トップ/記事一覧/人気AIエージェントUI『Hermes WebUI』にサーバー乗っ取りの脆弱性 CVE-2026-58123、パスワードなしで制圧・API鍵窃取の2件、最新版へ即更新を
hermes-webui-cve-cover-ja

人気AIエージェントUI『Hermes WebUI』にサーバー乗っ取りの脆弱性 CVE-2026-58123、パスワードなしで制圧・API鍵窃取の2件、最新版へ即更新を

自分専用のAIエージェントをブラウザから動かせる人気ツール『Hermes WebUI』(GitHubで1.5万スター)に、パスワードなしでサーバーを乗っ取られる脆弱性CVE-2026-58123(危険度9.8)が見つかりました。もう1件CVE-2026-58122では、LLMの利用料金がかかるAPIキーやSNS連携の認証情報まで抜かれます。いずれも修正版が出ており、最新版へ更新すれば防げます。対象と対策を解説します。

ニュース2026年7月10日公開 本日更新
目次
この記事のポイント

自分専用のAIエージェントをブラウザから動かせる人気ツール『Hermes WebUI』(GitHubで1.5万スター)に、パスワードなしでサーバーを乗っ取られる脆弱性CVE-2026-58123(危険度9.8)が見つかりました。もう1件CVE-2026-58122では、LLMの利用料金がかかるAPIキーやSNS連携の認証情報まで抜かれます。いずれも修正版が出ており、最新版へ更新すれば防げます。対象と対策を解説します。

自分専用のAIエージェントを自分のサーバーで動かし、ブラウザやスマホから操作できる人気ツール「Hermes WebUI」に、パスワードを一切入力しなくても、そのサーバーを乗っ取られてしまう深刻な欠陥が見つかりました。識別番号はCVE-2026-58123で、危険度は10点満点中9.8と最上位クラスです。Hermes WebUIはGitHubで1.5万を超えるスターを集め、急速に広がっている自己ホスト型のAIエージェント基盤です。

同時に、もう1件の欠陥(CVE-2026-58122/危険度9.1)も公表されています。これは「自分自身からのアクセス」になりすまして内部限定の機能をこじ開け、利用料金のかかるLLMのAPIキーや、SNS連携の認証情報まで根こそぎ抜き取るものです。どちらも認証なしで悪用でき、Hermes WebUIをネットに公開しているほど危険です。幸い両方とも修正版がすでに出ており、最新版へ更新すれば防げます。自分でHermes WebUIを立てている場合は、後回しにせず今すぐバージョンを確認してください。

Hermes WebUIとは何か

Hermes WebUIは、AI企業Nous Researchが公開している自律型AIエージェント「Hermes Agent」を、ブラウザやスマホから使うためのWeb画面です。AIエージェントとは、指示を出すと自分で手順を考え、道具(ツール)を使いながらタスクを進めるAIのことです。Hermesはとくに、会話の記憶を長く保ち、自分で覚えた手順を貯め、あなたが寝ている間も予定した仕事を24時間こなすことを売りにしています。コードを書かずに専用のAIアシスタントを持てるとして、開発者を中心に人気を集めています。

ここで重要なのは、Hermes WebUIが非常に多くの「鍵」や「窓口」を握っている点です。動かすにはOpenAIやAnthropic、Google、DeepSeekといったLLMのAPIキー(使うたびに料金が発生する利用証)を登録します。さらにTelegram・Slack・Signal・メールなど複数の連絡手段と連携でき、それらのログイン情報(OAuthトークンと呼ばれる認証情報)も内部のファイルに保存されます。加えて、サーバー上でコマンドを実行できる「端末(ターミナル)」機能まで備えています。つまりHermes WebUIを乗っ取られることは、AIの利用料金の付け替え、連携先SNSの乗っ取り、サーバーそのものの支配が一度に起きうることを意味します。

Webページを開いたり管理画面を晒したりするだけでAIエージェントを乗っ取られる問題は、この分野で相次いでいます。開発支援AI『Cline』が悪意あるサイトを開くだけで乗っ取られる脆弱性や、Langflowでページを開くだけでAIエージェントを乗っ取られる欠陥と、根っこは同じ構図です。

