AmazonのAI開発ツールKiroに脆弱性 CVE-2026-10591、開くだけでコード実行
AmazonのAI開発ツールKiroに脆弱性CVE-2026-10591が公表。AIのファイル書き込み機能が.vscode/tasks.jsonに書き込め、フォルダを開くと攻撃者のコマンドが自動実行されます。プロンプトインジェクションが起点。CVSS8.8、修正版0.11へ更新を。
堀川 慎
Backend Engineer / AWS / Django / Go
AmazonのAI開発ツールKiroに脆弱性CVE-2026-10591が公表。AIのファイル書き込み機能が.vscode/tasks.jsonに書き込め、フォルダを開くと攻撃者のコマンドが自動実行されます。プロンプトインジェクションが起点。CVSS8.8、修正版0.11へ更新を。
Amazonが提供するAI搭載の開発ツール「Kiro(カイロ)」に、プロジェクトのフォルダを開いただけで、攻撃者の仕込んだコマンドが勝手に実行されてしまう欠陥(CVE-2026-10591)が公表されました。危険度を示すCVSSは10点満点中8.8(高)。原因は、KiroのAIが自動でファイルを書き込む機能(ファイル書き込みツール)に歯止めが足りず、自動実行される設定ファイルにまで書き込めてしまう点にあります。修正版はバージョン0.11で提供されています。
Kiroは、AIに指示を出すとコードの作成・修正からファイル操作までを代行してくれる「エージェント型」と呼ばれる新しいタイプの開発ツールです。便利さの裏で、AIが外部の信用できない情報に従って動いてしまうと、その手で危険なファイルを書かされるという、この種のツール特有のリスクが今回表面化しました。本記事では、何が起きるのか、どんな条件で危ないのか、いま何をすべきかを順番に整理します。
欠陥の概要
まず要点を一覧にします。最大の特徴は、攻撃の起点が「AIに信用できない情報を読ませる・処理させる」ことと、その後フォルダを開く操作にある点です。ネット越しに一方的に踏まれるわけではありませんが、開発者がふだん何気なくやっている操作が引き金になります。
| 項目 | 内容 |
|---|---|
| 整理番号 | CVE-2026-10591 |
| 対象 | Amazon Kiro IDE 0.11より前のバージョン |
| 何が起きるか | フォルダを開くと 任意コマンドが自動実行 |
| 欠陥の種類 | 権限設定の不備 (CWE-732) |
| 深刻度 | CVSS 8.8(高) AV:N/AC:L/PR:N/UI:R |
| 攻撃の前提 | AIに細工した指示を 処理させる+フォルダを開く |
| 悪用状況 | 本記事時点で報告なし (KEV未登録) |
| 対策 | Kiro 0.11以降へ更新 |
CVSSが最高の10.0ではなく8.8にとどまっているのは、攻撃に利用者側の操作(UI:R)——具体的にはフォルダを開くことが必要なためです。とはいえ、AIに「このリポジトリを見て」「このページを参考に」と指示するのは日常の作業であり、その入力に攻撃者の仕込みが混ざっていれば前提は容易に満たされます。発見したのはセキュリティ企業のCymulateで、Amazonとの協調による開示でございます。
AIに代筆させた一行が、開発者の鍵束を持ち出す
この欠陥が怖いのは、コマンドを書き込む手が攻撃者ではなく、開発者が信頼して使っているAIアシスタント自身になる点です。ここに値を付けるのは、人気リポジトリに細工を仕込むサプライチェーン攻撃者、偽の課題やコードレビューを装って開発者にAIを使わせる標的型攻撃グループ、開発環境を足場に企業へ入り込む初期アクセス業者です。持ち去られるのは、開発者のパソコンに眠るSSHの秘密鍵、クラウドの接続情報、ソースコード、署名用の鍵です。仕込まれた指示でAIがタスク設定ファイルを書き換え、開発者が次にフォルダを開いた瞬間、攻撃者のコマンドが本人の権限で走り出します。
奪われた先は一段では止まりません。クラウドの接続情報を握れば、攻撃者は本番環境や社内システムへ正規利用者として入り込みます。盗んだ鍵や認証情報はダークウェブで転売され、買い手はそれを足がかりにソースコードを抜き、ビルドの流れに毒を仕込み、その成果物を使う先々の利用者まで連鎖的に侵害します。開発者一人のパソコンが、会社全体と顧客への入口に変わってしまいます。
