LLaMA-Factoryに脆弱性 CVE-2026-58116、AI学習画面の公開で乗っ取りの恐れ
AIを自分用に学習・調整できる人気ツール『LLaMA-Factory』に深刻な脆弱性(CVE-2026-58116)。学習画面(WebUI)を外部に公開していると、悪意あるモデルを読み込ませるだけでサーバーを乗っ取られる恐れがあります。最新0.9.5を含む全バージョンが対象で修正版は未提供。画面を外に出さない等の自衛を。
目次
AIを自分用に学習・調整できる人気ツール『LLaMA-Factory』に深刻な脆弱性(CVE-2026-58116)。学習画面(WebUI)を外部に公開していると、悪意あるモデルを読み込ませるだけでサーバーを乗っ取られる恐れがあります。最新0.9.5を含む全バージョンが対象で修正版は未提供。画面を外に出さない等の自衛を。
AIを自分用に学習・調整できる人気ツール「LLaMA-Factory」に、深刻な脆弱性が見つかりました。ツールの操作画面(WebUI)を外部から触れる状態にしていると、悪意あるモデルを読み込ませるだけで、第三者にサーバーを乗っ取られる恐れがあるという欠陥です。共通の脆弱性番号は CVE-2026-58116、深刻度は10点満点中 9.8(CVSS v3.1)と最高クラスです。脆弱性データベースの VulnCheck と米国の NVD(脆弱性データベース)が2026年6月30日に公開しました。発見・報告したのは研究者の h3nrrrych4u 氏で、実証コードを添えた解説を同日に公開しています。
やっかいなのは、記事公開時点で修正版がまだ出ていないことです。最新の 0.9.5 を含む全バージョンが対象で、開発元による直し(パッチ)は提供されていません。LLaMA-Factory はAIエンジニアの間で広く使われているオープンソースのツールで、GitHubのスター数は5万を超えます。「自分でAIを学習させている人」や「その学習画面をサーバーに立てている人」にとっては、決して他人事ではない話です。
| 項目 | 内容 |
|---|---|
| 脆弱性番号 | CVE-2026-58116 |
| 対象ソフト | LLaMA-Factory バージョン0.9.5以前(最新版を含む全バージョン) |
| 深刻度(CVSS) | 9.8(v3.1)/9.3(v4.0)=最高クラス |
| 攻撃の前提 | 操作画面(WebUI)に届くこと +悪意あるモデルの読み込み(ログイン不要) |
| いま使える対策 | 画面を外部に公開しない/ 出所不明のモデルを読み込まない(修正版は未提供) |
※「WebUI」は、ブラウザで操作するLLaMA-Factoryの管理画面のことです。この画面に外部から誰でもアクセスできる状態だと、危険度が一気に上がります。
この脆弱性は誰に、どんな被害をもたらすのか
この穴を狙うのは、インターネット上に公開されたAIの学習画面を探し回っている攻撃者です。LLaMA-Factory の学習画面は手軽に立ち上げられる反面、設定によっては自分のパソコンの外、つまり社内ネットワークやインターネットからアクセスできる状態になりがちです。攻撃者はこうした「外から触れてしまう画面」を機械的に探し出し、見つけ次第ターゲットにします。画面側にパスワードなどのログインの仕組みが用意されていなければ、たどり着いた相手は誰でも操作できてしまいます。
攻撃者がやることは、見た目には拍子抜けするほど簡単です。画面の「モデルの場所(モデルパス)」を入力する欄に、罠を仕込んだAIモデルの置き場所を打ち込み、「読み込み」や「学習開始」のボタンを押させる(あるいは自分で押す)だけです。すると、そのモデルに同梱された攻撃用のプログラムが、AIを読み込む裏側でそのまま実行されてしまいます。報告者の h3nrrrych4u 氏は、実証として相手のサーバー上で電卓アプリを勝手に起動してみせています。電卓が動かせるということは、同じやり方でどんな命令でも実行できる、という意味です。
命令が自由に実行できれば、実質的にそのサーバーは乗っ取られたのと同じです。学習に使っている大切なデータや、社内のほかのシステムにつながる鍵を盗み出す、計算資源を勝手に使って暗号資産を掘る、別のウイルスを仕込む、といった操作が一通りできてしまいます。狙われるのは、LLaMA-Factory を動かしているエンジニア本人や、それを業務で運用している企業・研究室です。AIの学習には高価なGPUサーバーや機密データが集まりやすいだけに、ひとたび乗っ取られたときの痛手は小さくありません。
LLaMA-Factoryとは何か、なぜ多くの人に関係するのか