何が危険なのか、どこまで奪われるのか

今回の2件は、それぞれ「乗っ取り」と「鍵の窃取」という別方向の被害をもたらします。とくに9.8のCVE-2026-58123は、Hermes WebUIに備わった端末機能の入口がパスワード確認なしで外から叩ける状態になっていたものです。攻撃者はログインを一切せずに、サーバー上で好きなコマンドを実行できます。これは遠隔からのコード実行(RCE)と呼ばれ、脆弱性の中で最も重い部類に入ります。サーバー上のデータを盗む・書き換える・消す、別のシステムへの踏み台にするといった行為が、理屈のうえでは何でもできてしまいます。

もう1件の9.1のCVE-2026-58122は、本来「同じサーバー内からしか触れない」はずの初期設定用の窓口を、アクセス元を偽装してこじ開けるものです。ここを突かれると、登録済みのLLMのAPIキーや、Telegram・Slackなどと連携するためのOAuthトークンが盗まれます。APIキーを盗まれれば、攻撃者があなたの支払いでLLMを使い倒す「ただ乗り」が起き、身に覚えのない高額請求につながります。SNSの認証情報まで渡れば、連携先アカウントの乗っ取りにも波及します。

両方に共通するのは、認証(パスワードやログイン)がまったく要らず、利用者の操作も不要という点です。Hermes WebUIをインターネットからアクセスできる場所に置いていれば、ネット上を自動でうろつくプログラムに見つけられた時点で、無差別に狙われ得ます。攻撃の難度が低く、握っている資産が大きいという組み合わせが、この2件を特に危険にしています。

誰がこの穴を狙い、何が起きるのか

この脆弱性を狙うと想定されるのは、ネット全体を自動で走査してAIツールの管理画面を探し出す攻撃者や、盗んだAPIキーで他人の支払いのままLLMを使い倒す「LLMジャッキング」の集団です。AIエージェントは高価なLLMの利用証やクラウドの鍵を握っているため、彼らにとっては効率よく現金化できる、うまみの大きな標的になります。

攻撃の流れは拍子抜けするほど単純です。攻撃者はパスワードを一切入力せずに、公開されているHermes WebUIの端末機能へ直接命令を送り込み、サーバー上で好きなプログラムを動かします。もう一方の手口では、通信の中に「自分は同じサーバー内からアクセスしている」という偽の目印を紛れ込ませ、内部限定の設定画面をこじ開けて鍵束を持ち去ります。どちらも被害者側の落ち度やクリックは必要ありません。

結果として、Hermes WebUIを自分で立てて使っている個人や小規模チームは、AIの利用料金を勝手に食い潰される、連携したSNSアカウントを乗っ取られる、サーバー上の個人データやソースコードを盗まれる、といった被害を同時に受けかねません。24時間動く自分専用のAIに便利さを感じて任せていたものが、そっくりそのまま攻撃者の道具に変わるということです。AIエージェントに強い権限と鍵を預けるほど被害が大きくなる構図は、AIエージェント搭載ターミナルWarpの脆弱性でも指摘されてきました。

技術的に見ると何が起きているのか

2件は突く場所が異なります。それぞれ別の識別番号が割り当てられています。

CVE-2026-58123:パスワード確認なしの「端末窓口」から直接命令

Hermes WebUIには、サーバー上でコマンドを実行できる端末(ターミナル)機能が組み込まれており、そのやり取りは内部的なAPIという窓口を通じて行われます。本来この窓口は、ログイン済みの正規利用者だけが使えるように守られているべきでした。ところがこの端末用APIには認証(本人確認)の仕組みが欠けており、外部の誰でも叩ける状態になっていました。米国立標準技術研究所(NIST)はこれを、重要な機能に認証が欠けている分類(CWE-306)として整理しています。

攻撃は4回のリクエストを順に送るだけで成立します。まず端末のセッションを作り、疑似的な操作画面(PTYシェル)を割り当て、最後に端末への入力を受け取る窓口へコマンドを流し込みます。これでサーバーを動かしている利用者の権限で、任意のコマンドが実行されてしまいます。特別な道具も、盗んだ認証情報も要りません。危険度9.8は、この「何の前提もなくサーバーを奪える」点を反映したものです。開発元は端末APIに認証を課す形で修正し、バージョン0.51.788で解消しました。

