2週間で4件、AIスタックの「接着部」が次々破られた
Varonisが6月15日に公表したSearchLeakは、被害者がmicrosoft.comの細工URLをクリックすると、Copilotがメールボックスを検索し、Bingの画像検索エンドポイント経由で情報が外部に流出する実証コード付きのチェーンです。URLのqパラメータがLLMへの指示として解釈され、出力サニタイザより先に画像タグが発火するレンダリング競合、さらにCSPで許可されているBing画像検索が外部出口になりました。Microsoftはバックエンドで修正済みですが、NVDは未スコアで、第三者トラッカーはCVSS 6.5(中)に留まります。Copilot Enterprise Searchはユーザー権限をそのまま継承するため、Varonisにとっては12カ月で3度目の流出系チェーン(Reprompt、EchoLeakに続く)となりました。
LiteLLMとLangflow、AIゲートウェイ層の常識が崩れる
その4日前、Obsidian SecurityはLiteLLMに対する3連鎖(CVE-2026-47101/47102/40217)を公表し、合算CVSSは9.9。低権限ユーザーがワイルドカードAPIキーを発行し、無防備な/user/update経由で管理者へ昇格、execで完全なビルトインを得てサンドボックスを脱出します。さらに別系統のコマンドインジェクション(CVE-2026-42271)は6月8日にCISA KEV入りし、6月22日の修正期限が設定されました。GitHubスター4万超のLiteLLMは3月にもPyPI上で1.82.7/1.82.8がバックドア化された経緯があり、AIゲートウェイ層は明確に攻撃面化しています。Langflowも今年3件目のRCE(CVE-2026-5027、CVSS 8.8)でVulnCheckが6月9日に攻撃を確認、Censysは約7,000インスタンスの露出を観測しています。
経営層が問うべきは「ゼロデイ」より「合成」
ObsidianのMerritt Baer氏が指摘するように、企業が承認しているのは「インターフェース」であって、その1〜2層下の実依存ではありません。Enkrypt AIのコメント通り、リスクはモデルとデータをつなぐ「接着部」に潜みます。AIエージェントにbashとrootトークンを渡した時点で、攻撃者の仕事の大半は終わっているのです。
💼 事業会社視点:これは自社にどう効くか
日本の事業会社にとって、これは「AIベンダーの承認プロセスを根本から見直す」シグナルです。とくにMicrosoft 365 Copilotを社内展開済みの大手企業は、Enterprise Searchが各ユーザーの組織権限を継承する設計を踏まえ、人事・財務・法務メールにアクセスできるユーザーへの段階的展開と、社外URL経由でのCopilot起動シナリオを前提にしたDLPの再設計が急務です。SaaS事業者やAIエージェント機能を実装する受託開発各社は、LiteLLMやLangflowなどOSSゲートウェイを「便利な抽象化レイヤー」として無批判に採用してきた構成を、6月22日のKEV期限に合わせて棚卸しすべきでしょう。具体策は3点。第一に、LiteLLMはv1.83.14-stable以降へ更新し、全プロバイダAPIキーを失効・再発行、/mcp-rest/test/*をプロキシで遮断。第二に、Langflowは社内VPN/ゼロトラストの背後に置き、auto-loginを無効化。第三に、CISO直轄でAIエージェントの非人間アイデンティティ(NHI)台帳を作り、bash・root権限を持つ自律エージェントを役員が直接承認する稟議フローに組み込むことです。「AIベンダーを承認した」という安心感が最大のリスクである、と取締役会で言語化することが出発点になります。
