AI構築ツール『Flowise』に乗っ取りの穴、CVE-2024-58351は2.1.4へ更新を
世界で5万を超える開発者が使うノーコードのAIアプリ作成ツール『Flowise』に、認証なしでサーバーを乗っ取られる重大な欠陥が見つかりました。バージョン2.1.4より前が対象で、設定の差し替え機能が悪用されると遠隔から任意のコードを実行されます。同種の穴は実際の攻撃も確認されており、2.1.4以降への更新が必要です。
堀川 慎
Backend Engineer / AWS / Django / Go
世界で5万を超える開発者が使うノーコードのAIアプリ作成ツール『Flowise』に、認証なしでサーバーを乗っ取られる重大な欠陥が見つかりました。バージョン2.1.4より前が対象で、設定の差し替え機能が悪用されると遠隔から任意のコードを実行されます。同種の穴は実際の攻撃も確認されており、2.1.4以降への更新が必要です。
コードを書かずにAIチャットボットやAIエージェントを組み立てられる人気ツール「Flowise」に、認証なしでサーバーを乗っ取られる重大な欠陥が見つかりました。CVE-2024-58351、深刻度はCVSS 9.8(最高10.0)です。日本時間6月21日未明(米国時間6月20日)に米国の脆弱性データベースNVDが正式登録しました。対象はFlowise 2.1.4より前のすべてのバージョンで、修正済みの2.1.4以降への更新が必要です。
問題は、Flowiseが備える「overrideConfig(設定の上書き)」という機能にあります。これは、外部から呼び出すときに、その場で動作設定を差し替えられる便利な仕組みです。ところがこの差し替えが初期状態で誰でも使える状態(オプトアウトなし・許可リストなし)になっており、攻撃者が悪意ある設定を流し込むと、Flowiseが内部で使う簡易的な実行環境(サンドボックス)を突き破り、サーバー上で任意のプログラムを動かせてしまいます。ログインも、利用者のクリックも要りません。
この欠陥自体は2024年11月に開発元が警告し、2.1.4で手当てされた古いものです。今回あらためてニュースになったのは、NVDが正式なCVE番号と最高クラスのスコアを付け直したためです。そしてFlowiseは、このoverrideConfigを起点に、その後も乗っ取りの穴がくり返し見つかり、2026年には実際に攻撃されている製品です。古い欠陥の話で終わらせず、いまの自分のFlowiseが安全かを確かめるきっかけにすべき一件です。
Flowiseとは何をするツールか
Flowiseは、画面上でブロックを線でつなぐだけで、AIチャットボットやAIエージェント、社内文書をAIに答えさせる仕組み(RAG)を作れるオープンソースのツールです。プログラミングの専門知識がなくてもAIアプリを組めるため、「ノーコード/ローコードでAIを作る道具」として広く使われています。GitHubのスター数は5万3千を超え、この分野では最も人気のあるツールのひとつです。
使い方は大きく2通りあります。ひとつは公式のクラウドを借りる方法、もうひとつが自分のサーバーに置いて動かす「セルフホスト」です。今回の欠陥が効いてくるのは後者です。Flowiseはnpm install -g flowiseのような数行のコマンドで、AWSやAzure、GCP、あるいは社内のLinuxマシンに簡単に立てられます。手軽さゆえに、検証用に立てたまま放置されたインスタンスや、初期設定のままインターネットに露出したインスタンスが世界中に大量に存在しています。
そしてFlowiseは、その性質上機微な接続情報の集積地になりがちです。AIを動かすためのAPIキー(OpenAIやAnthropic等の料金に直結する鍵)、社内データベースへの接続情報、RAGに読み込ませた社内文書やマニュアル、顧客とのチャット履歴。これらが1台のFlowiseに集まっています。乗っ取りが起きたとき何が流れ出るのかは、ここを押さえてから読むとわかりやすくなります。
設定の差し替え1回で、AIの裏側を握る者は何を持っていくのか
CVSS 9.8という数字を見ても自分の損失には結びつきにくいので、先に「誰が、何を目当てに、Flowiseの設定差し替えに手を伸ばすのか」を具体的に描いておきます。Flowiseが置かれているのは、AIの蛇口とデータの貯水池がひとつにまとまった場所です。そこを開けられると何が出るかが、この欠陥の本当の怖さです。