後始末を背負うのは、ツールを導入した開発チームと情報システム部門、そして経営です。鍵や認証情報が漏れれば、影響を受けた全システムでの鍵の作り替え、顧客への通知、取引先への説明、信用の失墜が残ります。CVSSの数字に表れないのは、信頼して使うAIが攻撃者の代筆者になり得るという新しい不安です。ツールを最新に保ち、AIに何を読ませるかを意識できるかが、いま開発者の安全を分けます。
そもそもKiroと「エージェント型のAI開発ツール」とは
Kiroは、Amazon(AWS)が2025年に公開したAI搭載の開発ツールです。プログラムを書くための画面(IDE=統合開発環境)に、対話型のAIを組み込んだもので、土台にはマイクロソフトの「VS Code」と同じオープンソース(Code OSS)が使われています。CursorやGitHub Copilotと並ぶ、いま注目の「AIにコードを書かせる」道具の一つでございます。
Kiroの特徴は「エージェント型」と呼ばれる点です。従来のAI補助が「候補を出す」までだったのに対し、エージェント型はAIが実際にファイルを作る・書き換える・コマンドを動かすところまで自分で実行します。今回問題になった「ファイル書き込みツール」も、そのためにAIへ与えられた機能の一つです。便利な反面、AIが従う「指示」の出どころが信用できないと、その手が攻撃者に操られる危うさがあります。
ここで鍵になるのが、VS Code系のエディタが持つ .vscode/tasks.json という設定ファイルです。これは「フォルダを開いたときに、この処理を自動で動かす」といった作業の自動化を書いておくファイルで、本来は開発を楽にするための仕組みです。ところが、このファイルに攻撃者のコマンドが書き込まれていると、フォルダを開いた瞬間にそれが自動で実行されてしまいます。
CVE-2026-10591の中身:AIの書き込み機能が自動実行ファイルに届いた
AWSのセキュリティ速報は、この欠陥を「Kiro IDE 0.11より前のファイル書き込みツールにおけるアクセス制御の不備により、細工された指示を通じて .vscode/tasks.json のような実行に直結するパスへの書き込みが起こり、フォルダを開いた際の自動実行を招き得る」と説明しています。つまり、AIに与えられた書き込み機能が、本来は触れさせてはいけない自動実行用の設定ファイルにまで手を伸ばせてしまったのが原因です(CWE-732・重要なリソースへの不適切な権限割り当て)。
攻撃の流れはこうです。攻撃者は、開発者がAIに読ませそうな場所——リポジトリのファイル、ドキュメント、外部から取り込む情報など——に、人間には目立たない形で「tasks.json にこう書き込め」という指示を紛れ込ませます。これはAIへの命令を乗っ取る「プロンプトインジェクション」と呼ばれる手口です。指示に従ったAIが自動実行ファイルを書き換え、開発者が次にそのフォルダを開くと、仕込まれたコマンドが本人の権限で走ります。
対象はKiro IDEの0.11より前のバージョンで、修正版の0.11以降で書き込みツールの制限が強化されています。AWSは回避策はないとし、最新版への更新を求めています。Kiroの更新履歴でも0.11が提供されていることを確認できます。
Kiroで繰り返される「フォルダを開くと危ない」穴
実は、Kiroで「悪意ある場所を開くと危ない」タイプの欠陥が見つかったのは今回が初めてではありません。これまでにも、細工したワークスペースを開くとコマンドが通るCVE-2026-0830や、細工したプロジェクトフォルダを開くと任意コードが実行されるCVE-2026-4295などが公表され、その都度修正されてきました。エージェント型のツールは「AIに広い権限を与える」設計のため、権限の線引きを少しでも誤ると、こうした穴が繰り返し生まれやすいのです。
同じ悩みは他のツールにも共通します。当サイトでも、悪意あるリポジトリを開くだけで開発者のマシンを奪えるエディタ「Zed」の4連続のRCEを取り上げました。AIや自動化が「開いただけで何かが動く」便利さを広げるほど、知らないコードやリポジトリを安易に開かないという基本の重みが増しています。AIが攻撃にも防御にも使われる時代の、典型的な落とし穴でございます。
悪用は確認されているのか
現時点で分かっていることと、まだ確認できていないことを分けて整理します。