LLaMA-Factoryは、難しいプログラムを書かなくても、既存の大規模言語モデル(ChatGPTのような対話AIの中身)を自分の用途に合わせて学習・調整できるオープンソースのツールです。この「自分のデータでAIを鍛え直す」作業はファインチューニング(追加学習)と呼ばれ、社内文書に詳しいAIや、特定分野に強いAIを作りたいときによく使われます。プログラミングに不慣れな人でも扱えるよう、ブラウザ上のボタン操作だけで学習を進められるWebUI(操作画面)が用意されているのが特徴で、これが人気を支えています。
利用者はかなりの数にのぼります。プロジェクトのGitHubページはスター数(利用者が付ける「お気に入り」の数)が5万を超え、AI関連のツールとしては最大級です。大学の研究室、スタートアップ、大企業のAI開発チームまで、AIを自前で育てたい現場で幅広く使われています。つまり「自分でAIを学習させている人」全体に関わりうる話で、特に学習を効率化するために学習画面を共用のサーバー上へ立てているチームほど、今回の弱点が刺さりやすい構図になっています。
なぜモデルを読み込むだけで命令が実行されるのか
今回の欠陥の正体は、「信頼できない置き場所のプログラムを、確認なしで実行してしまう」という設定の問題です。専門的にはコードインジェクション(CWE-94)と信頼できない場所からの機能取り込み(CWE-829)に分類されます。
AIのモデルは、Hugging Face(AIモデルの共有サイト。アプリでいうApp Storeのような存在)などに置かれ、「置き場所の名前」を指定して読み込むのが一般的です。ここで使われるtransformersというAIの定番ライブラリには、モデルに付属するPythonプログラムを実行するかどうかを決める trust_remote_code(直訳すると「外部のコードを信頼する」)という設定があります。本来これは、利用者がそのモデルを信頼するときだけ自分でオンにすべきもので、初期状態ではオフが安全です。
ところが VulnCheckの解説によると、LLaMA-Factory は利用者が画面に打ち込んだモデルの場所を、中身の確認を一切せずに、trust_remote_code=True(=外部コードを信頼する=オン)を固定したまま読み込み処理(AutoTokenizer.from_pretrained() と AutoModel.from_pretrained())に渡してしまいます。この結果、モデルに同梱された設定用プログラム(実証では configuration_poc.py というファイル)が、モデルを読み込む流れの中でそのまま動き出します。攻撃者はあらかじめ罠を仕込んだモデルを共有サイトに置いておき、その置き場所を打ち込ませるだけで、相手のサーバー上で好きな命令を走らせられる、という仕掛けです。
同じ「trust_remote_code がオンに固定されている」という仕組みの脆弱性は、別のAI基盤ソフトでも起きています。当サイトで以前取り上げたvLLMの同種の脆弱性(CVE-2026-4944)も、利用者がオフにしたつもりでも内部でオンのまま外部コードが実行される、という同じ落とし穴でした。AIツール全体に共通する弱点として知っておくと、対策の勘所がつかみやすくなります。
自分は危ないのか、状況別の早見表
危険度は「学習画面(WebUI)をどこまで外に開いているか」と「読み込むモデルの出所が信頼できるか」の2点で大きく変わります。自分の状況に当てはめて確認してください。
| あなたの状況 | 危険度 | いますべきこと |
|---|---|---|
| 学習画面を インターネットに公開している | 最も危険 (誰でも遠隔で乗っ取り可能) | 直ちに外部公開をやめる。 画面を閉じてから対策を検討 |
| 社内ネット・LANに 画面を公開している | 高 (同じネットの第三者が悪用可) | 接続元を絞る。手前に ログインの仕組みを置く |
| 自分のPC内だけで使うが 勧められたモデルを読み込む | 中 (罠モデルでこの端末が乗っ取り) | 出所不明のモデルパスは 打ち込まない |
| 自分のPC内だけで使い 信頼できるモデルしか使わない | 低 (ただし未修正のため油断は禁物) | 公式の更新情報を確認。 修正版が出たら適用 |
※「インターネットに公開」とは、画面を 0.0.0.0 で立ち上げる、Gradioの共有リンク機能で外部に出す、といった状態を含みます。意図せず外部公開になっているケースもあるため、まず公開範囲を確認してください。
いま何をすべきか
