マイクロソフト、コード実行を可能にするAutoGen Studioの脆弱性を修正

nosa

2026.06.23

マイクロソフト、コード実行を可能にするAutoGen Studioの脆弱性を修正

BleepingComputer – June 22, 2026

AIエージェントのプロトタイプ作成用インターフェースであるマイクロソフトの「AutoGen Studio」において、「AutoJack」と名付けられた脆弱性チェーンが発見された。これを悪用すると、攻撃者は有害なWebページにアクセスさせるだけでエージェントを操作し、ホストシステム上で任意のコマンドを実行できたとされる。

AutoGen StudioはマルチエージェントAIシステムを構築するためのオープンソースフレームワーク「AutoGen」のグラフィカルコンポーネントで、他システムとの連携、ツールの利用、Webの閲覧、コードの実行、APIとの対話、外部システムへの接続などを行うAIエージェントを作成することができる。同プロジェクトは非常に人気が高く、GitHubでは5万9,000以上のスターと9,000近いフォーク数を記録しているそう。

マイクロソフトはAutoJack攻撃について、AutoGen Studioに存在する3件の脆弱性を利用するものと説明し、BleepingComputerの記事には技術的な詳細が記された。しかし、この問題はPython Package Index（PyPI）でのリリース前に特定・修正されたため、影響を受けるコードが公開パッケージとして配布されることはなかった模様。影響が及んだのは「MCPプラグインが実装されてからセキュリティ強化のコミットが行われるまでの間に、GitHubのメインブランチからAutoGen Studioをビルドした開発者に限られた」という。

なお、PyPIからAutoGen Studioをインストールしたユーザーは、この脆弱性のあるコードにさらされることはなかったとのこと。最新パッケージの「autogenstudio 0.4.2.2」には、AutoJackの脆弱性が含まれていないようだ。

Squidプロキシに約30年前から存在する脆弱性「Squidbleed」でユーザーデータ流出の恐れ（CVE-2026-47729）

SecurityWeek – June 22, 2026

Calif(.)ioのセキュリティ研究者チームにより、Squidプロキシに1997年から存在していたメモリリークの脆弱性が公表された。

CVE-2026-47729として追跡されているこの脆弱性は、SquidのFTPパーサーがメモリバッファの境界を超えて読み取りを行い、以前のユーザーの未消去HTTPリクエストデータが含まれる可能性のある領域にアクセスしてしまうもの。これを悪用するには、攻撃者がプロキシからアクセス可能なFTPサーバーを制御している必要があるそうだ。

Squidは広く利用されているオープンソースのWebプロキシで、キャッシュ機能によって帯域幅の削減と応答時間の短縮ができ、HTTP、HTTPS、FTPなどのプロトコルをサポートしている。Califの研究者はSquidが悪名高いOpenSSLの脆弱性「Heartbleed」に類似した脆弱性の影響を受けていることを発見し、これを「Squidbleed」と名付けたという。

Squidbleedは企業ネットワーク、学校、公共Wi-Fiスポットなど複数のユーザーが同じSquidインスタンス経由でトラフィックを送信する共有プロキシ環境において最大のリスクをもたらし、ほかのユーザーのHTTPリクエストデータを密かに盗んだ攻撃者に認証情報やセッショントークン、APIキーなどを取得される恐れがある。

修正パッチは2026年4月にSquidバージョン8へマージされ、6月リリースのバージョン7.6で提供された。FTP機能が不要な場合は、FTPサポートを完全に無効にすることでリスクを軽減できるようだ。

Califの研究者は最近、OpenSSLにおける深刻度の高い脆弱性や、攻撃者がWebサーバーを迅速にオフラインにできるDoS攻撃手法「HTTP/2 Bomb」も発見している。これらの脆弱性はAIを使って発見されており、CVE-2026-47729もアンソロピックのAIモデル「Claude Mythos」の支援を受けて見つかったとのこと。

Gizmodo読者が一時的にClickFixマルウェアプロントの標的に　サイトのアカウント侵害が原因

The Register – Mon 22 Jun 2026

テクノロジーメディアサイト「Gizmodo（ギズモード）」は6月21日、記事ページを見た読者からClickFixマルウェアプロンプトが表示されているとの報告を受けたのち、侵害が発生していたことを認めた。

Proofpointの脅威研究者Tommy M氏によれば、この攻撃は、ClickFix・アズ・ア・サービスプログラム「ErrTraffic」のアフィリエイトによって仕掛けられたものとみられるという。これによりGizmodoのサイトに偽のCAPTCHA認証画面を表示させ、認証のためと称してユーザーを欺き、マルウェアをインストールさせるための手順を実行させることを目的としていた。

このClickFixプロンプトはユーザーのOSによって変化。Tommy M氏は、Windowsユーザーに対してはNetSupport RATマルウェアをインストールするためのClickFixプロンプトが表示されていたと述べた。一方でmacOSバージョンのプロンプトには欠陥があり、パスワードがないと実行できないようになっていたとされる。

Gizmodoによれば、漏洩アカウントが悪用されて悪意あるスクリプトが注入されたことにより、一時的にサイト読者にClickFixプロンプトが表示されることとなったという。同社はその後すぐにサイトをオフラインにして悪性スクリプトを排除し、アカウントを保護したとされる。

月曜の時点で、同サイトにはもうClickFixプロンプトが表示されなくなっていたとのこと。