AIエージェント搭載ターミナルWarpに脆弱性4件、開いただけでコマンド実行の恐れ、CVE-2026-48704ほか最新版へ更新を

AIエージェント（指示に応じて自分で作業を進めるAI）を組み込んだ開発者向けのターミナル「Warp（ワープ）」に、脆弱性（プログラムの欠陥）が4件まとめて見つかりました。深刻度はいずれも10点満点中8.6〜8.8（重要）で、代表となるのはCVE-2026-48704です。

4件はいずれもGitHubが報告し、2026年6月24日に公開されました。修正は2026年5月6日付のstable版（0.2026.05.06.15.42.stable_01）以降に含まれています。共通するのは、細工した文書を開いたり、表示された出力を受け取ったり、悪意あるリポジトリで作業したりするだけで、手元のパソコンで勝手にプログラムやファイル操作を実行されかねない、という点です。古いバージョンを使っている場合はすぐに更新が必要です。

Warpとはどんなソフトか

Warpは、プログラマーが日常的に使うターミナル（黒い画面で命令を打ち込み、パソコンを操作する道具）を現代的に作り直したソフトです。ふつうのターミナルと違い、AIエージェントが組み込まれていて、自然な言葉で頼むとコマンドを考えて実行したり、不具合の調査やコードの修正を代わりに進めたりできます。

macOS・Linux・Windowsで動き、GitHubのスター数は6万2,000を超えます。公式サイトによると大企業（Fortune 500）でも使われ、AIを使った開発ツールの中でも人気の高い一本です。

便利な反面、Warpは「画面に表示された内容」や「AIエージェントが触るファイル・リポジトリ」をきっかけに動く場面が多く、そこに悪意ある中身が紛れ込むと、利用者が意図しない操作まで実行されかねません。今回の4件は、まさにこの「信用できない入力をどこまで安全に扱うか」という弱点でした。

誰が狙い、何をされ、どうなるのか

狙われるのは、Warpを使って、外部から受け取ったコードや文書、見ず知らずのリポジトリ（プログラムの保管庫）を扱う開発者です。ネットで拾ったコマンドの出力を画面に流す、配布されたMarkdown文書（見出しや箇条書きを簡単な記号で書く文書）を開く、他人のリポジトリをAIエージェントに調べさせる——こうした、開発の現場でごく当たり前に起きる行動が入口になります。

攻撃者がすることは、そうした文書・出力・リポジトリ名などに罠を仕込み、利用者がWarpで開いたり操作したりした拍子に、手元のパソコンで勝手にプログラムを実行させたり、ファイルを書き込ませたりすることです。いずれも「利用者が何か一手を加える」ことが前提（クリックする、出力を受け取る、AIに作業させる等）ですが、その一手は日常の作業そのものなので、気づかずに踏みやすいのが厄介な点です。

実行されると、パソコンの中のファイルの盗み見や書き換え、SSH（遠隔のサーバーへ安全に接続するしくみ）の認証情報を使った別サーバーへの侵入など、被害が一気に広がる恐れがあります。開発者のパソコンには本番環境やクラウドへの鍵が入っていることが多いため、入口は小さくても影響は大きくなりがちです。

見ず知らずのリポジトリをAIエージェントに扱わせる行為は、取り込む外部の資産をどこまで信用するかという問題ともつながります。外部から持ち込むコードやパッケージの点検はOSS サプライチェーン スキャナーの考え方とあわせて見直す価値があります。また、攻撃に使われ始めた脆弱性は米政府機関CISAの「実際に攻撃されている脆弱性リスト」に載ることがあり、日本語で追える一覧はCISA KEV ダッシュボード（日本語版）にまとめています。

4件の脆弱性の中身

4件はいずれも「信用できない入力の扱い」が原因ですが、入口（きっかけ）がそれぞれ異なります。順に見ていきます。すべて2026年5月6日付のstable版以降で修正済みです。

CVE-2026-48704：細工したMarkdown文書のリンクで実行ファイルが開く（CVSS 8.8）

公開情報によると、Warpは文書中のリンクから手元のローカルファイルを開く際、安全な閲覧・編集用のソフトに限定せず、OSの既定のアプリにファイルを丸投げしていました。攻撃者は、ふつうの文章に見せかけたMarkdown文書の中に実行ファイルへのリンクを仕込めます。利用者がそれをクリックすると、本来開くべきでない実行ファイルがそのまま起動してしまう恐れがありました（GHSA-589x-4mxh-jcrf）。

