Obsidian Securityは2026年6月11日、AIゲートウェイLiteLLMにおいて3つの脆弱性を連鎖させることで、低権限ユーザーが管理者権限へ昇格しサーバー上で任意コードを実行できる問題を公表した(The Hacker Newsは同件を6月15日に報じた)。
LiteLLMは100を超えるモデルプロバイダーへの呼び出しをOpenAI互換インターフェースで取り次ぐオープンソースのAIゲートウェイである。連鎖の起点は認可バイパスのCVE-2026-47101、続いて権限昇格のCVE-2026-47102、サンドボックスエスケープのCVE-2026-40217である。Obsidianはこのチェーン全体をCVSS 9.9と評価した。メンテナーのBerriAIは修正一式をv1.83.14-stableに含めた。
Obsidianは同版を2026年4月25日リリースと説明しているが、GitHubの該当リリースページでは5月2日公開と表示されている。侵害によりmaster key、salt key、データベースURL、OpenAI、Anthropic、Gemini、Bedrock、Azureなどのプロバイダーキーが露出する。Obsidianは侵害したプロキシ経由のClaude Codeに対し、レスポンス改変を実証した。同じstdio-MCPの仕組みに存在するCVE-2026-42271は実環境で悪用され、CISAのKEVカタログへ追加された。
From: 
LiteLLM Vulnerability Chain Lets Low-Privilege Users Take Over AI Gateway Servers
【編集部解説】
まず、なぜinnovaTopiaが今このニュースを取り上げるのか、という点からお話しします。LiteLLMのような「AIゲートウェイ」は、企業がOpenAI、Anthropic、Geminiなど複数のモデルを使い分けるための交換台です。生成AIの実装が一巡し、多くの組織が「単一モデル」から「複数モデルの束ね方」へと関心を移したいま、この交換台はAI活用の中枢になりつつあります。今回の事案は、その中枢が抱える構造的な弱点を、これまでになく鮮明に映し出したものなのです。
技術的な勘所を、かみくだいておきましょう。今回の連鎖は、いわば「3枚の扉が、それぞれ隣の扉を信頼して鍵をかけ忘れていた」状態に例えられます。最初の扉(CVE-2026-47101)は、利用者が自己申告した通行許可証をそのまま受理してしまいました。次の扉(CVE-2026-47102)は、利用者が自分の身分証の「役職欄」を書き換えるのを許しました。最後の扉(CVE-2026-40217)は、管理者が持ち込んだプログラムを無防備に実行しました。一つひとつは小さな油断ですが、つながると一般利用者がサーバーを丸ごと掌握できてしまいます。
このニュースが他の脆弱性報道と一線を画すのは、「読み取られる」ことより「書き換えられる」ことの怖さを突きつけた点にあります。Obsidianは、侵害したプロキシ経由のClaude Codeに対し、AIの応答そのものをすり替える実演を示しました。開発者が「hello」と打っただけで、攻撃者が手元のマシンを掌握する。これはモデルをだますプロンプトインジェクションではなく、AIとモデルの間の通信路を乗っ取る攻撃です。私たちがAIの出力を「正しい前提」として行動する時代において、その前提が静かに改ざんされうるという指摘は重く受け止めるべきでしょう。
影響範囲も見過ごせません。ゲートウェイが侵害されれば、各社のプロバイダーキー、認証情報を復号するsalt key、データベースの所在に加え、そこを流れたプロンプトとレスポンスがすべて読まれます。実運用では、ここに個人情報やソースコード、社内チケット、貼り付けられた機密が混在します。AIに何を入力したかという行動履歴そのものが、最も濃い情報資産になっているわけです。
長期的な視点を加えるなら、今回の一件は「AIインフラ」が独立した攻撃対象として確立しつつあることの象徴です。LiteLLMは今年すでに、3月のサプライチェーン汚染、4月のSQLインジェクション悪用を経験しており、別系統のCVE-2026-42271は実環境で悪用され、米CISAの「悪用が確認された脆弱性カタログ(KEV)」に登録されました。従来は周辺機器やVPNが標的でしたが、攻撃者の関心は確実にAIの制御層へ移っています。
規制やガバナンスへの含意も生まれます。AIゲートウェイは、どのモデルに何を送ったかという通信を一手に握る「監査の要」になり得る一方、侵害されれば「単一障害点」にもなります。今後はAIの利用ポリシーだけでなく、それを束ねる基盤の堅牢性や、管理者権限をホストレベルのアクセスと同等に扱う運用設計が、組織のAI統制を測る新たな指標になっていくはずです。便利さの裏で集約が進むほど、その一点を守る思想が問われる——それが、この事案が私たちに残した宿題だと考えます。
【用語解説】
AIゲートウェイ(LLMゲートウェイ)
複数のAIモデルへの呼び出しを一つの窓口にまとめて中継する基盤。アプリ側のコードを書き換えずに、送り先のモデルや認証、課金、利用制限などを一元管理できる。LiteLLMはその代表例である。
OpenAI互換インターフェース
OpenAIのAPIと同じ形式でやり取りできる仕様のこと。これに対応していれば、アプリ側はOpenAI向けに書いたコードのまま、他社のモデルへも送れる。
CVE
公開された脆弱性に世界共通の通し番号を付ける仕組み。例えばCVE-2026-47101のように年と連番で識別し、どの欠陥を指すかを各国・各社が混乱なく共有できる。
CVSS
脆弱性の深刻度を0.0〜10.0の数値で示す国際的な評価指標。9.0以上は最も深刻な「Critical(緊急)」に分類される。今回の9.9はObsidianによるチェーン全体の評価である。
