AI開発ツールLangflowに認証なしの乗っ取り欠陥 CVE-2026-10561、1.9.4へ
AIエージェントを画面操作で作れる人気ツール「Langflow」に、最高深刻度(CVSS10.0)の欠陥が見つかりました。インターネットに公開していると、IDやパスワードなしで第三者にサーバーを丸ごと乗っ取られる恐れがあります。対象はバージョン1.0.0〜1.9.3。修正版1.9.4への更新と外部公開の遮断が急務です。
堀川 慎
Backend Engineer / AWS / Django / Go
AIエージェントを画面操作で作れる人気ツール「Langflow」に、最高深刻度(CVSS10.0)の欠陥が見つかりました。インターネットに公開していると、IDやパスワードなしで第三者にサーバーを丸ごと乗っ取られる恐れがあります。対象はバージョン1.0.0〜1.9.3。修正版1.9.4への更新と外部公開の遮断が急務です。
AIエージェントやチャットボットを、プログラムをほとんど書かずに画面上の部品をつなぐだけで作れる人気ツール「Langflow(ラングフロー)」に、危険度が最高ランクの欠陥が見つかりました。共通の脆弱性識別番号は CVE-2026-10561、深刻度を表すCVSSスコアは上限の10.0(最も深刻なCritical)です。開発元IBMの注意喚起は2026年6月22日付で公開されました。
問題は、IDやパスワードによるログインを一切必要とせず、ネットワーク越しに第三者がサーバー上で好きなプログラムを動かせてしまう点です。専門的には「認証不要の遠隔コード実行(RCE)」と呼ばれ、成功すればサーバーそのものを丸ごと乗っ取られます。対象は1.0.0〜1.9.3の全バージョン。修正版の1.9.4が公開されており、利用者はすぐの更新が必要です。
| 対象ソフト | Langflow OSS(オープンソース版) |
| 脆弱性番号 | CVE-2026-10561 |
| 深刻度 | CVSS 10.0(Critical・最高ランク) |
| 影響を受ける版 | 1.0.0 〜 1.9.3 |
| 修正された版 | 1.9.4 以降 |
| 攻撃の条件 | ログイン不要 / ネットワーク経由 / 操作不要 |
| 公開日 | 2026年6月22日 |
この欠陥は誰に、どんな被害をもたらすのか
まず狙うのは、特定の誰かを定めて攻める相手ではありません。インターネット上に公開されたLangflowのサーバーを、自動のプログラムでひたすら探し回る攻撃者です。AI開発ブームで手早く立ち上げた検証用の環境が、そのまま外から見える状態で放置されている、というのがいちばん危ない形です。
見つけたサーバーに対して、攻撃者はログインを飛び越えてそのサーバーの中で好きなコマンドやプログラムを実行します。ID・パスワードも、利用者のうっかりクリックも要りません。穴の空いた窓口にデータを送りつけるだけで、サーバーが言うことを聞いてしまいます。
乗っ取られたあとの被害は重く、二段構えです。Langflowの中には、つないだAIモデルや外部サービスのAPIキー、各種のアクセストークンがそのまま保管されていることが多く、これらが一気に盗まれます。サービスを使う側のエンドユーザーは個人情報や会話内容が漏れる恐れがあり、運用する企業・組織は、盗んだ鍵を使った不正な課金、保存データの破壊、社内の別システムへ侵入するための踏み台化といった連鎖的な被害を負います。だからこそ、後述する更新と公開範囲の見直しが急がれます。
これは机上の心配ではありません。Langflowの同種の欠陥は過去に、感染を広げる「Flodrix」と呼ばれるボットネットや、イランとの関係が指摘される攻撃集団「MuddyWater」に実際に悪用され、米政府の「実際に攻撃されている脆弱性リスト(CISA KEV)」にも繰り返し載ってきました。同じ仕組みの最新版が、今回のCVE-2026-10561です。
そもそもLangflowとは何か
Langflowは、AIエージェントや、社内文書を読ませて答えさせる仕組み(RAGと呼ばれます)を、画面上で部品をドラッグして線でつなぐだけで組み立てられるツールです。プログラムを書き慣れていない人でもAIの処理の流れを作れるため、急速に広がりました。GitHub上の公開リポジトリには15万近い「スター(お気に入り登録)」が付き、オープンソースのAIツールの中でも特に勢いのある存在です。現在はIBMの傘下で開発が続いています。