真っ先に群がるのは、他人のAI予算で稼ぐ連中です。流出したAPIキーを使って大量のリクエストを回し、生成したアクセス権を闇市場で転売したり、自分のサービスの裏側でただ働きさせたりします。請求書が跳ね上がってはじめて気づいた、という被害がこの手口の定番です。次に来るのが、Flowiseの先につながった社内データベースや、RAGに食わせた契約書・人事資料・顧客対応マニュアルを丸ごと吸い出す情報窃取グループ。さらに、常時起動しているクラウドサーバーそのものを暗号通貨の採掘や踏み台に使い回したいボットネット運用者も加わります。彼らが欲しがるのは抽象的な「データ」ではなく、OpenAIのキー、社内DBのパスワード、顧客のチャットログ、サーバーの計算資源という具体的な現物です。overrideConfigに悪意ある設定を1回流し込めた瞬間、これらがそのまま相手の手元に渡り、サーバーごと乗っ取られてしまいます。
サイバー攻撃の言葉で言うと、AIアプリ基盤は「事前偵察(リコネサンス)」と「横展開」の両方にとって理想的な踏み台です。Flowiseは社内ネットワークの中に置かれることが多く、そこを足がかりに他のサーバーへ侵入を広げられます。しかもこの欠陥は認証を必要としないため、攻撃の入口に立つのに正規アカウントの窃取すら要りません。実際、Flowiseで後に見つかった同種の乗っ取りの穴(後述)では、インターネットに露出していた1万2千〜1万5千台規模が標的になったと報じられています。1台のセルフホスト機が落ちることは、その先につながる全システムへの扉が開くことと同じ意味を持ちます。
CVSS 9.8はあくまで技術的な深刻度の目盛りにすぎません。Flowiseを業務に組み込んだ会社や個人開発者にとって本当に痛いのは、サーバーが一時的に落ちることではなく、AIの利用料を他人に使い尽くされ、社内文書と顧客のやり取りが見知らぬ第三者の保有データに変わり、自社サーバーが攻撃の道具に組み替えられることです。便利さの代償が、AIの蛇口とデータの貯水池をまとめて明け渡すことだった、という結末になりかねません。
CVE-2024-58351:overrideConfigが乗っ取り経路になる仕組み
CVE-2024-58351: 設定上書き機能からの認証なしコード実行(CVSS 9.8)
CVE-2024-58351は、FlowiseのoverrideConfigという機能の設計に根ざしています。NVDの分類はCWE-94(コード生成の不適切な制御)。CVSSはバージョン3.1で9.8、新しいバージョン4.0でも9.3と、いずれも最高クラスです。
overrideConfigは、本来は開発者向けの便利機能です。Flowiseで作ったAIフロー(処理の流れ)を外部から呼び出すとき、「今回はこの設定で動かして」とリクエストの中に設定を差し込めます。問題は、この差し込みが初期状態でほぼ無制限に許可されていることでした。開発元のアドバイザリ(GHSA-5cph-wvm9-45gj)でも、「overrideConfigには明示的な許可リスト(allow list)を設けるべきだ」と、許可リストが存在しないことが根本問題だと指摘されています。報告者はryanhalliday氏です。
差し替えられるのは、AIに渡すプロンプト(指示文)の中身だけではありません。Flowiseの一部のブロックは、設定として渡されたコードをサンドボックスと呼ばれる隔離された環境で実行します。サンドボックスは「ここから外には出られない安全な箱」のはずですが、Flowiseが使っていたvm2というライブラリには、箱を突き破って外側のサーバー本体に手を出せる既知の弱点がありました。攻撃者はoverrideConfigでこの箱に細工したコードを送り込み、箱を破って(サンドボックスエスケープ)、サーバー上で任意のプログラムを実行します。
このひとつの設計問題から、開発元は次の7つの被害が起こりうると整理しています。リモートからの任意コード実行(RCE)、サンドボックスからの脱出、サーバーを落とすDoS、内部ネットワークを踏み台にするSSRF(サーバーに別のサーバーへアクセスさせる攻撃)、プロンプトインジェクション(AIへの不正な指示の注入)、データの流出、そして会話フローの改ざんです。便利機能ひとつが、これだけの攻撃面を同時に開いていたことになります。
なぜ「vm2」では止められなかったのか