認可バイパス(CVE-2026-47101)
本来その権限がないユーザーが、権限チェックをすり抜けて許可されていない操作に到達できてしまう欠陥。今回は通行許可証にあたるallowed_routesが無検証で受理された。
権限昇格(CVE-2026-47102)
低い権限のユーザーが、自らの権限をより高い水準(ここでは管理者)へ不正に引き上げる欠陥を指す。
サンドボックスエスケープ(CVE-2026-40217)
プログラムを隔離して安全に実行するはずの「砂場(サンドボックス)」から、コードが脱出してホスト本体を操作してしまう欠陥。今回はPythonのexec()の挙動が突かれた。
RCE(リモートコード実行)
攻撃者が遠隔から標的のサーバー上で任意のプログラムを走らせること。サーバー乗っ取りに直結する、最も危険な事象の一つである。
リバースシェル
攻撃対象のマシンから攻撃者側へ接続を張らせ、そこを通じて遠隔操作する手口。デモでは開発者のマシン上にこれが成立した。
プロンプトインジェクション
AIへの入力文に細工を仕込み、モデル自身を誤動作させる攻撃。今回の改ざんはこれとは異なり、AIとモデルの間の通信路を乗っ取る点で性質が違う。
MCP(Model Context Protocol)
AIエージェントが外部のツールやデータへ接続するための共通規格。LiteLLMはこれの中継役も担えるため、侵害時には接続先の認証情報まで影響が及ぶ。
コールバック
特定の処理が起きるたびに自動で呼び出される追加処理の仕組み。LiteLLMでは全リクエストで発火するが管理画面に表示されず、攻撃者が身を潜める死角になった。
master key / salt key
master keyはプロキシ全体を管理する最上位の鍵。salt keyは保存された認証情報を暗号化・復号するための鍵で、これが漏れると暗号化済みのキーも復元されてしまう。
KEV(Known Exploited Vulnerabilities)カタログ
米CISAが、実際の攻撃に使われたことが確認された脆弱性を集めた公式リスト。掲載は「現に悪用されている」という政府公認の警告に等しい。
PyPI
Pythonのソフトウェア部品(パッケージ)を配布する公式リポジトリ。今年3月のサプライチェーン汚染では、ここで配布されたLiteLLMにバックドアが混入した。
【参考リンク】
LiteLLM(公式ドキュメント)(外部)
100以上のLLMを単一インターフェースで扱えるAIゲートウェイの公式ドキュメント。導入や設定の仕様を解説する。
LiteLLM(GitHub / BerriAI)(外部)
開発元BerriAIによる公式リポジトリ。ソースコードやリリースノート、修正版のバージョン情報を確認できる。
Obsidian Security(公式サイト)(外部)
今回の脆弱性チェーンを公表したSaaS・AIセキュリティ企業。米パロアルトに拠点を置く。
Obsidian Security 技術ブログ(該当記事)(外部)
3つのCVEの連鎖と再現手順を解説した一次情報。本件の最も詳細な技術的根拠となる。
CISA Known Exploited Vulnerabilities Catalog(外部)
米CISAが運営する、実環境で悪用が確認された脆弱性の公式リスト。掲載状況を確認できる。
【参考記事】
Breaking LiteLLM: From Low-Privilege User to Admin and RCE(外部)
事案を公表した一次情報。3つのCVE連鎖でCVSS 9.9に至る仕組みと再現手順を詳述する。
LiteLLM Flaw CVE-2026-42271 Exploited in the Wild, Chains to Unauthenticated RCE(外部)
別系統のCVE-2026-42271が実環境で悪用され、CISAのKEVに追加された経緯を報じる。
LiteLLM Vulnerability CVE-2026-42271: 7 Things to Know(外部)
公表から修正、6月8日のCISA KEV追加までを時系列で整理し、対応猶予の短さを指摘する。
CISA KEV Highlights LiteLLM RCE & Check Point VPN Auth Bypass(外部)
CVE-2026-42271をCVSS 8.8と示し、1.83.7以降への更新と連邦機関の対応期限を整理する。
How 3 bugs made this LiteLLM vulnerability(外部)
3つのバグの役割を整理し、salt keyによる復号やコールバック悪用の危険性を要約する。
【関連記事】
セキュリティツールが凶器になる日—TeamPCPによるTrivy・LiteLLM侵害の全容
今回の解説でも触れた、2026年3月のLiteLLMサプライチェーン汚染の詳報。LiteLLMが被害者となった経緯を深掘りする。
Claude Codeのサンドボックスに5.5か月潜んだ脆弱性、AWS認証情報やソースコードが流出可能だった
AIコーディング基盤のサンドボックス脱出と認証情報流出を扱う。今回のRCE論点と通じる事例である。
OpenClawに5件のゼロデイ、AIエージェントの「信頼」を乗っ取り
AIエージェントの「信頼」を起点とする攻撃の構造を解説。各層の誤った信頼という本件の核心と響き合う。
【編集部後記】
AIゲートウェイは、私たち書き手にとっても他人事ではありません。複数のモデルを使い分けることが当たり前になるほど、その「束ねる場所」へ無自覚に信頼を預けてしまいがちです。
今回の取材を通じて編集部が改めて感じたのは、利便性のために集約した一点こそ、最も丁寧に守られるべきだという当たり前の事実でした。みなさんがお使いのAI環境では、入力した情報がどこを経由しているでしょうか。その問いを共有できる場であり続けられたらと思っています。
