何が起きたか
PraisonAIのAgentMailコンポーネント(4.6.78以前)は署名されていないウェブフックペイロードを受け入れ、攻撃者が任意の送信者ID を持つインバウンドメール/メッセージイベントを偽造でき、エージェントがこれを正当なものとして処理します。
なぜ重要か
これは「信頼できる」送信者になりすまして、攻撃者がメール駆動型エージェントワークフローで正当な通信者を偽装することによって、エージェント動作(財務または データ流出アクションのトリガーなど)を操作できる、なりすまし経由の間接的なプロンプトインジェクションを可能にします。
攻撃経路
PraisonAI AgentMailのウェブフックモードには署名検証がないため、認証されていない攻撃者は、スプーフされた送信者アドレスを含むクラフトされた message.received イベントをウェブフックエンドポイントに直接POSTし、任意のコンテンツをエージェントの処理パイプラインに注入できます。
影響を受けるシステム
PraisonAI AgentMail 4.6.78以前
緩和策
PraisonAIを4.6.78以降にアップグレードしてください。インバウンドメッセージイベントを処理する前にウェブフック署名/HMAC検証を実施してください。