LangflowのRCE(CVE-2026-33017)。AIエージェント基盤の未認証コード実行とKEV収録
対象の目安: Langflow等のAIエージェント基盤を運用する開発者・情報システム担当 / 実務

AIエージェントやワークフローを画面上で組み立てるオープンソースのLangflow(Python製)に、認証を必要としないリモートコード実行の脆弱性CVE-2026-33017が見つかりました。攻撃者が細工したリクエストを送るだけで、Langflowが動くサーバー上で任意のコードが実行される状態になります。NVDはCVSS v3.1の基本値を9.8としています。米CISAは2026年3月25日にこの脆弱性を既知の悪用された脆弱性(KEV)カタログへ収録し、実際の悪用が確認されました。
この記事は、LangflowをはじめとするAIエージェント基盤を運用する開発者や情報システム担当に向けて、なぜこの脆弱性が更新と侵害調査を急ぐべき対象なのかを、NVDやLangflowのセキュリティアドバイザリ、CISA KEV、脆弱性リサーチをもとに整理します。あわせて、AIエージェント基盤という運用資産が新しい攻撃面になっている状況を、KEVを起点にした優先度づけへつなげる判断のかたちで示します。
未認証でコードが走る仕組み
Langflowは、大規模言語モデルを使うアプリケーションやエージェントを、部品(ノード)をつないだフローとして視覚的に組み立てるためのツールです。このフローを組み立てて実行する処理の一部に、認証を求めない公開エンドポイントが用意されていました。
CVE-2026-33017は、この公開フロービルド用エンドポイントPOST /api/v1/build_public_tmp/{flow_id}/flowを起点とします。GitHubのセキュリティアドバイザリによれば、このエンドポイントは公開フローを組み立てるために認証なしで使える設計でありながら、リクエストに含まれるフロー定義のなかにPythonコードを受け取ってしまいます。受け取ったコードは検証やサンドボックスを介さずにexec()へ渡され、サーバーのプロセス権限でそのまま実行されます。GitHubのアドバイザリは、悪用には公開フローが存在しそのIDに到達できることなどが前提になるとしつつ、既定で自動ログインが有効な構成では認証なしで前提が満たされると説明しています。外部からこのエンドポイントへ届く状態のLangflowは、細工したリクエストでコード実行に至ります。
NVDはこの脆弱性を、コード生成の不適切な制御(CWE-94)や動的に評価されるコードの不適切な無害化(CWE-95)、重要機能における認証の欠如(CWE-306)として登録しています。CVSS v3.1の基本値は9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)で、GitHubはCVSS v4.0の基本値を9.3として付与しています。攻撃元がネットワークで、権限も利用者の操作も要らないという条件が、この評価の高さにつながっています。
なお、Langflowにはこれとは別に、認証済みの利用者が他人のフローを実行できる認可の不備(IDOR、CWE-639)としてCVE-2026-55255も報告されています。こちらは認証を前提とする別の脆弱性であり、本記事が扱う未認証RCEのCVE-2026-33017とは区別して扱います。
攻撃の具体的な再現手順はここでは示しません。検証は自組織が管理する環境に限って行い、他者の機器やサービスへの無断のアクセスや検査は不正アクセス禁止法などの関連法令に触れるため行いません。
影響を受ける版と修正
影響を受ける版と修正版は次のとおりです。自組織のLangflowが該当するかを、まず稼働中の版番号で確認します。
| 区分 | バージョン |
|---|---|
| 影響を受ける版 | 1.9.0 より前(1.8.2 以前を含む) |
| 修正版 | 1.9.0 以降 |
修正の扱いには注意が必要です。JFrog Security Researchは、1.8.2が修正版として広く伝わっていたにもかかわらず、公開されている検証コードによって実際には悪用が可能だったと報告しています。JFrogは確実な修正版を1.9.0とし、確認時点で1.9.0が正式公開される前であったことにも触れています。このため、更新の判定では版番号だけを頼りにせず、1.9.0以降へ上げたうえで公式アドバイザリの記載に沿って確認します。上記の版の対応関係は執筆時点でNVDとGitHubのアドバイザリに掲載されている内容です。
