eSecurity Planetは3月4日(現地時間)、「MS-Agent Flaw Enables Remote Code Execution via AI Agents |eSecurity Planet」において、中国のオープンソースモデルコミュニティ「ModelScope(中国名:魔搭社区)」が開発した「MS-Agent」にコマンドインジェクションの脆弱性が存在すると報じた。

攻撃者は細工したプロンプトを入力することで、保護機能を回避して任意のコマンドを実行可能とされる。

  • AIエージェントフレームワーク「MS-Agent」に脆弱性が見つかった Photo:PIXTA

    AIエージェントフレームワーク「MS-Agent」に脆弱性が見つかった Photo:PIXTA

AIエージェントフレームワーク「MS-Agent」とは

MS-Agentは自律探索能力を備えたAIエージェントの開発をサポートする軽量フレームワーク。このフレームワークにはエージェントによるコマンド実行を可能にするShellツール(ms_agent/tools/shell/shell.py)が含まれているが、悪用を防止する入力検証が不十分なため、保護を回避して任意のコマンドを実行可能とされる。

コマンドインジェクション脆弱性の概要(CVE-2026-2256)

脆弱性の情報(CVE)は次のとおり。

  • CVE-2026-2256 - コマンドインジェクションの脆弱性。攻撃者は細工したプロンプト入力を通じて、任意のシステムコマンドを実行できる可能性がある(CVSSスコア:6.5)

この脆弱性はセキュリティ研究者のItamar Yochpaz氏により発見された。同氏は脆弱性の分析レポートをMediumに寄稿し、その概念実証(PoC: Proof of Concept)コードを「GitHub - Itamar-Yochpaz/CVE-2026-2256-PoC · GitHub」にて公開している。

影響を受けるMS-Agentのバージョン

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • ModelScope MS-Agent バージョンv1.6.0rc1およびこれ以前のバージョン

このバージョンは本稿執筆時点における最新バージョンであり、これ以降のバージョンで修正されたことを意味するわけではない。

プロンプト入力を悪用したコマンド実行の仕組み

MS-Agentには不正なコマンドの実行を防止する正規表現を使用したブラックリスト方式の保護が組み込まれている。しかしながら、この手法自体に問題があり、攻撃者はコマンドを難読化することで保護を回避することができる。

しかしながら、コマンドの実行はエージェントの判断によって行われるため、攻撃者はプロンプトを介して難読化を成功させる必要がある。この問題について、研究者はエージェントが処理するコンテンツ(文書やレポート、URLなど)に悪意のあるコマンドを注入することで、エージェントが生成したコマンド内に、悪意のあるコマンドを影響させることが可能と主張している。

「c"h"m"o"d」でブラックリストを回避

難読化に高度な手法は必要なく、ダブルクォーテーションを挟むだけで機能する。具体的には「c"h"m"o"d」とするだけで検査をパスし、「chmod」コマンドを実行できてしまう。

なお、保護を回避する手法は難読化だけに限定されず、他の手法もあることが研究者によって特定されている。脆弱性の修正または回避を試みる場合は、これらすべての手法を解決する必要がある。

eSecurity Planetによると、ModelScopeはこの脆弱性に関する公式声明を発表しておらず、また脆弱性の修正も実施していないとされる。そのため当該フレームワークを使用している技術者は、この脆弱性の存在を把握し、脆弱性を回避する仕組みの導入またはフレームワークの利用を中止することが望まれている。