Cohere AI がオープンソースで公開する Python サンドボックス Terrarium に、CVSS 9.3 と評価される重大なサンドボックス脱出脆弱性 CVE-2026-5752 が報告されました。Terrarium は LLM が生成した信頼できないコードを Docker 環境で実行する用途で広く使われており、影響範囲は広いと見られます。
主なポイント
- Terrarium は Pyodide 上で動く Python ランタイム。Node.js プロセス内で WebAssembly を使って標準 Python パッケージを実行する
- 脆弱性の根本原因は
service.tsのjsglobals設定不備で、mock document が Object.prototype を継承してしまう点 - サンドボックス側のコードから function コンストラクタを辿り
globalThisを取得、さらにrequire()など Node.js 内部 API へ到達できる - 成功すれば、ホストプロセス上で root 権限の任意コード実行が可能になり、コンテナ脱出にも繋がりうる
- CERT/CC VU#414811 として公表済み。利用者はアップストリームの修正版への更新と運用環境の監査が推奨される
出典: Cohere AI Terrarium Sandbox Flaw Enables Root Code Execution, Container Escape