CVE-2026-58122:「自分自身からのアクセス」を偽装して内部限定機能をこじ開ける

Hermes WebUIの初期設定(オンボーディング)用の窓口は、安全のため「同じサーバー内(ループバック、いわゆる127.0.0.1)からのアクセスだけ受け付ける」という制限がかけられていました。ところがその判定が、通信に付いてくる「X-Forwarded-For」という送信元を示すヘッダーの値を鵜呑みにしていたため、攻撃者がこのヘッダーに127.0.0.1と書き込んで送るだけで、「自分自身からのアクセス」になりすませてしまいました。NISTはこれを、信頼できない情報を根拠に判断してしまう分類(CWE-348)として整理しています。

この偽装で内部限定の窓口をこじ開けると、攻撃者はサーバーに別のサーバーへ通信させる悪用(SSRF)を行えるほか、登録済みのLLMプロバイダ設定とAPIキーを乗っ取り、認証情報を保存したファイル(auth.json)からOAuthトークンを盗み出せます。つまり、Hermes WebUIが握っていた「鍵束」がまとめて外に流出します。開発元はヘッダーを鵜呑みにしない形へ修正し、バージョン0.51.307で解消しました。両方を確実に塞ぐには、より新しい0.51.788以降へ更新するのが確実です。

Hermes WebUIは無認証の穴を繰り返してきた

今回の2件は、単発の事故ではありません。Hermes WebUIはここ数か月、認証なしで重要な機能を叩けてしまう欠陥を立て続けに指摘されてきました。たとえば6月には、初期設定の隙を突いてパスワードを勝手に設定し、正規の持ち主を自分のサーバーから締め出せる欠陥(CVE-2026-49973、危険度9.4)が公表され、0.51.358で修正されています。

あまりの多さに、米クラウドセキュリティアライアンス(CSA)は「4日間で9件のCVE」と題した注意喚起まで出しました。CSAは、これらの欠陥は個々の書き間違いというより設計そのものに根があると指摘します。「長期記憶・広範な道具へのアクセス・実行時のスキル追加・複数事業者の認証情報の統合・指示による実行という、AIエージェント基盤を価値あるものにしている中核機能こそが、攻撃対象を広げている」という指摘です。便利さと危うさが同じ根から来ているため、こまめな更新と、安全側に寄せた設定が欠かせません。

影響を受けるバージョンと修正版

2件は修正されたバージョンが異なります。両方を確実に塞ぐには、より新しい0.51.788以降(公開時点の最新はv0.52.0)へ更新してください。次の表で自分のバージョンの位置を確認できます。

識別番号内容影響バージョン修正版
CVE-2026-58123
(9.8)
端末窓口から
パスワードなしでコマンド実行
0.51.788未満0.51.788
CVE-2026-58122
(9.1)
アクセス元を偽装し
API鍵・OAuthトークンを窃取
0.51.307未満0.51.307
両方を塞ぐまとめて対策するなら0.51.788以降
(最新v0.52.0)

Hermes WebUIはDockerイメージでも配布されているため、Dockerで動かしている場合はイメージを最新に差し替えて再起動します。バージョンが目まぐるしく更新されるプロジェクトなので、可能なら自動更新の仕組みを整えておくと、次の欠陥が出たときにも取り残されにくくなります。

これまでの経緯

← スワイプで移動

修正が先にリリースされ、その後で脆弱性情報として整理・公開される流れでした。リリース履歴を見ると更新頻度は非常に高く、古いまま止めているインスタンスほど複数の穴を抱えたままになっている恐れがあります。

確認できていること、まだ分からないこと

✓ 確認済みの事実

  • CVE-2026-58123(9.8)は認証なしで端末APIを叩き、サーバー上で任意コマンドを実行できる(NVD
  • CVE-2026-58122(9.1)はアクセス元の偽装でAPIキーとOAuthトークンを窃取できる(NVD
  • 修正版は0.51.788(58123)と0.51.307(58122)で、最新はv0.52.0(GitHub