便利さの裏で、Langflowには構造的な弱点があります。画面で組んだ部品の中には、利用者が自分でPython(パイソン、AI開発で広く使われるプログラミング言語)のコードを書いて実行できるものが含まれており、そのコードはLangflowのサーバー上でそのまま動きます。つまり「サーバー上でプログラムを実行できる」機能が、設計として最初から備わっているのです。便利な反面、入口の鍵が外れた瞬間に、それがそのまま乗っ取りの道具に変わります。開発側もこの危うさは認識しており、利用者のコードをハードウェアで隔離した仮想マシン内で動かすといった抜本対策が議論されています。
技術的に何が起きているのか
今回のCVE-2026-10561は、脆弱性データベースの記載によると、Pythonコードを実行する部品(PythonREPLComponent)で、本来触れられないはずの内部機能(builtins)に手を伸ばす「ビルトイン・インジェクション」と、ログインの確認をすり抜ける「認証バイパス」が組み合わさったものです。CWE分類では「コード生成の不適切な制御(コードインジェクション、CWE-94)」にあたります。
Langflowの根の問題は一貫しています。利用者が書いたPythonコードを、隔離(サンドボックス)の仕組みなしにサーバー本体のプロセスでそのまま実行してしまう点です。本来、外部に開かれた窓口は必ずログインを求めるべきですが、認証チェックが抜け落ちた経路が存在すると、攻撃者はその窓口に細工したデータを送るだけで、サーバー上でコードを実行できてしまいます。CVSSのベクトルは AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H で、「ネットワークから・低い難度で・権限もユーザー操作も不要・影響は本体を越えて波及」という、最悪の組み合わせがすべて揃っています。
参考までに、2026年3月に公開された別のLangflowの欠陥(CVE-2026-33017)では、認証不要の「公開フロー構築」窓口に送り込んだコードが、グラフ構築の途中で exec() によって無防備に実行される経路が解析されています。窓口や部品は違っても、「ログインを抜けてPython実行にたどり着く」という筋道は共通しています。
同じ日に公開された、もう1件の重大欠陥(CVE-2026-7664)
実は2026年6月22日、IBMはLangflowについてもう1件の重大な欠陥(CVE-2026-7664、CVSS 9.8)も同時に公開しています。こちらは「MCP」と呼ばれる窓口で、誰に何を許すかの確認(認可)が不十分だった、という問題です。MCP(Model Context Protocol)は、AIエージェントに外部のツールやデータを安全につなぐための共通の仕組みで、Langflowもこれに対応しています。
この欠陥では、本来ログインした人しか触れないはずのMCPプロジェクトの情報や操作に、認証なしの第三者がそのままアクセスし、操作を実行できてしまいます。分類は「不適切な認証(CWE-287)」です。CVE-2026-10561のような任意コードの実行とは種類が違いますが、AIワークフローの内部情報や接続先が認証なしで触られるという点で、やはり深刻です。対象はバージョン1.0.0〜1.8.4で、こちらは1.9.1以降で修正されています。
つまり6月22日のLangflowは、コード実行まわり(CVE-2026-10561)と認証・認可まわり(CVE-2026-7664)で、2件の重大欠陥が同時に出た形です。幸い、後述する1.9.4への更新は両方を同時にふさぎます。新しい版へ上げてしまえば、どちらもまとめて解消できます。
Langflowは何度も同じ穴を狙われてきた
今回が初めてではない、というのが怖いところです。Langflowの重大な遠隔コード実行の欠陥は、ここ1年あまりで繰り返し見つかり、しかもそのいくつかは公開直後に実際の攻撃が観測されています。主な経緯を時系列で並べます。
← スワイプで移動