修正版がまだ出ていないため、できる対策は「攻撃の入口をふさぐ」ことが中心になります。優先順位の高い順に挙げます。
まず最優先は、学習画面(WebUI)を外部に公開しないことです。インターネットや社内の広いネットワークから誰でも触れる状態になっていないかを確認し、必要なければ自分のパソコン内(localhost)だけで動かしてください。どうしても複数人で共有する必要があるなら、画面の手前にログインの仕組みを置く、接続できる端末を絞る、といった囲い込みが欠かせません。Gradio(LLaMA-Factory の画面に使われている部品)の共有リンク機能を安易に使わないことも大切です。
次に、出所がはっきりしないモデルを読み込まないことです。SNSや掲示板で「この場所のモデルを読み込むといい」と勧められても、提供元が信頼できるか分からないものは打ち込まないでください。今回の攻撃は、利用者が信頼していないモデルでも勝手にプログラムが動いてしまう点が問題です。これは、ソフトが裏で使う部品(ライブラリ)に攻撃用コードを忍ばせるサプライチェーン攻撃(供給網を狙う攻撃)と同じ構図で、対策の考え方は当サイトのOSS サプライチェーン スキャナーでも整理しています。
そのうえで、LLaMA-Factory の公式リポジトリとセキュリティ情報のページをこまめに確認し、修正版が出たら速やかに更新してください。報告者は、trust_remote_code を初期状態でオフにし、利用者が必要なときだけ安全な方法で有効化できるようにすべきだと指摘しています。学習はできるだけ普段の業務環境から切り離した専用の環境(コンテナや使い捨ての仮想マシンなど)で動かしておくと、万一乗っ取られても被害を最小限に抑えられます。
よくある質問
自分のパソコンの中だけで LLaMA-Factory を使っています。危険ですか?
学習画面を外部に公開しておらず、読み込むモデルも信頼できる提供元のものだけなら、すぐに乗っ取られる危険は小さくなります。ただし、出所の分からないモデルを読み込むと、自分のパソコン内だけで使っていても、そのモデルに仕込まれたプログラムが実行されてしまいます。勧められるままに不明なモデルの場所を打ち込むのは避けてください。修正版が未提供である点にも注意が必要です。
学習画面が外部に公開されているかは、どう確認すればいいですか?
起動時の設定を確認してください。画面を 0.0.0.0 で立ち上げていたり、Gradioの共有リンク機能を使っていたりすると、自分のパソコンの外からアクセスできる状態になります。意図せず公開になっていることもあるため、不要なら自分のパソコン内(localhost)だけで動かす設定に変え、共有が必要な場合は接続元の制限とログインの仕組みを必ず併用してください。
修正版(アップデート)はもう出ていますか?
2026年6月30日の公開時点では、この脆弱性を直す修正版は提供されていません。最新の0.9.5を含む全バージョンが対象です。当面は「画面を外部に公開しない」「出所不明のモデルを読み込まない」といった回避策で入口をふさぎ、公式のセキュリティ情報を確認しながら、修正版が出たら速やかに更新してください。
すでに攻撃に悪用されていますか?
本記事の時点で、実際に攻撃へ使われたという公的な報告(米CISAが運用する「実際に悪用された脆弱性リスト」=KEVへの登録など)は確認していません。ただし実証コードがすでに公開されており、悪用は技術的に難しくないため、油断はできません。状況は変わりうるため、公式情報を随時確認してください。
まとめ
CVE-2026-58116 は、AIの追加学習に使う人気ツール LLaMA-Factory が、利用者の打ち込んだモデルの場所を確認なしで読み込み、しかも外部のプログラムを実行する設定が固定されているために、悪意あるモデルを読み込ませるだけでサーバー上で任意の命令を実行されてしまう脆弱性です。学習画面を外部に公開していると、ログインの仕組みがなければ誰でも遠隔から乗っ取れる状態になり、深刻度は最高クラスの9.8と評価されています。
修正版はまだ提供されていません。まずは学習画面を外部に出していないかを確認し、出所の分からないモデルは読み込まないこと。そのうえで公式のセキュリティ情報を確認し、対策が出たら早めに反映してください。AIを自前で育てる現場が増えるほど、こうした「学習ツールそのものの安全性」が問われる場面も増えていきます。
更新履歴
- ▸2026年6月30日:初版公開(同日のNVD登録・VulnCheck公開、報告者h3nrrrych4u氏の実証公開を受けて作成)。
参照元
堀川 慎
Backend Engineer / AWS / Django / Go