? まだ確認されていないこと

  • ?この2件が実際の攻撃に悪用されたという公式な報告は、公開時点で確認されていない
  • ?米政府CISAが公開する「実際に攻撃が確認された脆弱性リスト(KEV)」には、公開時点で登録されていない(KEVの最新状況はこちらで確認できる
  • ?ネット上に公開されたまま放置されているHermes WebUIがどれだけあるかは、公開時点で明らかになっていない

今すぐできる対策

対策の軸ははっきりしています。Hermes WebUIを0.51.788以降(できれば最新のv0.52.0)へ更新することが最優先です。GitHubのリリース履歴で最新版を確認し、Dockerで動かしている場合はイメージを差し替えて再起動してください。

あわせて、そもそもHermes WebUIをインターネットに直接公開しないことを強くおすすめします。自宅や社内のネットワーク内、あるいはVPNの内側だけで動かせば、外部からの無差別な探索の対象から外れます。もし公開が必要でも、前段にログイン認証や接続元の制限をかけるべきです。さらに、更新前に鍵が盗まれていた可能性を考え、登録済みのLLMのAPIキーや連携SNSのトークンを再発行(ローテーション)しておくと、万一の流出後の悪用を止められます。

より根本的には、AIエージェントに与える権限と鍵を必要最小限に絞り、できればコンテナなどで隔離して動かす備えが有効です。強い権限を持つAIツールが乗っ取られる事故は繰り返し起きており、AIエージェント『AutoGPT』の脆弱性のように、同種の注意が別のツールでも必要になります。

やること狙い優先度
0.51.788以降へ更新2件の穴を根本的に塞ぐ最優先
ネットに公開しない無差別探索の対象から外す
APIキー・トークン再発行流出済みの鍵の悪用を止める

よくある質問

Q. ネットに公開せず自宅のパソコンだけで使っていても危険ですか。

A. インターネットから直接アクセスできない環境であれば、外部からの無差別な攻撃のリスクは大きく下がります。ただし、同じネットワークに侵入された場合や、別の経路から社内・宅内ネットワークに入られた場合には悪用され得ます。公開の有無にかかわらず、最新版へ更新しておくのが確実です。

Q. APIキーが盗まれると、具体的にどんな被害がありますか。

A. LLMのAPIキーは、使うたびに料金が発生する「利用証」です。盗まれると、攻撃者があなたの契約のまま大量にLLMを動かし、身に覚えのない高額請求につながります。これは「LLMジャッキング」と呼ばれる手口です。連携先SNSのトークンまで盗まれた場合は、そのアカウントの乗っ取りにも波及し得ます。更新後は鍵の再発行を検討してください。

Q. すでに攻撃に悪用されているのですか。

A. 本記事の公開時点で、この2件が実際の攻撃に使われたという公式な報告は確認されていません。米政府CISAの攻撃確認リスト(KEV)にも登録されていません。ただしHermes WebUIは無認証の欠陥を短期間に繰り返し指摘されており、手口も単純なため、悪用が始まる前に更新を済ませておくのが安全です。

Q. 自分のHermes WebUIのバージョンはどこで確認できますか。

A. 管理画面の設定やバージョン表示、または動かしているDockerイメージのタグで確認できます。GitHubのリリース履歴に載っている最新版と見比べ、0.51.788より古ければ更新が必要です。バージョンが頻繁に上がるプロジェクトなので、定期的に確認する習慣をつけると安全です。

まとめ

今回の件は、自分専用のAIエージェントを持てる便利さの裏側で、そのツールが握る鍵束と権限の大きさが、そのまま被害の大きさに直結するという話です。CVE-2026-58123はパスワードなしでサーバーを乗っ取り、CVE-2026-58122は登録したAPIキーやSNSの認証情報を根こそぎ奪います。1.5万スターを集める人気ツールで、無認証の欠陥が短期間に繰り返されている点も見過ごせません。

救いは、両方とも修正版がすでに出ていることです。0.51.788以降へ更新し、ネットに直接公開せず、盗まれた可能性のある鍵を再発行する。この3つで被害の大半は防げます。強い権限を預けるAIツールほど、便利さと危うさが同じ根から来ていることを前提に、こまめな更新を習慣にしておきたいところです。新たな悪用の動きがあれば、あらためてお伝えします。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go