KEV収録が示す悪用の確認
CISAのKEV(Known Exploited Vulnerabilities)カタログは、悪用が確認された脆弱性だけを収録します。掲載されていること自体が、対応を急ぐ根拠になります。CVE-2026-33017は2026年3月25日にKEVへ収録され、Langflowのコードインジェクションの脆弱性として案内されています。
KEVには対応期限が付きますが、これは米連邦政府の文民行政機関に向けて定められるものです。この脆弱性の期限は2026年4月8日と設定されました。民間の組織に同じ期限が義務として課されるわけではありません。ただし悪用が確認されている以上、民間にとっても緊急対応の目安として扱うのが妥当です。
悪用の実態も報告されています。Sysdigは、アドバイザリの公開から約20時間という短い時間で悪用が始まった経緯を示し、観測された攻撃で環境変数や.envファイル、資格情報が持ち出されたと報告しています。Trend Microは、この脆弱性を悪用してXMRigによるMoneroのマイニングを仕掛けるキャンペーンを観測しています。Langflowは商用のAIサービスやクラウド、データベースへの資格情報を保持していることが多く、侵入されると連携先まで被害が広がりやすい点が、悪用の狙いどころになっています。
運用側がとる初動
外部に到達できるLangflowを運用している場合、悪用が確認されている以上、更新と調査を並行して進めます。次の順序で手を付けます。
- 1
稼働中の版と公開範囲を確認する
運用しているLangflowの版番号を確認し、1.9.0より前であれば影響対象と判断します。あわせて、Langflowがインターネットから到達できる状態かどうかを確認します。公開フロービルド用エンドポイントは認証なしで到達できるため、外部露出の有無が緊急度を大きく左右します。
- 2
1.9.0以降へ更新する
影響を受ける版であれば、1.9.0以降へ更新します。1.8.2は修正版として伝わっていましたが実際には悪用が可能だったため、この版で止めず1.9.0以降へ上げ、公式アドバイザリの記載で修正が反映されていることを確認します。すぐに更新できない事情がある場合は、次の露出遮断を先行させます。
- 3
外部からの到達を止める
更新までの間、Langflowをインターネットへ直接公開している状態を避け、到達経路を必要な範囲に限ります。認証を前提とする境界の内側へ置き、公開フロービルド用エンドポイントへ外部から届かないようにします。
- 4
更新前の侵害を前提に痕跡を調べる
KEVに載る脆弱性はすでに悪用されているため、更新前に侵入されていた可能性を前提に調べます。想定外のプロセスやCPU使用率の急増、外部への不審な通信、設置された不審なバイナリの有無を確認します。SysdigやTrend Microが公開する指標(IoC)があれば、それに沿って点検します。
- 5
連携先の資格情報を入れ替える
Langflowが保持していたAPIキーやデータベースの資格情報、クラウドのアクセスキーは、侵入時に持ち出された前提で扱います。連携先の資格情報を入れ替え、不正な利用がなかったかを各サービスのログで確認します。
AIエージェント基盤そのものの守り方は、次の記事でも整理しています。
あわせて読みたい
MCPサーバーのセキュリティ。AIエージェントとツール接続の信頼境界
AIエージェント基盤という新しい攻撃面
Langflowのように、モデルや外部サービスをつないでエージェントを動かす基盤は、開発の生産性を上げる一方で、資格情報やモデルへの接続を一か所に集めます。この集約が、侵入されたときの被害を大きくします。今回の悪用でクリプトマイナーの設置と資格情報の窃取が同時に起きたのは、AIエージェント基盤が計算資源と機密情報の両方を抱えているためです。
攻撃面はコード実行だけではありません。入力を通じてモデルの振る舞いをゆがめるプロンプトインジェクションのように、AIを組み込んだ処理には固有の弱点があります。基盤の脆弱性への対処と、モデルを使う処理そのものへの対処は、あわせて考える必要があります。
