チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「LLMが生成したコードを実行するサンドボックスは本当に安全?」
「JavaScriptのプロトタイプ汚染って具体的に何が起きるの?」
チップスボス、CohereのTerrariumにCVE-2026-5752、CVSS 9.3の脆弱性が出ましたでしゅ!rootコード実行ってヤバすぎでしゅ…
ボスうむ。AIがコードを実行する仕組みは「サンドボックスがあるから安全」と信じてきた前提を崩す事案だな。プロトタイプチェーンの境界が破られている。
本記事では、Cohere Terrariumに見つかったCVE-2026-5752の仕組みと、AIコード実行サンドボックスを使う企業が押さえるべき対策を整理します。
続きを読めば、AIサンドボックスの落とし穴と、現実的な防御設計のヒントが分かります。
Terrariumの構造とプロトタイプチェーン悪用の流れを整理します。
NVDの記載によれば、TerrariumはCohereが開発したオープンソースのPythonサンドボックスで、Pyodideを土台にDockerコンテナで信頼できないコードを実行する用途に使われます。
LLMが生成したコードを安全に評価するための環境として、近年AIアプリケーション基盤に組み込まれるケースが増えています。
チップスうちのチームのAI試作品でもサンドボックスっぽいの使ってるでしゅ…
ボスそういう内製基盤も今回の構造を真似ているケースが多い。「Pyodideだから安心」とは言い切れんと覚えておけ。
脆弱性の本質は、サンドボックス内のJavaScriptがホスト側オブジェクトの__proto__やconstructorに到達できる点にあります。
サンドボックス側コードがプロトタイプチェーンを辿ってホスト環境のオブジェクトに参照を持つと、その経路を使ってホストプロセスでroot権限のコード実行が可能になります。
主な攻撃ステップは以下の通りです。
Cohereの個別問題にとどまらず、自社のAIエージェント基盤全体の設計を見直す契機になります。
まずはCohereから提供される修正版への速やかな更新が大前提です。
あわせて、Terrariumを動かすコンテナの権限を最小化し、root実行されても被害がホストへ広がらない設計に直す必要があります。
具体的な実装ポイントは以下の通りです。
同じくPyodideやNode.js vmモジュールを使ってAIコード実行基盤を内製している企業も、同種のプロトタイプ汚染を再現しうるかをレビューする必要があります。
AIエージェントが実行する任意コードは、原則として「外部から来た悪意あるコード」と同等の前提で扱うべきです。
チップスうちの内製サンドボックスもプロトタイプ汚染テストしてないかもでしゅ…
ボスそこは早急に脆弱性診断を入れるべきだ。AIに任せた瞬間「想定外の入力」が日常的に流れてくる、と考えるのが妥当だぞ。
CVE-2026-5752は、AIコード実行のサンドボックスが攻撃者の主戦場になりつつあることを示しました。
Cohere Terrarium利用者の更新だけでなく、自社で類似基盤を持つ企業も「権限分離・隔離・監査」を再設計し、root権限の漏出を未然に止める必要があります。
チップスうちのAIエージェント基盤、明日レビューしますでしゅ…
ボスふふふ、その判断が早ければ早いほどいい。
