Langflow に重大な脆弱性、CISA が警告 – AI ワークフロー構築ツールに未認証リモートコード実行の危険

2025年5月7日7:49

サイバーセキュリティニュース

Langflow に重大な脆弱性、CISA が警告 - AI ワークフロー構築ツールに未認証リモートコード実行の危険 - innovaTopia - （イノベトピア）

Last Updated on 2025-05-07 07:49 by admin

オープンソースのLangflowプラットフォームに重大なセキュリティ脆弱性（CVE-2025-3248）が発見され、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が既知の悪用される脆弱性（KEV）カタログに追加した。この脆弱性は最大10点中9.8のCVSSスコアを持ち、積極的な悪用の証拠があるとされている。

脆弱性は、Langflowの「/api/v1/validate/code」エンドポイントにおける認証不足の問題で、リモートの未認証攻撃者が細工されたHTTPリクエストを通じて任意のコードを実行できるというものである。具体的には、このエンドポイントがPythonの組み込み関数exec()をユーザー提供のコードに対して、適切な認証やサンドボックス化なしで不適切に呼び出すことが原因である。

セキュリティ企業Horizon3.aiが2025年2月にこの脆弱性を発見・報告し、2025年4月9日には他の研究者によって概念実証（PoC）エクスプロイトが公開された。この脆弱性は2025年3月31日にリリースされたLangflowバージョン1.3.0で修正された。

攻撃対象管理プラットフォームCensysのデータによると、インターネットに公開されているLangflowインスタンスは466あり、その大部分はアメリカ、ドイツ、シンガポール、インド、中国に集中している。連邦民間行政部門（FCEB）機関は2025年5月26日までに修正を適用する必要がある。

Langflowは、AIドリブンのエージェントとワークフローを視覚的に構築するためのPythonベースのウェブアプリケーションで、GitHubで5万以上のスターを獲得し、DataStaxとIBMからサポートを受けている人気のオープンソースプロジェクトである。

from:Critical Langflow Flaw Added to CISA KEV List Amid Ongoing Exploitation Evidence

【編集部解説】

Langflowの脆弱性問題は、AI開発ツールのセキュリティリスクを浮き彫りにする重要な事例です。この脆弱性（CVE-2025-3248）は、単なる技術的な問題ではなく、急速に普及するAIワークフロー構築ツールの安全性に関する警鐘と言えるでしょう。

Langflowは、DataStaxやIBMといった大手企業からも支援を受け、GitHubで5万以上のスターを獲得している人気のオープンソースプロジェクトです。「アジェンティックAI」と呼ばれる自律的なAIエージェントを視覚的に構築できるツールとして、多くの開発者や企業に採用されています。

今回の脆弱性の技術的な原因は、Python言語の特性と関連しています。Pythonでは関数定義時にデコレータやデフォルト引数が即時評価される仕様があり、Langflowの開発者はこの挙動を十分に考慮せずにコード検証機能を実装してしまいました。これは、AIツール開発における基本的なセキュリティ設計の重要性を示唆しています。

特に懸念されるのは、この脆弱性が認証なしで悪用可能な点です。過去のLangflow脆弱性は認証済みユーザーによる悪用を前提としていましたが、今回の脆弱性は未認証の攻撃者でも簡単に悪用できます。これは、セキュリティの多層防御の原則が適用されていなかったことを示しています。

Horizon3.aiの研究者たちは2025年2月にこの問題を発見し、責任ある開示プロセスを経て、3月31日にリリースされたバージョン1.3.0で修正されました。しかし、4月9日には第三者によって悪用コードが公開され、5月6日にはCISAが積極的な悪用の証拠があるとして警告を発しています。この流れは、脆弱性の発見から悪用までの時間が短縮されている現代のサイバーセキュリティ環境を反映しています。

世界中に466のインターネット公開Langflowインスタンスが存在することを考えると、潜在的な被害は小さくありません。特に、アメリカ、ドイツ、シンガポール、インド、中国に集中しているこれらのインスタンスは、早急な対応が必要です。

この事例から学ぶべき教訓は、AIツールチェーンのセキュリティを包括的に考える必要性です。特に、コード実行機能を持つツールでは、適切な認証、サンドボックス化、入力検証が不可欠です。また、オープンソースツールの採用においては、セキュリティ面での成熟度も評価基準に含めるべきでしょう。

innovaTopiaの読者の皆様、特にAI開発に携わる方々は、使用しているツールのバージョンを確認し、必要に応じて更新することをお勧めします。また、このような脆弱性はAI開発の一部として認識し、セキュリティを開発プロセスの中心に据えることが重要です。

テクノロジーの進化とともに、そのセキュリティリスクも進化します。私たちはこれからも、最新技術の可能性とリスクの両面から情報を提供し続けます。

【用語解説】

Langflow：
AIドリブンのエージェントとワークフローを視覚的に構築するためのPythonベースのウェブアプリケーション。コードを書かずにAIアプリケーションを作成できるローコードツールである。

CISA（Cybersecurity and Infrastructure Security Agency）：
米国国土安全保障省の下部組織で、サイバーセキュリティとインフラ保護を担当する政府機関。2018年に設立され、現在は「America’s Cyber Defense Agency」をモットーとしている。

KEV（Known Exploited Vulnerabilities）カタログ：
CISAが維持管理する、積極的に悪用されていることが確認されている脆弱性のリスト。連邦政府機関はこのリストに掲載された脆弱性の修正が義務付けられている。

CVE（Common Vulnerabilities and Exposures）：
公開されたセキュリティ脆弱性に対する標準化された識別子。CVE-2025-3248はLangflowの脆弱性を示す固有の識別番号である。

CVSS（Common Vulnerability Scoring System）：
脆弱性の深刻度を数値化する標準システム。10点満点で、9.8は「非常に危険」を意味する。

exec()関数：
Pythonの組み込み関数で、文字列としてのPythonコードを実行できる。適切な保護なしで使用すると、任意のコード実行の脆弱性につながる危険な関数である。

【参考リンク】

Langflow公式サイト（外部）
低コードでAIエージェントとRAGアプリケーションを構築できるツール。開発者向けに設計され、APIやモデル、データベースを活用したAIワークフローの構築が可能。

CISA公式サイト（外部）
米国のサイバーセキュリティ機関。脆弱性情報の提供や、重要インフラの保護に関するガイダンスを提供している。

Horizon3.ai（外部）
サイバーセキュリティ企業で、Langflowの脆弱性を発見・報告した。組織がセキュリティの脆弱性を発見・修正するための支援を行っている。

Zscaler（外部）
クラウドセキュリティ企業。ゼロトラストアプローチによるサイバーセキュリティソリューションを提供している。

【参考動画】

【編集部後記】

AIツールの進化とともに、セキュリティリスクも変化しています。皆さんの組織ではLangflowのような視覚的AIワークフロー構築ツールを活用されていますか？もし利用中なら、バージョン確認は済んでいるでしょうか。今回の事例は、便利なツールの裏側に潜むリスクを考える良い機会かもしれません。AIツールを安全に活用するために、どのような対策が効果的だと思われますか？ぜひSNSで皆さんの知見や経験をシェアしていただければ幸いです。