あわせて読みたい
プロンプトインジェクションとは。AIエージェント時代の新しい攻撃と防御
新しい種類の資産であっても、公開範囲を絞り、既知の悪用に速く追随し、侵入前提で痕跡を調べるという基本は変わりません。AIエージェント基盤を、更新管理や監視の対象へ正式に組み込むことが、次の同種の事案への備えになります。
まとめ
CVE-2026-33017は、Langflowの認証を必要としない公開エンドポイントを通じて、外部の攻撃者にサーバー上のコード実行を許す脆弱性です。CVSS v3.1は9.8で、2026年3月25日にKEVへ収録され、悪用が確認されました。対応の要点は、1.9.0以降への更新と、更新前の侵害を前提にした痕跡調査、そして連携先の資格情報の入れ替えにあります。1.8.2が修正版として伝わりながら悪用可能だった経緯があるため、版番号の確認は公式アドバイザリで慎重に行います。AIエージェント基盤を更新管理と監視の対象へ組み込み、KEVを起点にした優先度づけの運用として引き取ることが、次の事案への備えになります。
KEVを起点にした優先度づけの考え方は、次の記事で詳しく扱っています。
あわせて読みたい
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
CVE-2026-33017への対応で確認したいポイント
- 稼働中のLangflowの版番号を確認し、1.9.0より前(影響対象)に該当するか判定したか
- 1.8.2で止めず、1.9.0以降へ更新し、公式アドバイザリで修正の反映を確認したか
- 更新までの間、インターネットへの直接公開を避け、公開フロービルド用エンドポイントへの外部到達を止めたか
- 更新前の侵害を前提に、不審なプロセスやCPU使用率の急増、外部への通信、設置されたバイナリを調査したか
- Langflowが保持していたAPIキーやデータベース資格情報、クラウドのアクセスキーを入れ替え、不正利用の有無を確認したか
- KEV収録を起点にした優先対応の運用を、AIエージェント基盤を含む公開資産へ広げたか
出典・参考
- NVD - CVE-2026-33017
- GitHub Security Advisory: Unauthenticated Remote Code Execution in Langflow via Public Flow Build Endpoint (GHSA-vwmf-pq79-vjvx)
- CISA Known Exploited Vulnerabilities Catalog
- JFrog Security Research: Langflow CVE-2026-33017 latest 'fixed' version is still exploitable
- Trend Micro: From Langflow to Monero - Inside CVE-2026-33017 Cryptominer
- Sysdig: How attackers compromised Langflow AI pipelines in 20 hours (CVE-2026-33017)
関連する記事
プロンプトインジェクションとは。AIエージェント時代の新しい攻撃と防御
LLMアプリやAIエージェント、コーディング支援を狙うプロンプトインジェクションの仕組みを、直接型と間接型に分けて解説。実例とOWASP/IPAの最新動向をもとに、権限分離や人間の承認といった実務の防御設計までを整理します。
MCPサーバーのセキュリティ。AIエージェントとツール接続の信頼境界
AIエージェントを外部ツールにつなぐMCPサーバーの攻撃面を、ツールポイズニングや間接プロンプトインジェクション、過剰な権限とトークンの扱い、信頼できないサーバーとrug pullに整理し、利用者と開発者と組織の防御を公式仕様をもとに解説します。
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
毎月大量に出るパッチを全部当てるのは不可能です。実際に悪用されている脆弱性(CISA KEV)と悪用予測スコア(EPSS)、深刻度(CVSS)を組み合わせたリスクベースの優先度付けを、優先度マトリクスと運用ステップ付きで実務担当者向けに解説します。


