チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「AIロボットなんて研究室の話で、自分の会社には関係ないよね?」
「Hugging Faceの脆弱性って、これまでのAI攻撃と何が違うの?」
チップスボス、ロボットを動かすAIサーバーがハッキングされるなんて、もうSFの世界じゃないでしゅか!?
ボスふふふ、まさにそこが今回の本質だ。AIシステムは便利だが、攻撃者から見れば「権限が高くてセキュリティが甘い新しいサーバー」に過ぎん。LeRobotの件はその典型例だな。
2026年4月28日、Hugging FaceのAIロボティクス基盤「LeRobot」に未修正の重大脆弱性CVE-2026-25874が公開されました。
CVSS 9.3で認証不要、しかも開発者がセキュリティ警告を意図的に無視したコードが原因です。
本記事では、AI/ML基盤特有のリスクと、企業が取るべき対応を整理します。
AIシステムを業務に組み込む企業が増える今こそ、AI基盤のセキュリティを見直す好機です。
本件から学べる教訓は、ロボットを使わない企業にも当てはまります。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
本脆弱性はAI推論サーバーの設計思想そのものを問う事案です。基本情報を押さえましょう。
CVE-2026-25874は、LeRobotのPolicyServerコンポーネントにある認証なしの逆シリアライズ脆弱性です。
CVSS 9.3で、ネットワーク越しに悪意あるpickleペイロードを送るだけで任意のOSコマンドを実行できます。
影響範囲とポイントは以下のとおりです。
| 項目 | 内容 |
|---|---|
| 影響バージョン | LeRobot 0.5.1以前 |
| 攻撃前提 | 認証不要、ネットワーク到達のみ |
| 影響 | 任意コード実行(高権限プロセス) |
| 修正状況 | 未修正(Resecurityが報告済み) |
チップスパッチがまだ無いんでしゅか!?じゃあ今動いているLeRobotサーバーは丸裸でしゅね……。
ボスその通りだ。だからこそ、ネットワーク隔離と暫定対策が今すぐ必要になる。後で話そう。
皮肉なことに、Hugging Face自身がpickleの危険性を理由にsafetensors形式を開発しています。
にもかかわらずLeRobotの開発者は利便性を優先してpickle.loads()を採用し、自動セキュリティリンタの警告を抑制する「# nosec」タグまでコードに書き加えていました。
gRPCサービスもadd_insecure_port()で構成され、TLSも認証もない状態でした。
AIシステムは従来のサーバーと異なる脅威モデルを持ちます。本件の手口を見ていきましょう。
攻撃者は、Pythonの__reduce__()機能を悪用したpickleオブジェクトを作成します。
そのバイト列をSendPolicyInstructions()やSendObservations()といったgRPCエンドポイントに送信すれば、サーバーが逆シリアライズした瞬間に任意コードが実行されます。
典型的な攻撃ステップは以下のとおりです。
ShodanなどでLeRobot PolicyServerのポートを特定する
__reduce__()でOSコマンドを埋め込んだバイト列をRPCに渡す
逆シリアライズと同時にコマンドが起動し、内部侵入の足場を確保
チップス普通のWebサーバーと違って、AI推論サーバーはGPUとか動かすために強い権限で動いてるって聞きましゅよ!
ボスそこが本件の核心だ。AI基盤はGPU・センサー・アクチュエータへのアクセス権を持ち、内部ネットワークの中心に置かれることが多い。乗っ取られれば物理的な被害にもつながる。
パッチが未提供のため、ネットワーク制御で攻撃面を縮小することが現実解です。
AI/ML基盤一般に共通する対策でもあります。
優先度の高い対応は以下のとおりです。
CVE-2026-25874は、AI/MLエコシステムが抱える「便利さ優先のセキュリティ軽視」を象徴する事案です。
pickle逆シリアライズはAI基盤で繰り返される定番の脆弱性パターンであり、自社のAI環境にも同じ問題が眠っている可能性があります。
未修正の現状ではネットワーク隔離が最優先で、長期的にはAI基盤の安全な設計指針を組織として確立する必要があります。
チップス便利だからって理由でセキュリティ警告を消しちゃうのは、本当にダメな例でしゅね……。
ボスふふふ、その教訓を持ち帰れただけでも意義はある。AIシステムの守り方は今後ますます重要になるぞ。
AIセキュリティの第一線で活躍したい方は、セキュリティフリーランス案件への参画をご検討ください。
オススメ案件
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
【開発グループ向けインフラ構築・セキュリティ強化】東京都/Trellix(旧 McAfee)・リモート併用
【CSIRT/SOC体制構築支援】東京・新高島/大手造船業・運用プロセス策定
【メガバンク向けSASE導入支援】東京・中野(リモート併用)/Zscalerトラブルシューティング・テックリード
【金融機関向けAVD・Zscaler導入】フルリモート/アーキテクチャ策定・上流設計支援
【認証基盤統合プロジェクト】東京・八王子(リモート併用)/Entra ID・SSO統合・稼働50%~
【CyberArk検証環境構築】東京・豊洲/本番導入に向けた検証・手順作成支援
