Langflowに重大欠陥、Webページを開くだけでAIエージェント乗っ取りの恐れ
AIエージェント構築の人気OSS『Langflow』にCVSS 9.4の脆弱性が見つかり、CISAは実際に攻撃されている脆弱性カタログに登録しました。悪意あるWebページを開くだけでログイン情報が奪われ、設定済みのOpenAIやAnthropicなどのAPIキーごとAIエージェント基盤が乗っ取られる恐れがあります。修正版1.9.3公開済み。
ニュース
kkm
Backend Engineer / AWS / Django
AIエージェント構築の人気OSS『Langflow』にCVSS 9.4の脆弱性が見つかり、CISAは実際に攻撃されている脆弱性カタログに登録しました。悪意あるWebページを開くだけでログイン情報が奪われ、設定済みのOpenAIやAnthropicなどのAPIキーごとAIエージェント基盤が乗っ取られる恐れがあります。修正版1.9.3公開済み。
米CISAが2026年5月21日、AIエージェント構築OSS「Langflow」の脆弱性CVE-2025-34291を「実際に攻撃されている脆弱性カタログ(KEV)」に追加しました。攻撃成立条件は「利用者が悪意あるWebページを開く」だけ。CVSS 4.0で9.4(深刻度 Critical)、修正版1.7系以降への更新が必要で、現在の最新版は1.9.3です。
LangflowはGitHubで14万超のスターを集めるオープンソースのAIエージェント/RAG基盤で、ドラッグ&ドロップでAIワークフローを組み立てられる「ノーコード版LangChain」とも呼ばれる存在です。日本でもZennやnoteで活発に解説記事が書かれており、AIエージェント開発の現場で日常的に使われています。
問題が厄介なのは、Langflowが「複数のAIサービスのAPIキーを集約する基盤」である点です。OpenAI、Anthropic、各種ベクトルDB、社内データソースなどの接続情報が一つのLangflowインスタンスに集中しています。Langflowが乗っ取られると、その奥にあるサービス群が芋づる式に侵害される――そういう構造的なリスクを抱えた製品で、CISAが警告を出すに至った経緯がございます。
Langflowとは何をするツールか
Langflowはひとことで言うと、「AIアプリをブロックの組み合わせで作れるツール」です。LangChainというAIアプリ開発フレームワークをベースに、コードを書かずにブラウザ上で部品をドラッグ&ドロップしてAIワークフローを組み立てられます。
用途として典型的なのが、社内文書を読み込ませて質問応答するRAG(Retrieval-Augmented Generation、検索拡張生成)や、複数のAI機能を組み合わせた自律エージェントです。ChatGPTのようなチャットを自社用にカスタマイズしたい、社内データに対する問い合わせボットを作りたい、といったニーズで導入が進んでいます。
開発元のLangflow AIは2024年にデータベース企業のDataStax(現在はIBMの傘下)に買収されており、商用サポートとオープンソース版の両方が提供されています。自社で動かす場合はpipやDocker経由で自社サーバーやクラウドにセルフホストする形態が一般的で、今回の脆弱性は主にこのセルフホスト構成に影響します。
何が問題なのか
脆弱性を発見したセキュリティ企業Obsidian Securityによると、今回の攻撃は3つの設定不備が連鎖して成立しています。
3段階の連鎖攻撃
- 1.CORS設定が過度に寛容: `allow_origins='*'` と `allow_credentials=True` の組み合わせで、どんなWebサイトからでも認証情報付きのリクエストを送れる
- 2.クッキー設定がゆるい: リフレッシュトークン用クッキーが `SameSite=None` で発行されており、他サイトから読み込まれてもブラウザが送信してしまう
- 3.コード実行エンドポイントの存在: 認証済みユーザーは `/api/v1/validate/code` で任意のPythonコードを実行できる仕様になっている
これらを組み合わせた攻撃の流れは、想像以上にシンプルです。利用者が普段通りLangflowにログインしてセッションを維持した状態で、攻撃者が用意した悪意あるWebページを開くだけ。あとはバックグラウンドで以下のことが自動的に進みます。
攻撃シナリオ
- 1.標的のLangflow利用者が、攻撃者の用意したWebページを開く(SNS・メール・広告経由)
- 2.ページ内のJavaScriptが、利用者のブラウザからLangflowサーバーへ認証情報付きリクエストを送信
- 3.CORS設定の不備でリクエストが通り、新しいアクセストークンが取得される
- 4.取得したトークンで `/api/v1/validate/code` に任意コードを送信、Langflowサーバー上で実行される
- 5.設定済みのOpenAI APIキー・Anthropic APIキー・データベース接続情報などを取得
利用者は何も気づきません。Langflowの画面が開いている必要すらなく、過去にログインしてブラウザに認証クッキーが残っていれば成立します。
AIエージェント基盤を狙う意味
通常のWebアプリの脆弱性が「そのアプリのデータが盗まれる」で済むのに対し、AIエージェント基盤の脆弱性は被害が連鎖する性質を持ちます。
Langflowに登録される情報には、典型的に以下が含まれます。
| 分類 | 具体例 | 悪用時の被害 |
|---|---|---|
| LLM APIキー | OpenAI / Anthropic / Google Gemini | 高額API呼び出しによる 金銭被害 |
| ベクトルDB接続 | Pinecone / Weaviate / Astra DB | 社内ナレッジの抽出・改竄 |
| SaaS統合トークン | Slack / Notion / Google Workspace | 業務システムへの横展開 |
| 社内データソース | PostgreSQL / S3 / 社内API | 直接データ抽出 |
Langflowが1台乗っ取られると、これらすべてのキー・トークンが一度に盗まれます。攻撃者が次にやるのは、盗んだAPIキーを使った仮想通貨マイニングや、社内データソースへの直接アクセス、SaaS基盤への侵入です。「AIワークフロー基盤は、その性質上、攻撃ROIが極めて高い標的」とObsidian Securityも明言しています。