今回の穴の中心にあるのがvm2というライブラリです。これはJavaScriptのコードを隔離して実行するための仕組みで、多くのツールが「外部から来たコードを安全に動かす箱」として採用してきました。ところがvm2は、箱を突き破る脆弱性が次々と見つかった末に、作者自身が「この脆弱性を直すのは不可能に思える」と表明し、開発を終了しています。
つまりFlowiseは、構造的に穴を塞ぎきれない箱を、外部入力の実行に使っていたことになります。開発元のアドバイザリは、代替としてisolated-vmのような、より堅牢な隔離方式への移行を推奨しています。AIツールが「ユーザーの書いたコードや式をその場で動かす」機能を持つほど、この“箱選び”がそのまま製品全体の安全性を決めるという、典型的な事例です。同じ構図は、本サイトで取り上げたLangflowのtarリンク悪用RCEやLiteLLMのコマンド注入でも繰り返し現れています。
自分のFlowiseは対象か(バージョン別早見表)
Flowiseは脆弱性の修正が活発な反面、重大な乗っ取りの穴が時期をまたいで複数見つかっています。いま動かしているバージョンがどの穴に該当するかを、下の表で確認してください。
| 使用中のバージョン | 該当する主な脆弱性 | 攻撃の確認 | 対処 |
|---|---|---|---|
| 2.1.4より前 | CVE-2024-58351 (overrideConfig) | 設計欠陥 (PoC公開) | 2.1.4以降へ更新 |
| 2.2.7〜3.0.5 | CVE-2025-59528 (CustomMCP, CVSS 10.0) | 実際の攻撃を確認 | 3.0.6以降へ更新 |
| 3.0.6〜3.1.x | CVE-2026-41264 ほか (各種エージェント注入) | 個別修正が継続中 | 最新版+設定見直し |
この表が示すのは、「最新版にしたから安心」ではなく、「Flowiseは外部公開しない・認証を必ずかける」という運用そのものを見直す必要がある、ということです。バージョンに関わらず、後述の対策をあわせて実施してください。
古い欠陥で終わらない理由:Flowise乗っ取りの連鎖
CVE-2024-58351は2024年に手当てされた欠陥です。それでも今あらためて知る価値があるのは、overrideConfigが開けた「外部入力をそのまま実行してしまう」という穴の系譜が、その後のFlowiseでくり返し再発しているからです。
2025年9月に公開されたCVE-2025-59528は、CVSSが満点の10.0という極めて深刻なものでした。外部のMCPサーバーに接続するための「CustomMCP」ブロックに送った設定が、チェックなしでJavaScriptとして実行されてしまい、認証なしで任意のコードが動く穴です。修正は3.0.6で行われました。
✓ 確認済みの事実
- ✓セキュリティ企業VulnCheckが、2026年4月にCVE-2025-59528の実際の悪用を初めて検知したと報告(BleepingComputer)
- ✓修正版の公開から半年以上が経っても、インターネットに露出したFlowiseが1万2千〜1万5千台規模で残っていたと報じられた(The Hacker News)
- ✓VulnCheckは認証欠落(CVE-2025-8943)やファイルアップロード(CVE-2025-26319)など他の重大な穴も悪用対象として警告(Security Affairs)
CVE-2024-58351そのものが大規模に攻撃されたという公的な報告は、現時点では確認されていません。しかし「設定や外部入力をそのまま実行する」という根の部分は同じで、攻撃者がこの製品の弱点として継続的に狙っている事実は、上の続報が示しています。古い番号だからと読み飛ばすのではなく、自分のFlowiseの設置状況を点検する号砲として受け取るのが正しい読み方です。
発覚から正式登録までの流れ
← スワイプで移動
いますぐやるべきこと
1. Flowiseを最新版に更新する。 まずはoverrideConfigの欠陥が直った2.1.4以降に、可能なら最新の3.1系まで上げます。npmでグローバルに入れている場合はnpm update -g flowise、Dockerの場合は最新イメージを取得してコンテナを作り直します。CVE-2025-59528(CustomMCP)の対象に当たるなら3.0.6以降が必須です。
