた場合は、環境変数に入れていたAPIキーやデータベースの接続情報を、念のためすべて再発行してください

立場今できること優先度
利用中の開発者2つの部品を最新版へ更新
不要な実行・ファイル機能を無効化
最優先
外部公開して運用中ローカル/社内に限定
APIキー認証を有効化
最優先
悪用の疑いAPIキー・接続情報を再発行
実行ログ・課金の異常を調査

よくある質問

Q. PraisonAIを外部に公開せず、自分のパソコンだけで使っていれば安全ですか。

A. インターネットに直接さらしていなければ、無防備な初期設定(CVE-2026-61426)を外から直接叩かれるリスクは大きく下がります。ただし最も重いCVE-2026-61447は、AIが読み込む外部データ(Webページや文書)に仕込まれた指示で発動し得るため、ローカル利用でも油断はできません。最新版への更新は必ず行ってください。

Q. 自分のバージョンはどう確認すればいいですか。

A. pip show praisonaipip show praisonaiagentsで、それぞれのバージョンを確認できます。praisonaiが4.6.78より前、またはpraisonaiagentsが1.7.3より前であれば、今回のいずれかの欠陥の対象です。2つとも最新版へ更新してください。

Q. なぜ2つの部品を別々に更新する必要があるのですか。

A. PraisonAIはpraisonaipraisonaiagentsという2つのパッケージで構成され、今回の欠陥はその両方にまたがっています。片方だけを更新しても、もう片方の穴が残ります。両方をまとめて最新版にするのが確実です。

Q. すでに攻撃に悪用されているのですか。

A. 本記事の公開時点で、今回の5件が実際の攻撃に使われたという公式な報告は確認されていません。米政府CISAの攻撃確認リスト(KEV)にも登録されていません。ただしPraisonAIは過去の欠陥が公開直後に攻撃された前例があり、今回も早期に狙われる可能性が高いとみられます。早めの更新が安全です。

まとめ

今回の件は、AIに調査やプログラム作成、パソコン操作まで任せられる人気ツールPraisonAIが、AIの出力や外部入力を十分に確かめずに実行系へ流し込んでいたために、AIへの指示ひとつでサーバーを乗っ取られかねない、という話です。中心のCVE-2026-61447は危険度10.0で、ログイン不要で悪用でき、APIキーなどの機密情報をまとめて奪われる恐れがあります。同じ日に5件がまとめて公表され、しかも直すべき部品は2つに分かれています。

救いは、開発元がすでに修正版を公開していることです。praisonaipraisonaiagentsの両方を最新版へ更新し、インターネットに直接さらさず、AIに与える権限と読ませるデータを絞る。この基本を守れば、大半の入口は塞げます。AIに道具を持たせる仕組みは急速に広がっていますが、その道具が受け取る入力の検証を怠ると、AI自身が攻撃者の手先になり得ます。PraisonAIは過去にも公開直後に攻撃された前例がある製品です。便利さと危うさは表裏一体である前提で、更新と権限設計を早めに済ませておきたいところです。新たな悪用の動きがあれば、あらためてお伝えします。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go