「curl 1発で乗っ取れる」AIツールLangflowの致命的な穴、公開20時間で攻撃が始まった

公開から20時間で攻撃が始まった

2026年3月17日20時05分（UTC）、AIワークフロー構築ツールLangflowのセキュリティアドバイザリが公開されました。認証なしで任意のコードを実行できる致命的な脆弱性、CVE-2026-33017です。

翌日の16時04分、最初の攻撃が観測されました。アドバイザリ公開からわずか20時間。攻撃者はドイツ・フランクフルトのサーバーから、PoCコード（概念実証コード）すら公開されていない段階で、アドバイザリの記述だけを頼りに攻撃コードを組み立てていました。

その後30時間で、6つの異なるIPアドレスからの攻撃が確認され、Sysdig Threat Research Team（TRT）の報告によると、OpenAIやAWS、AnthropicのAPIキーが実際に盗まれました。

Langflowとは何か、なぜ狙われるのか

Langflowは、ChatGPTやClaudeなどのAIモデルを組み合わせて業務フローを自動化するためのツールです。プログラミングの知識がなくても、画面上でブロックをつなぐだけでAIワークフローを構築できるため、企業のAI導入で広く使われています。GitHubでは14万5,000以上のスターを獲得しており、オープンソースのAIツールとしてはトップクラスの人気を誇ります。

人気ゆえに狙われます。多くの企業がLangflowを本番環境で動かしており、その環境にはOpenAIやAWSのAPIキー、データベースの接続情報といった「お金に直結する認証情報」が大量に保存されています。攻撃者にとって、Langflowを乗っ取ることは金庫の鍵を手に入れるのと同じです。

「curl 1発で乗っ取れる」仕組み

この脆弱性の核心は、Langflowの設計そのものにあります。

Langflowには「公開フロー」という機能があり、ログインしなくても特定のAIワークフローを実行できるエンドポイント（/api/v1/build_public_tmp/{flow_id}/flow）が用意されています。ここまでは設計上の意図です。

問題は、このエンドポイントがdataというパラメータを受け取る点です。本来はデータベースに保存されたフロー定義を使うはずが、dataパラメータが指定されると、攻撃者が送り込んだフロー定義がそのまま使われます。

そしてフロー定義の中にはPythonコードを記述できます。そのコードはサンドボックス（隔離環境）なしのexec()で実行されます。

つまり「ログイン不要で」「攻撃者が好きなPythonコードを送り込めて」「それがサーバー上でそのまま実行される」という、セキュリティの3重苦です。発見者のAviral Srivastava氏はこう述べています。「curlコマンド1発で実行できる。悪意のあるPythonコードを含むJSONを送るだけで、即座にリモートコード実行が成立する」。

攻撃の全記録

Sysdig TRTが観測した攻撃の時系列を追います。

← スワイプで移動

盗まれたのはAPIキーとクラウドの認証情報

Sysdig TRTの観測によると、攻撃者は最終的にenvコマンドでサーバーの環境変数を丸ごとダンプしました。Langflowの本番環境には通常、以下のような情報が環境変数として保存されています。

• • OpenAI、Anthropic、Google等のAI APIキー
• • AWSのアクセスキーとシークレットキー
• • データベースの接続文字列（URL・パスワード含む）
• • その他のクラウドサービスの認証トークン

攻撃者は.envファイルや.dbファイルの探索も行っています。環境変数に加えて、ディスク上の設定ファイルやデータベースファイルも窃取対象です。

これらのAPIキーが盗まれると、攻撃者は被害者のアカウントでAI APIを使い放題になります。OpenAIのAPIキー1つで、数千ドル規模の請求が発生する可能性があります。AWSの認証情報であれば、クラウドインフラ全体が乗っ取られるリスクもあります。

これで2度目の「認証なしRCE」

実は、Langflowで「認証なしでリモートコード実行できる」致命的な脆弱性が見つかったのは今回が初めてではありません。

2025年5月、CVE-2025-3248（CVSS 9.8）がCISAのKEVカタログに追加されました。こちらは/api/v1/validate/codeというエンドポイントの脆弱性で、やはり認証なしで任意のPythonコードを実行できるものでした。

エンドポイントは違いますが、根本原因は同じです。「認証が必要な機能に認証がかかっていない」「ユーザー入力のコードをサンドボックスなしで実行する」。1回目の修正で個別のエンドポイントは塞ぎましたが、設計レベルの問題は残っていたことになります。

Sysdig TRTは報告書の中で、こう指摘しています。「CVE-2026-33017は、例外ではなく標準になりつつあるパターンを示している。人気のあるオープンソースツールの重大脆弱性は、開示から数時間以内に武器化される」。

今すぐ確認すべきこと

Langflowを使っている場合、以下を今すぐ確認してください。

• 1. バージョン1.9.0以降にアップデート。これが最優先です。1.8.1以下は全て脆弱です
• 2. すぐにアップデートできない場合、/api/v1/build_public_tmpエンドポイントへのアクセスをファイアウォールやリバースプロキシで遮断してください
• 3. APIキーと認証情報を全てローテーション。環境変数に保存しているOpenAI、Anthropic、AWS等のキーを全て無効化し、新しいキーを発行してください。攻撃を受けていないことが確実でない限り、やっておくべきです
• 4. IoC（侵害指標）を確認。上記テーブルのIPアドレスや、oast.live/oast.meドメインへのアウトバウンド通信がログに残っていないか確認してください
• 5. Langflowをインターネットに直接公開しない。認証付きリバースプロキシやVPNの背後に配置することを強く推奨します

人気OSSの「鍵のかかっていない裏口」

GitHubのスター数が多いから安全、というわけではありません。むしろ逆です。人気のあるツールほど攻撃者の研究対象になり、脆弱性が見つかれば公開から数時間で攻撃が始まる。Langflowの事例はそれを20時間という数字で証明しました。

AIツールの普及は止まりません。企業がChatGPTやClaudeのAPIキーを環境変数に入れてLangflowを動かすのは、もはや日常の風景です。でもその環境変数の裏側に、認証のかかっていないエンドポイントがぽっかり口を開けている可能性がある。

映画『ジュラシック・パーク』でイアン・マルコム博士はこう言いました。「できるかどうかに夢中になって、やるべきかどうかを考えなかった」。Langflowの「公開フロー」機能は便利です。でも「認証なしで外部からフロー定義を差し替えられる」設計を、誰かが立ち止まって疑問に思うべきでした。

AIツールを導入するとき、機能の豊富さやスター数だけでなく、「このツールのセキュリティレビューは誰がやっているのか」を確認する。それが、20時間で攻撃される世界を生き延びるための最低限の作法です。

参照元

• 1. The Hacker News: Critical Langflow Flaw CVE-2026-33017 Triggers Attacks within 20 Hours of Disclosure
• 2. Sysdig: CVE-2026-33017: How attackers compromised Langflow AI pipelines in 20 hours
• 3. SecurityWeek: Critical Langflow Vulnerability Exploited Hours After Public Disclosure
• 4. Aviral Srivastava: CVE-2026-33017: How I Found an Unauthenticated RCE in Langflow
• 5. GitLab Advisory Database: CVE-2026-33017
• 6. CISA: Known Exploited Vulnerabilities Catalog
• 7. Infosecurity Magazine: Hackers Exploit Critical Langflow Bug in Just 20 Hours
• 8. Wiz: CVE-2026-33017 Vulnerability Details