CISA KEV登録の重み
本件の公開は2025年12月5日で、CVE採番は2025年10月23日。半年弱の時間を経て、2026年5月21日にCISAがKnown Exploited Vulnerabilities Catalogに追加しました。これは「実際に攻撃で悪用されている」ことが米国当局によって確認された証拠です。
CISAのKEV登録は米国連邦機関に対する法的拘束力を持ちます。各機関はBOD 22-01に従って指定された期限までに修正する義務があり、ベンダーや管理者は通常これを民間でも準拠すべき緊急対応リストとして扱います。
攻撃が確認された以上、公開Webに晒されているLangflowインスタンスは、いま現在も継続的なスキャンと攻撃を受けていると想定すべきです。とくに脆弱性公開(2025年12月)から半年放置されていたインスタンスは、すでに侵害済みである可能性も考慮する必要があります。
影響を受ける環境と修正版
影響を受けるのは1.6.9以前のLangflowセルフホスト環境です。脆弱性は1.7系で修正済みで、現在の最新安定版は1.9.3。Langflow開発元は「critical security fixesを含む」と明言し、即時アップデートを強く推奨しています。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2025-34291 |
| CVSS | 9.4(v4.0)/ 8.8(v3.1) |
| 対象 | Langflow 1.6.9以前 (セルフホスト構成) |
| 修正版 | 1.7以降(推奨は最新の1.9.3) |
| 公開日 | 2025年12月5日 |
| CISA KEV登録 | 2026年5月21日 |
| 米連邦機関期限 | 2026年6月11日 (KEV登録から3週間) |
| 発見者 | Obsidian Security |
いますぐやること
Langflowセルフホスト利用者向けチェックリスト
- 1.現在のLangflowバージョンを確認: `pip show langflow` または Web UI下部のバージョン表示
- 2.1.7未満なら即時アップデート: `pip install --upgrade langflow` または Docker で `langflowai/langflow:1.9.3` に切り替え
- 3.Langflowが社外からアクセス可能になっていないか確認。基本は社内ネットワーク・VPN内に限定するのが望ましい
- 4.Langflowに登録済みのAPIキー(OpenAI、Anthropic等)をローテーション。半年間放置していた場合は侵害済みと想定し、まず全キーを無効化する
- 5.OpenAIやAnthropicの請求ダッシュボードで、心当たりのないAPI使用量がないか確認
- 6.Langflowのアクセスログ・実行ログで、`/api/v1/validate/code` への不審な呼び出しがなかったか確認
特に重要なのが 4と5 です。攻撃者の典型的な目的は「盗んだAPIキーで暗号通貨マイニング用に高額なLLM呼び出しを行う」ことで、被害者は月末の請求書で初めて気づくケースが多発しています。すでに数百ドル〜数千ドルの金銭被害が出ている事例も海外で報告されています。
AIワークフロー基盤の脆弱性が増える背景
2025年から2026年にかけて、Langflow、LangChain、LiteLLM、LlamaIndexなど、AIアプリ開発フレームワークでの脆弱性報告が急増しています。背景には3つの構造的な理由があります。
ひとつ目は、「動けばOK」のフェーズで設計されていること。AI開発ツールの大半はLLMブーム後の急成長期に作られた若いOSSで、機能実装が最優先。認証・認可・CSRF対策などの基礎的なWebセキュリティが後回しになりやすい状況があります。
ふたつ目は、「コード実行」がそもそも機能として組み込まれていること。AIエージェント基盤の多くは、設計上「ユーザーが書いたPythonコードを実行する」機能を備えています。これは正常な機能ですが、認証バイパスと組み合わさると即RCE(リモートコード実行)に化けます。
3つ目は、クレデンシャル集中です。前述のとおり、AIワークフロー基盤は接続先サービスのAPIキーを一極集中させる構造を持ちます。これが攻撃者にとっての「宝の山」になっており、AIブームが続く限り狙われ続けるカテゴリと言えます。
同日にはAI APIプロキシOSS「LiteLLM」にもCVSS 8.8の権限昇格脆弱性が公開されています。これも同じ構造的問題の一例で、自社で動かすAI基盤のセキュリティは2026年の重要テーマになっています。
締めにかえて
Langflowを自社で動かしているチームは、たとえ社内ネットワーク内に閉じていたとしても、今夜中にバージョンの確認とアップデートを済ませることをおすすめします。CSRF系の攻撃は社内ネットワーク内の利用者であっても、外部の悪意あるWebページを開いた瞬間に成立する点に注意が必要です。
「AIアプリを試作するための環境」が、いつの間にか「社内の機密データを集約するハブ」になっているケースは多いはずです。本格運用かどうかに関わらず、APIキーを登録した時点で、Langflowは守るべきインフラの一部になっているという認識が必要です。
参照元
- ▸ NVD - CVE-2025-34291(LangflowのCORS設定不備によるトークン奪取とRCE)
- ▸ CISA - Known Exploited Vulnerabilities Catalog(2026年5月21日CVE-2025-34291追加)
- ▸ Obsidian Security - Critical Account Takeover and RCE Vulnerability in the Langflow AI Agent Workflow Platform
- ▸ VulnCheck - Langflow CORS Misconfiguration to Token Hijack and RCE
- ▸ GitHub - Langflow Releases
- ▸ GitHub - langflow-ai/langflow