チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「AIロボットなんて研究室の話で、自分の会社には関係ないよね?」
「Hugging Faceの脆弱性って、これまでのAI攻撃と何が違うの?」
チップスボス、ロボットを動かすAIサーバーがハッキングされるなんて、もうSFの世界じゃないでしゅか!?
ボスふふふ、まさにそこが今回の本質だ。AIシステムは便利だが、攻撃者から見れば「権限が高くてセキュリティが甘い新しいサーバー」に過ぎん。LeRobotの件はその典型例だな。
2026年4月28日、Hugging FaceのAIロボティクス基盤「LeRobot」に未修正の重大脆弱性CVE-2026-25874が公開されました。
CVSS 9.3で認証不要、しかも開発者がセキュリティ警告を意図的に無視したコードが原因です。
本記事では、AI/ML基盤特有のリスクと、企業が取るべき対応を整理します。
AIシステムを業務に組み込む企業が増える今こそ、AI基盤のセキュリティを見直す好機です。
本件から学べる教訓は、ロボットを使わない企業にも当てはまります。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
本脆弱性はAI推論サーバーの設計思想そのものを問う事案です。基本情報を押さえましょう。
CVE-2026-25874は、LeRobotのPolicyServerコンポーネントにある認証なしの逆シリアライズ脆弱性です。
CVSS 9.3で、ネットワーク越しに悪意あるpickleペイロードを送るだけで任意のOSコマンドを実行できます。
影響範囲とポイントは以下のとおりです。
| 項目 | 内容 |
|---|---|
| 影響バージョン | LeRobot 0.5.1以前 |
| 攻撃前提 | 認証不要、ネットワーク到達のみ |
| 影響 | 任意コード実行(高権限プロセス) |
| 修正状況 | 未修正(Resecurityが報告済み) |
チップスパッチがまだ無いんでしゅか!?じゃあ今動いているLeRobotサーバーは丸裸でしゅね……。
ボスその通りだ。だからこそ、ネットワーク隔離と暫定対策が今すぐ必要になる。後で話そう。
皮肉なことに、Hugging Face自身がpickleの危険性を理由にsafetensors形式を開発しています。
にもかかわらずLeRobotの開発者は利便性を優先してpickle.loads()を採用し、自動セキュリティリンタの警告を抑制する「# nosec」タグまでコードに書き加えていました。
gRPCサービスもadd_insecure_port()で構成され、TLSも認証もない状態でした。
AIシステムは従来のサーバーと異なる脅威モデルを持ちます。本件の手口を見ていきましょう。
攻撃者は、Pythonの__reduce__()機能を悪用したpickleオブジェクトを作成します。
そのバイト列をSendPolicyInstructions()やSendObservations()といったgRPCエンドポイントに送信すれば、サーバーが逆シリアライズした瞬間に任意コードが実行されます。
典型的な攻撃ステップは以下のとおりです。
ShodanなどでLeRobot PolicyServerのポートを特定する
__reduce__()でOSコマンドを埋め込んだバイト列をRPCに渡す
逆シリアライズと同時にコマンドが起動し、内部侵入の足場を確保
チップス普通のWebサーバーと違って、AI推論サーバーはGPUとか動かすために強い権限で動いてるって聞きましゅよ!
ボスそこが本件の核心だ。AI基盤はGPU・センサー・アクチュエータへのアクセス権を持ち、内部ネットワークの中心に置かれることが多い。乗っ取られれば物理的な被害にもつながる。
パッチが未提供のため、ネットワーク制御で攻撃面を縮小することが現実解です。
AI/ML基盤一般に共通する対策でもあります。
優先度の高い対応は以下のとおりです。
CVE-2026-25874は、AI/MLエコシステムが抱える「便利さ優先のセキュリティ軽視」を象徴する事案です。
pickle逆シリアライズはAI基盤で繰り返される定番の脆弱性パターンであり、自社のAI環境にも同じ問題が眠っている可能性があります。
未修正の現状ではネットワーク隔離が最優先で、長期的にはAI基盤の安全な設計指針を組織として確立する必要があります。
チップス便利だからって理由でセキュリティ警告を消しちゃうのは、本当にダメな例でしゅね……。
ボスふふふ、その教訓を持ち帰れただけでも意義はある。AIシステムの守り方は今後ますます重要になるぞ。
AIセキュリティの第一線で活躍したい方は、セキュリティフリーランス案件への参画をご検討ください。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
