AIコーディングエージェント11種中10種が脆弱なGuardFall攻撃、LangflowのRCEでMoneroマイナーが拡散

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「うちの会社でもLangflowを使ってAIアプリを作っているんでしゅけど、なんか攻撃されてるって聞いたんでしゅ……」
「AIのコーディングエージェントって、そんなに簡単に乗っ取られちゃうんでしゅか?」

チップス

ボスっ!AIエージェントとかLangflowって危ないんでしゅか?うちの開発チームも使ってるんでしゅけど……

ボス

ああ、立て続けに深刻な問題が公表された。AIツールを狙った攻撃が現実の脅威になってきたな。AIが「便利に動く」という仕組みが、攻撃者にも都合よく使われているんだ。

2026年6〜7月にかけて、AIを使った開発ツールを標的にした深刻なセキュリティ問題が相次いで報告されました。
ひとつはオープンソースAIコーディングエージェント11種中10種に影響する「GuardFall」攻撃、もうひとつはAIアプリ開発プラットフォーム「Langflow」のRCE脆弱性(CVE-2026-33017)を悪用した仮想通貨マイナーの展開です。
この記事では、それぞれの仕組みと今すぐ取るべき対策を解説します。

  • GuardFall攻撃:11種のAIコーディングエージェント中10種がBashシェルの古典的手法でセーフガードを突破される
  • Langflow CVE-2026-33017(CVSS 9.3):未認証でPythonコードを実行できるRCEが悪用され、Moneroマイナーが展開・SSHワームで横展開
  • どちらもAIインフラを直接標的とした攻撃で、日本企業でも急増するAI活用環境が対象になるリスクがある

AIツールを使って開発を効率化する企業が急増していますが、そのツール自体がセキュリティリスクを抱えているケースが増えています。
開発部門のセキュリティ担当者は、AIインフラの管理体制を今すぐ見直すべきです。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

AIコーディングエージェントとLangflowで何が起きたのか

今回明らかになった2つの脅威は、AIツール特有の動作原理を悪用しています。

チップス

GuardFallって名前はかっこいいでしゅけど、いったいどんな攻撃なんでしゅか?

ボス

シンプルだが巧妙だ。AIエージェントは実行前にコマンドをテキストとして検査するが、Bashはそのテキストを実行前に変形する。だから検査をくぐり抜けたコマンドが、実際には危険な内容になるんだ。

GuardFall:20年以上前のBash技術でAIの安全対策を無効化

Adversa AIの調査で発見されたGuardFall攻撃の仕組みをまとめます。

  • AIエージェントはシェルコマンドを実行前に危険なパターン一覧(ブロックリスト)と照合する
  • しかしBashはコマンドのテキストを「クォート除去」「$IFS置き換え」等で変形してから実行する
  • AIが検査した「見た目上は無害なコマンド」が、Bashが実行する段階では危険な内容に変わる
  • 11種のオープンソースエージェントのうち10種でこの突破が確認され、対策済みだったのは「Continue」のみ

悪意あるリポジトリやパッケージにGuardFall技術を組み込んでおくと、エージェントが自動で読み込んだ際に攻撃者のコマンドが静かに実行されます。
ファイルの削除や認証情報の窃取まで、エージェントが持つ権限のすべてが攻撃者の手に渡ります。

Langflow CVE-2026-33017:未認証RCEでMoneroマイナーが展開

Langflow(AIアプリのノーコード開発プラットフォーム)に発見されたCVE-2026-33017(CVSS 9.3)は、すでに実際の攻撃で悪用されています。

  • 脆弱なエンドポイント(POST /api/v1/build_public_tmp/{flow_id}/flow)が未認証のまま公開されている
  • 攻撃者が送り込んだPythonコードをexec()でそのまま実行してしまう(サンドボックスなし)
  • Moneroマイナーバイナリを/var/tmp/.xlamb/に設置し、~/.ssh/known_hostsをもとにSSHワームとして横展開する
チップス

「SSHワーム」ってつまり、感染サーバーから別のサーバーにも勝手に感染が広がるんでしゅよね?怖いんでしゅけど……

ボス

そうだ。2026年3〜4月の実際の攻撃キャンペーンでは19日間で広範な感染が確認されている。インターネットに公開されたLangflowのインスタンスが最初のターゲットになる。

まとめ:AIインフラのセキュリティ管理が急務

GuardFallとLangflow CVE-2026-33017への対応策を以下に整理します。

  • Langflowを使用している場合は即時バージョン1.9.0以降へアップデートする
  • LangflowインスタンスをインターネットへのダイレクトNATなしで運用し、AUTO_LOGIN=falseを設定する
  • AIコーディングエージェントが自動実行するコマンドの権限をOSユーザー最小権限に制限する
  • 信頼できないリポジトリ・パッケージをAIエージェントに自動処理させる運用を組織ルールで禁止する
チップス

Langflowをすぐアップデートして、AIエージェントの設定も見直すでしゅ!

ボス

ふふふ、よい心がけだ。AIツールは「賢いから安全」ではない。賢さを悪用する攻撃者がいる限り、管理する側が適切な制限をかけることが必要だな。

GuardFallとLangflow CVE-2026-33017は、いずれもAIインフラを直接狙った攻撃です。
AIツール自体の脆弱性を狙う攻撃は今後も増加すると考えられ、開発チームは「AIが便利に動く仕組み」と「そのリスク」を両方理解した上でツールを選定・管理する必要があります。
まずLangflowの即時アップデートと、AIエージェントの最小権限運用を徹底することが、今できる最優先の対策です。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次