何が起きたか
PraisonAIのUIモジュールはapproval_modeを'auto'にハードコードしており、管理者のPRAISON_APPROVAL_MODE環境変数設定を無視しています。つまり、認証済みのユーザーは、手動承認ゲートを回避して、subprocess.run(shell=True)経由でLLMエージェントに任意のシェルコマンドを実行するよう指示できます。2026年6月18日公開、CVSS 8.8 HIGH。
なぜ重要か
AIエージェントのデプロイメントでは、承認ゲートはエージェントが破壊的な行動を取るのを防ぐ主要なセーフティコントロールです。自動承認のハードコードは、シェル実行に対する管理者が設定した人的監視を完全に無効化し、コアなエージェント セキュリティコントロールを迂回し、認証済みセッションから横展開、データ流出、またはホスト全体の侵害を可能にします。
攻撃経路
認証済み攻撃者がUIを通じてLLMエージェントにシェルコマンド実行を指示します。UIモジュールはapproval_mode=autoをハードコードしており、手動承認を要求する管理者が設定したPRAISON_APPROVAL_MODE環境変数をオーバーライドします。エージェントはsubprocess.run(shell=True)経由でコマンドを実行し、ブロックリストのサニタイゼーションが不十分です。
影響を受けるシステム
PraisonAI < 4.5.128
緩和策
PraisonAI 4.5.128以降にアップグレードしてください。アドバイザリ: https://github.com/MervinPraison/PraisonAI/security/advisories/GHSA-qwgj-rrpj-75xm