AIエージェント『AutoGPT』に脆弱性 CVE-2026-55237、0.6.62へ更新を

自分で動くAIを作って動かせる人気ツール「AutoGPT」に、細工したリンクをクリックさせるだけで利用者のアカウントを乗っ取られかねない脆弱性が見つかりました。2026年6月18日に公開された「CVE-2026-55237」で、危険度は10点満点中8.8（高）と評価されています。

影響を受けるのは、自分のサーバーにAutoGPTを設置して使っている場合の0.6.62より前のバージョンです。開発元のセキュリティ情報で公開され、最新版0.6.62で修正されています。

AutoGPTとは何か、なぜ多くの人が使っているのか

AutoGPTは、指示を与えると自分で考えて作業を進める「自律型AI（AIエージェント）」を作って動かすためのツールです。2023年に登場して世界中で話題になり、プログラムを公開するGitHubでも最も多くの支持（スター）を集めたプロジェクトのひとつです。今では、AIエージェントを作成・配置・運用できる「プラットフォーム」として開発が続いています。

このプラットフォームは、自分のサーバーに設置して使う形（セルフホスト）が用意されています。設置すると、ログインや新規登録（サインアップ）ができるWeb画面が立ち上がります。今回の脆弱性は、その新規登録ページ（サインアップ画面）にありました。AIエージェント本体の賢さとは関係なく、入口となるWeb画面の作りに穴があった形です。

この種の「AIエージェントを動かすツールそのものに脆弱性が見つかる」事例は、ここ最近相次いでいます。当サイトでも、AIツールLangflowが公開20時間で攻撃された事例や、AIをまとめるLiteLLMの乗っ取りの穴を取り上げてきました。便利なAIツールが増えるほど、その「入口」が狙われやすくなっています。

このリンクを送りつけてくるのは誰で、何を奪うのか

今回のCVE-2026-55237は、「リンクを一度クリックしただけ」で被害が始まる種類の脆弱性です。怪しいファイルを開いたわけでも、パスワードを教えたわけでもないのに、画面の裏で攻撃者の用意したプログラムが動き出します。だからこそ、誰がどんな顔をしてそのリンクを差し出してくるのかを、先に思い描いておく価値があります。

送りつけてくるのは、たとえば「AutoGPTの便利な設定を共有します」とチャットに親切そうなURLを貼る人間、社内SlackやメールでITサポートを装って「アカウント確認のためここを開いて」と促してくる人間、あるいはAIエージェントの自動化フローを一緒に作っている取引先のふりをした人間です。彼らが狙うのは、その画面の裏に保存されたログイン状態を保つ認証トークン、AIに接続したOpenAIなどのAPIキー、エージェントに組み込んだ社内システムへの接続情報、本人として操作できる管理画面そのものです。細工されたリンクを開いた瞬間、ブラウザの中にいる「あなた」の権限が、そのまま相手の操作に乗っ取られます。

技術的に言えば、攻撃者は事前の偵察で標的がAutoGPTを使っていると見当をつけ、サインアップ画面に細工したリンクを用意します。被害者がすでにログインしていれば、リンクを開いた瞬間に攻撃が成立します。まだログインしていなくても、登録を済ませた直後に同じ罠が発動します。一度ブラウザの中で動き出せば、攻撃者はログイン中の利用者として各種の操作を行えるだけでなく、そのブラウザを足がかりに、本来は外から触れない社内の別システムへと侵入の手を伸ばせます。

「危険度8.8」という数字は、技術的な深刻さを示す目盛りにすぎません。AutoGPTを業務に組み込んでいる人にとって本当に失われるのは、AIに握らせていた各サービスの鍵束と、そのAIエージェントが触れていた社内の情報すべてです。たった1回のクリックでそこまで届いてしまうのが、この脆弱性の怖さです。

CVE-2026-55237で実際に何が起きるのか

脆弱性の正体は「DOM型クロスサイトスクリプティング（XSS）」と「オープンリダイレクト」です。XSSは、Webページに攻撃者のプログラム（スクリプト）を紛れ込ませて、利用者のブラウザ上で勝手に実行させる攻撃です。オープンリダイレクトは、本来とは違う任意の場所へ利用者を飛ばせてしまう欠陥を指します。

原因は、サインアップ画面が受け取る「next」というURLの付加情報（パラメータ）を、中身を確かめずにそのまま画面遷移の処理（router.push）へ渡していたことです。本来は「ログイン後に移動する先」を指定するための値ですが、ここに javascript: で始まるプログラムを仕込めるかどうかの確認が抜けていました。開発元のアドバイザリには、攻撃の例として /signup?next=javascript:... のような細工URLが挙げられています。

