Microsoft は 2026 年 5 月 7 日、AI エージェント フレームワーク Semantic Kernel に存在した 2 件のリモートコード実行 (RCE) 脆弱性 CVE-2026-25592 (.NET 版) と CVE-2026-26030 (Python 版) を開示した。後者は CVSS 9.8 の致命度で、プロンプト インジェクションを足がかりに任意コード実行やホスト ファイル書き込みが可能だった。両 CVE は既に修正版が公開されている。

主なポイント

  • CVE-2026-26030 (Python 版、CVSS 9.8): InMemoryVectorStore のフィルタが Python lambda + eval() で組み立てられており、悪意あるフィルタ式で任意コード実行が可能
  • CVE-2026-25592 (.NET 版): SessionsPythonPlugin の DownloadFileAsync がパス検証なくモデルから呼び出せる関数として露出していた
  • 修正は Python は semantic-kernel 1.39.4 以上、.NET は Semantic Kernel SDK 1.71.0 以上へアップデート
  • 「プロンプトがシェルになる」典型例として、AI エージェント フレームワーク全般の権限境界設計の見直しを促す内容
  • Microsoft Security Response Center (MSRC) は他フレームワークにも同種の評価を行うよう推奨

出典: When prompts become shells: RCE vulnerabilities in AI agent frameworks