✓ 確認済みの事実
? 現時点で未確認のこと
- ?実際に悪用された事例 ― 本記事時点でCISAの悪用が確認された脆弱性リスト(KEV)に未登録、公開された攻撃コードも確認できていない
- ?悪用に必要な細工の具体的な手口 ― 一次情報は仕組みの説明にとどまり、詳細なPoCは公開されていない
自分が影響を受けるかの早見表
Kiroを使っているかどうか、また使い方でリスクが変わります。下の表で自分の状況を当てはめてください。
| 状況 | リスク | 優先度 | いま取るべき行動 |
|---|---|---|---|
| 0.11より前のKiroで 外部のコードを扱う | マシン乗っ取りの 恐れ | 最優先 (即時) | 0.11以降へ更新 |
| 0.11より前だが 自分のコードのみ | 前提が そろいにくい | 高 | 早めに0.11以降へ 更新 |
| すでに0.11以降 を利用 | 本件の 影響なし | 通常 | 自動更新の 有効を確認 |
とくに危ないのは、他人のリポジトリや外部から受け取ったコードを、古いKiroで開いたりAIに読ませたりする使い方です。組織でKiroを配布している場合は、全端末が0.11以降になっているかをまとめて確認してください。
開発者と組織がいま確認すべきこと
最優先は、Kiroを0.11以降へ更新することです。回避策は用意されていないため、更新が唯一の根本対策になります。組織で展開している場合は、各開発者の端末のバージョンを点検し、自動更新が有効になっているかも合わせて確認してください。
あわせて、エージェント型ツール全般に効く守りとして、信用できないリポジトリやコードを安易に開かない・AIに読ませないという基本を徹底しましょう。心当たりのないプロジェクトを開いてしまった環境では、.vscode/tasks.json に見覚えのない記述がないかを確認し、必要なら関係する認証情報(SSH鍵やクラウドのキー)の作り替えも検討してください。開発まわりの脆弱性を継続的に追いたい場合は、開発ツールを狙うサプライチェーン攻撃や、国内の2026年上半期の重大な脆弱性まとめもあわせて確認してください。
よくある質問
Q. Kiroを入れているだけで、ネット越しに勝手に乗っ取られますか?
A. いいえ。悪用には、攻撃者が仕込んだ指示をAIに処理させ、その後にフォルダを開くという利用者側の操作が必要です。ただし、他人のリポジトリや外部情報をAIに読ませるのは日常的な作業なので、知らないコードを古いバージョンで扱うのは危険です。
Q. どのバージョンに更新すればよいですか?
A. Kiro IDEの0.11以降が修正版です。回避策は提供されていないため、最新版への更新が必須です。自動更新が有効なら最新になっているはずですが、念のためバージョンを確認してください。
Q. tasks.jsonとは何ですか?なぜ危ないのですか?
A. VS Code系のエディタで、作業を自動化するための設定ファイルです。「フォルダを開いたときに自動で動かす」設定が書けるため、ここに攻撃者のコマンドが書き込まれると、フォルダを開いた瞬間にそれが実行されてしまいます。
Q. KiroはVS CodeやCursorと何が違うのですか?
A. KiroはAmazonが提供するAI搭載の開発ツールで、土台はVS Codeと同じオープンソースです。AIが自分でファイル操作やコマンド実行まで行う「エージェント型」を前面に出している点が特徴で、その広い権限が今回の欠陥の背景にあります。
まとめ
AmazonのAI開発ツールKiroで見つかったCVE-2026-10591は、AIに与えられたファイル書き込み機能が、自動実行用の設定ファイル .vscode/tasks.json にまで書き込めてしまう欠陥です。攻撃者の指示をAIが代筆し、開発者がフォルダを開いた瞬間にコマンドが本人の権限で走ります。CVSSは8.8で、攻撃には「AIに細工した情報を処理させる」「フォルダを開く」という前提が要りますが、いずれも日常の作業で容易に満たされます。対策はシンプルで、Kiroを0.11以降へ更新することに尽きます。あわせて、信用できないコードを安易にAIへ読ませない、開かないという基本も徹底してください。エージェント型ツールはAIに広い権限を渡すぶん、こうした穴が繰り返し生まれやすいことを覚えておきたいところでございます。