2. インターネットへの直接公開をやめる。 Flowiseはそもそも外部に直接さらすべきツールではありません。クラウド上に立てている場合は、ファイアウォールやセキュリティグループで管理画面・APIへのアクセス元を絞り、外出先から使いたい場合はVPNやSSHトンネル、認証付きのリバースプロキシ経由に切り替えます。「とりあえず公開URLで動かしている」状態が最も危険です。
3. 認証を必ず有効にする。 Flowiseはユーザー名・パスワードによる保護を設定できます。歴史的に認証は後から追加された機能で、初期状態のまま無防備に動いているインスタンスが多いのが、世界で1万台超が露出していた原因です。環境変数でFLOWISE_USERNAMEとFLOWISE_PASSWORDを設定し、APIキーによる保護もあわせて有効にします。
4. つないでいる鍵とパスワードを入れ替える。 もし対象バージョンを外部公開していた可能性があるなら、Flowiseに登録したAPIキー(OpenAIやAnthropic等)、データベース接続情報、各種トークンはすべて漏れた前提で再発行します。AIの利用料明細に身に覚えのない急増がないかも確認します。
5. 侵害の痕跡を点検する。 Flowiseを動かしているサーバーで、ps auxに見慣れないプロセス(暗号通貨の採掘ソフトなど)、/tmpや/var/tmpに身に覚えのない実行ファイル、不審なcron登録や外向き通信がないかを確認します。心当たりがあれば、クリーンな環境への作り直しが最も確実です。
攻撃中CVEの一覧と関連記事
2026年6月時点で、CVE-2024-58351は米政府CISAが公開する「実際に攻撃されている脆弱性リスト(KEV)」には登録されていません。一方で、同じFlowiseのCVE-2025-59528は実際の悪用が確認されており、KEVへの収載が注視されています。攻撃が確認されたCVEの最新状況は、本サイトのCISA KEVダッシュボード(日本語版)で随時更新しています。
Flowiseのようにnpmで配布されるOSSの脆弱性は、依存関係をたどって思わぬところに影響が広がります。利用中のパッケージに既知の穴がないかは、OSSサプライチェーン・スキャナーから確認できます。AIツールの乗っ取り事案は、本サイトでもLangflowが公開20時間で攻撃された件やAmazonのAI開発ツールKiroの脆弱性、AutoGPTの脆弱性など、同じ「AIに何でもさせられる便利さ」が裏返った形でくり返し起きています。
まとめ
CVE-2024-58351は、FlowiseのoverrideConfigという便利機能が、初期状態で誰でも使え、しかも壊れた箱(vm2)で外部入力を実行していたために生まれた、認証なしの乗っ取りの穴です。欠陥自体は2024年に2.1.4で直っていますが、NVDが今回CVSS 9.8の最高クラスとして正式登録したことで、あらためて注意喚起の対象になりました。
そして同じ根を持つ穴は、その後もCVSS 10.0のCVE-2025-59528として再発し、2026年には実際に攻撃されています。「コードを書かずにAIを作れる」手軽さは、裏を返せば「外部の入力をそのまま動かしてしまう」設計と紙一重です。自分のFlowiseが今どのバージョンで、どこからアクセスでき、どんな鍵をつないでいるか。便利に使っている人ほど、この機会に一度棚卸ししておくことをおすすめします。
参照元
- ▸ NVD - CVE-2024-58351
- ▸ FlowiseAI Advisory - GHSA-5cph-wvm9-45gj(overrideConfig)
- ▸ VulnCheck - Flowise RCE via overrideConfig parameter
- ▸ FlowiseAI Advisory - GHSA-3gcm-f6qx-ff7p(CVE-2025-59528)
- ▸ The Hacker News - Flowise under active exploitation
- ▸ BleepingComputer - Max severity Flowise RCE exploited
- ▸ Flowise 公式リポジトリ(GitHub)
- ▸ CISA - Known Exploited Vulnerabilities Catalog