Langflow脆弱性(CVE-2026-33017)で露呈したAI開発ツールのセキュリティリスク

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「LangflowでAIワークフローを構築してるけど、脆弱性が見つかったって本当?」
「AIツールのAPIキーが漏洩するリスクって、どうやって防げばいいの?」

チップス

ボス!LangflowってAIの開発で使われてるツールでしゅよね!?
CVSSが9.3って、かなりヤバいでしゅ!

ボス

ああ、CVE-2026-33017だ。
認証なしでリモートから任意のPythonコードを実行できる脆弱性だ。
公開からわずか20時間で悪用が始まり、OpenAIやAnthropicのAPIキーが大量に盗まれた。
AIツールのセキュリティを甘く見るとどうなるか、典型的な事例だな。

2026年3月17日、AIワークフロー構築ツール「Langflow」にCVSS 9.3の重大な脆弱性が公表されました。
認証不要でリモートコード実行が可能なこの脆弱性は、公開から20時間で攻撃に悪用され、CISAのKEVカタログにも追加されています。
この記事では、脆弱性の仕組みとAI開発環境を守るための対策を解説します。

  • CVE-2026-33017はLangflow 1.8.1以前に影響、認証なしでPythonコード実行が可能
  • 公開から20時間で悪用開始、OpenAI・Anthropic・AWSのAPIキーが窃取された
  • Langflow 1.9.0で修正済み、CISAがKEVに追加し緊急対応を要請

AI開発環境でLangflowを利用している方は、バージョン確認と対策を急いでください。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

CVE-2026-33017の脆弱性と攻撃の実態

exec()関数を使ったコード実行が、サンドボックスなしで行われていたことが根本原因です。

認証なしRCEの技術的な仕組み

Langflowの公開ビルドエンドポイントが、ユーザーから送信されたPythonコードをexec()で直接実行していました。
認証チェックもサンドボックスもなく、HTTPリクエスト1つでサーバー上の任意コードが動く状態です。

攻撃者が実際に行った操作を整理します。

  • Langflowのビルドエンドポイントに細工したHTTPリクエストを送信
  • exec()経由で任意のPythonコードがサーバー上で実行される
  • 環境変数や設定ファイルからOpenAI・Anthropic・AWSのAPIキーを読み取り
  • 接続されたデータベースの認証情報も窃取
  • 永続的なアクセス手段を確保し、接続先インフラへ横展開

脆弱性の公開からわずか20時間で、攻撃者はアドバイザリの情報だけを元にエクスプロイトを構築し、攻撃を開始しました。
AIツールに保存されたAPIキーは、それぞれ有料サービスの利用権限を持つため、金銭的な被害に直結します。

チップス

APIキーが盗まれたら、勝手にAPIを使われて高額な請求が来るでしゅよね……?

ボス

それだけじゃない。
APIキーを通じてモデルにアクセスされれば、社内データの学習履歴やプロンプト内容まで漏れる可能性がある。
金銭被害と情報漏洩の両方のリスクがあるんだ。

AI開発環境を守るための対策

Langflowに限らず、AI開発ツール全般に共通するセキュリティ対策があります。

バージョン更新とAPIキー管理の見直し

まず、影響を受ける環境の特定と緊急対応を行ってください。

  • Langflow 1.8.1以前を使用している場合は1.9.0以降にアップデートする
  • 環境変数に保存しているAPIキーがすでに漏洩していないか、API提供元のダッシュボードで利用履歴を確認する
  • 不審な利用が確認された場合はAPIキーを即座にローテーションする

再発防止に向けた対策も合わせて実施しましょう。

  • AI開発ツールをインターネットに直接公開せず、VPNや認証プロキシ経由でアクセスする
  • APIキーはシークレット管理サービス(AWS Secrets Manager、HashiCorp Vault等)で管理する
  • AI開発ツールも通常のWebアプリケーションと同様に、脆弱性管理とアップデート運用の対象にする

まとめ

CVE-2026-33017は、AI開発ツールの脆弱性が実際のAPIキー窃取やシステム侵害に直結することを示した事例です。
Langflow 1.9.0で修正されていますが、すでにAPIキーが漏洩した可能性がある環境ではキーのローテーションが必須です。

詳細はThe Hacker Newsの分析記事Sysdigの技術解説で確認できます。
AI時代のセキュリティは、AIツール自体のセキュリティから始まります。

ボス

AIツールは「開発の加速装置」であると同時に、「攻撃者の侵入口」にもなり得る。
使うなら守れ。守れないなら公開するな。

チップス

APIキーの管理、環境変数に直書きしてたでしゅ……。
シークレット管理サービス、調べてみるでしゅ!

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次