この欠陥が突かれると、攻撃者のプログラムが利用者のブラウザの権限で動き、ログイン中の利用者として各種のAPI（プログラム同士の連携窓口）を呼び出せてしまいます。結果として、認証情報の盗み取り、本人になりすました操作、さらにはそのブラウザを踏み台にした社内ネットワークへの侵入につながりうる、と説明されています。危険度の評価（CVSS 8.8）でも、被害が最初のアプリの範囲を超えて広がりうる点（スコープ変更）が考慮されています。

ひとつ条件があります。攻撃が成立するには、利用者が細工されたリンクを実際にクリックする必要があります（評価指標では「利用者の操作が必要＝UI:R」とされています）。何もしていないのに勝手に乗っ取られるものではありません。報告したのはセキュリティ研究者のTrebledJ氏で、現時点で実際の攻撃は確認されていませんが、リンク1本で成立する手軽さから、早めの対処が望まれます。

自分は影響を受けるのか

影響の有無は「AutoGPTをどう使っているか」で変わります。下の表で確認してください。

どう対処すればいいのか

対処はシンプルで、AutoGPTを0.6.62以降へ更新することです。修正版では、サインアップ画面が受け取る値の検証が追加され、javascript: で始まるような危険な値が弾かれるようになっています。更新の手順は公式リポジトリとセキュリティアドバイザリGHSA-j2cp-jg5q-38wjで確認できます。

すぐに更新できない場合の応急策として、AutoGPTのログイン・登録ページに関するリンクを不用意にクリックしない、社内に公開しているなら一時的にアクセス元を制限する、といった対応が考えられます。ただし根本対応はあくまで更新です。自社でどのAIツールのどのバージョンを使っているか把握しきれていない場合は、OSS脆弱性スキャナーのように、使っている部品の一覧から危険なバージョンを洗い出す仕組みを使うと見落としを防げます。

なぜAIツールに脆弱性が相次ぐのか

AIエージェントを動かすツールは、ここ1〜2年で爆発的に増えました。多くは少人数のチームやコミュニティが急ピッチで開発しており、AIの中身そのものよりも、ログイン画面やAPIといった「普通のWebアプリとして当たり前の守り」が後回しになりがちです。今回のAutoGPTのように、入口のサインアップ画面に古典的なXSSが残っていたのは、その典型例といえます。

一方で、攻撃する側もAIを使って弱点探しを加速させています。当サイトでも、AIが攻撃を加速し、同時にAIが穴を増やしている構造を取り上げました。便利なAIツールを業務に取り込むときは、AIの性能だけでなく「入口のWeb画面がきちんと守られているか」「更新がこまめに出ているか」まで含めて選ぶことが、これまで以上に大切になっています。

よくある質問

Q. AutoGPTを使っていなくても危険ですか？

A. いいえ。今回の脆弱性はAutoGPTを自分のサーバーに設置して使っている場合の問題です。使っていなければ対応は不要です。

Q. ログインしていなければ安全ですか？

A. 油断はできません。未ログインの状態で罠リンクを開いた場合でも、新規登録を済ませた直後に攻撃が発動するとされています。出所のわからないAutoGPT関連のリンクは開かないのが安全です。

Q. 更新すれば本当に直りますか？

A. はい。0.6.62で、危険な値を弾く検証が追加され、この経路は塞がれています。最新版への更新が確実な対処です。

まとめ

CVE-2026-55237は、有名なAIエージェント作成ツールAutoGPTのサインアップ画面に見つかった、細工リンクのクリックでアカウント乗っ取りにつながりうる脆弱性です。危険度は8.8と高く、影響は0.6.62より前のバージョンに及びます。自分のサーバーに設置して使っている場合は、最新版0.6.62への更新で対処できます。

AIエージェントを動かすツールが急増する一方で、その「入口」となるWeb画面の守りが追いついていない事例が続いています。AIの賢さに目が向きがちですが、ログイン画面のような基本部分こそ攻撃者の狙い目です。便利なツールを取り入れるときほど、更新を欠かさない習慣が安全につながります。

参照元

• ▸ NVD - CVE-2026-55237 Detail
• ▸ AutoGPT Security Advisory - GHSA-j2cp-jg5q-38wj
• ▸ CVE.org - CVE-2026-55237 Record
• ▸ AutoGPT - GitHub リポジトリ