CVE-2026-48720：画面に流れた出力だけでファイルが書き出される（CVSS 8.8）

ターミナルには、画面表示を制御するための特殊な命令（エスケープシーケンス）を出力に混ぜられる仕組みがあります。この欠陥では、Warpが「OSC 1337;File」という形式の指示を出力から受け取ると、確認の手順を挟まずに、その中身をローカルファイルとして書き出してしまいました。つまり、悪意あるサーバーやコマンドの出力を画面に流しただけで、利用者の手元に任意のファイルを置かれる恐れがあったということです（GHSA-5h96-jrrq-6hxq）。

CVE-2026-48721：AIエージェントの許可チェックを回避できる（CVSS 8.6）

Warpの既定のAIエージェント設定は、サンドボックス（実行を隔離する仕組み）なしで動きます。この欠陥では、危険なコマンドをはじくための照合（拒否リストとの突き合わせ）を、環境変数の表記を正規化する前に行っていたため、書き方を工夫すると照合をすり抜けられました。結果として、本来止められるはずのコマンド実行が、許可チェックを回避して通ってしまいます（GHSA-3839-h8jj-ph82）。

CVE-2026-48732：SSH接続時にホスト名・ディレクトリ名から命令を注入（CVSS 8.8）

この欠陥は、SSH接続の裏側で動く古い処理にあります。Warpは接続先の情報を集める補助コマンドを組み立てる際、リモート側の作業ディレクトリ名などをそのまま使っていました。攻撃者がリモートのホスト名・リポジトリ名・ディレクトリ名に悪意ある文字列を仕込んでおくと、利用者がそこへSSH接続した瞬間に、その文字列が命令として解釈され、利用者のSSH権限で勝手なコマンドが実行されてしまいます（GHSA-qqpc-wvvw-4269）。

何をすると危ないか早見表

4件はいずれも「利用者の一手」が入口です。どんな行動がどの欠陥につながるかを整理します。いずれも最新版で修正済みです。

いずれも「自分が一手を加える」点で完全な無操作ではありませんが、その一手はクリックや出力の表示など日常の作業そのものです。とくに、見ず知らずのリポジトリをAIエージェントに扱わせる場面は注意が必要です。

いま取るべき対策

最優先は、Warpを最新版（2026年5月6日付のstable版以降）へ更新することです。Warpの設定画面から更新を確認できます。バージョン表記は日付を含む形式（例: 0.2026.05.06.15.42.stable_01）なので、自分の使っているビルドがこれ以降かどうかを確かめてください。

すぐに更新できない場合の心がけとして、次の点が有効です。出どころの怪しい文書のリンクは開かない、信用できないコマンドやサーバーの出力をそのまま画面に流さない、見ず知らずのリポジトリをAIエージェントに自動で触らせないこと。AIエージェントを使う際は、可能なら隔離された環境や権限を絞った設定で動かすこと。SSH接続は、接続先が信頼できる場合に限ることです。万一すでに不審な実行があった場合に備え、パソコンに保存したSSHやクラウドの認証情報の入れ替えも検討してください。

まとめ

AIエージェント搭載ターミナルWarpで見つかった4件の脆弱性（CVE-2026-48704／48720／48721／48732）は、いずれも「信用できない入力の扱い」が甘く、文書を開く・出力を表示する・AIに作業させる・SSH接続するといった日常の操作をきっかけに、手元のパソコンで勝手なプログラム実行やファイル操作を許してしまうものです。深刻度はCVSS 8.6〜8.8で、2026年5月6日付のstable版以降で修正されています。

AIが自分で作業を進めるツールほど、扱う入力に悪意が混ざったときの被害が大きくなります。Warpを使っているなら、まずバージョンを確認し、古ければ今すぐ更新してください。Warpに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。

参照元

• ▸NVD - CVE-2026-48704（Markdownのリンクで実行ファイルが開く）
• ▸NVD - CVE-2026-48720（出力からファイルが書き出される）
• ▸NVD - CVE-2026-48721（AIエージェントの許可チェック回避）
• ▸NVD - CVE-2026-48732（SSH接続時のコマンド注入）
• ▸Warp Security Advisories（GitHub・報告元）
• ▸GitHub - warpdotdev/warp（本体・リリース）
• ▸Warp 公式サイト（製品概要・対応OS）