この経緯が示すのは、Langflowが「たまたま一度狙われた」のではなく、攻撃者にとって公開直後から狙う価値のある常連の標的になっているという事実です。新しい欠陥が公開されるたびに、攻撃側は数時間〜1日のうちに動き出してきました。CVE-2026-10561についても、本記事の執筆時点で「この番号の欠陥が実際に悪用された」とまでは確認できていませんが、過去の反応速度を踏まえれば、対応に使える猶予は長くないと考えるのが妥当です。なお、Langflow を含む IBM 製品の重大な脆弱性は、IBM の脆弱性まとめ記事でも横断的に追っています。
いま分かっていること・まだ分からないこと
✓ 確認済みの事実
- ✓CVE-2026-10561はCVSS 10.0で、認証不要の遠隔コード実行に至る(NVD / IBM)
- ✓対象は1.0.0〜1.9.3、修正版は1.9.4以降(Vulnerability-Lookup)
- ✓同じ6月22日にMCP窓口の認可不備(CVE-2026-7664、CVSS 9.8、対象1.0.0〜1.8.4・修正1.9.1以降)も公開。1.9.4への更新で両方解消
- ✓Langflowの同種のRCEは過去に実際の攻撃・KEV入りが繰り返されている(The Hacker News)
? 現時点で未確認のこと
- ?CVE-2026-10561そのものが実環境で悪用されたかどうか ― 執筆時点でCISA KEVには未掲載
- ?公開された実証コード(PoC)が出回っているか ― 本記事執筆時点では本番号に紐づく確実な公開PoCは確認できていない
いま何をすべきか
最優先は、Langflowを修正版1.9.4以降に更新することです。1.0.0から1.9.3までを使っているなら、検証用・社内用を問わず例外なく対象だと考えてください。この更新で、同日公開のCVE-2026-7664(MCPの認可不備)も同時に解消されます。
すぐに更新できない場合は、応急処置として外部からの接続を断つのが現実的です。Langflowはそもそも、不特定多数がアクセスできるインターネットに直接公開して使う設計ではありません。社内ネットワークやVPNの内側に閉じ込める、アクセス元のIPアドレスを制限する、前段に認証を必須とする仕組み(リバースプロキシなど)を挟む、といった対策で攻撃の窓口そのものをふさげます。すでに公開状態で運用していた場合は、更新だけで安心せず、保管していたAPIキーやアクセストークンを失効・再発行し、不審なプロセスや通信の痕跡がないかも確認しておくべきです。
自社の資産にLangflowのサーバーがインターネットへ露出していないかは、資産の棚卸しツールやネットワークスキャンでも洗い出せます。AI開発の勢いで増えた検証環境ほど、誰も管理していないまま外に開いているケースが多く、まずは「自分たちのLangflowがどこで、どんな公開状態で動いているか」を把握することが出発点になります。
まとめ
CVE-2026-10561は、人気のAI開発ツールLangflowに、深刻度が上限の10.0でログイン不要の乗っ取りを許す欠陥です。対象は1.0.0〜1.9.3で、修正版1.9.4が出ています。Langflowは「サーバー上で利用者のコードを実行する」設計ゆえに、認証の穴がそのまま全面的な乗っ取りに直結しやすく、過去にも同種の欠陥が公開直後から狙われ続けてきました。
AIアプリ開発の現場では、手早く立てた便利なツールが、いつの間にかインターネットに露出したまま放置されがちです。今回をきっかけに、更新と公開範囲の見直し、そして「どこで動いているかの把握」をまとめて点検しておくことをおすすめします。
参照元
- ・NVD — CVE-2026-10561 詳細
- ・IBM Security Bulletin(CVE-2026-10561)
- ・NVD — CVE-2026-7664 / IBM Security Bulletin(CVE-2026-7664)
- ・CIRCL Vulnerability-Lookup — CVE-2026-10561
- ・Langflow 公式サイト / GitHubリポジトリ
- ・Sysdig — CVE-2026-33017 を20時間で悪用した手口の解析
- ・SecurityWeek — 公開直後に悪用されたLangflowの欠陥
- ・The Hacker News — CISAがLangflowをKEVに追加
- ・runZero — 影響を受けるLangflow資産の洗い出し
- ・CISA KEV ダッシュボード(日本語版・当サイト)