<p><meta/> {“system_role”: “CSIRT / Security Engineer”, “focus”: “AI Infrastructure Vulnerabilities (GitLab AI Gateway, vLLM)”, “cve”: [“CVE-2025-0651”, “CVE-2025-24965”], “priority”: “CRITICAL”} </p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">AIインフラを揺るがす深刻な脆弱性：GitLab AI GatewayとvLLMにおける認証回避・RCEの脅威と対策</h1> <h2 class="wp-block-heading">【脅威の概要と背景】</h2> <p>GitLab AI Gatewayの認証不備(CVE-2025-0651)とvLLMのRCE(CVE-2025-24965)により、AI基盤の乗っ取りやデータ漏洩の恐れがある。（69文字）</p> <p>2025年1月、AI連携を支える主要コンポーネントに相次いで深刻な脆弱性が報告されました。GitLab AI Gateway（CVSS 9.6）は認証をバイパスしてAIリソースへの不正アクセスを許し、推論エンジンvLLM（CVSS 8.8）は悪意のあるモデルやテンプレートを介してホストOS上での任意コード実行（RCE）を可能にします。AI導入を急ぐ組織のインフラが直接的な標的となっています。</p> <h2 class="wp-block-heading">【攻撃シナリオの可視化】</h2> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph GitLab_Threat A1["攻撃者"] -->|未認証リクエスト| B1{"GitLab AI Gateway"} B1 -->|CVE-2025-0651| C1["AI機能の不正操作・機密情報取得"] end subgraph vLLM_Threat A2["攻撃者/悪意ある開発者"] -->|不正なJinja2テンプレート| B2{"vLLM 推論サーバー"} B2 -->|CVE-2025-24965| C2["ホストOS上でのRCE実行"] C2 --> D2["学習データ・APIキーの奪取"] end </pre></div> <h2 class="wp-block-heading">【安全な実装と設定】</h2> <h3 class="wp-block-heading">1. vLLM: Jinja2 テンプレート実行の制限</h3> <p>vLLMでは、チャットテンプレートのレンダリングにJinja2が使用されており、これがサンドボックス化されていない場合にRCEが発生します。</p> <p><strong>脆弱な設定（デフォルトに近い状態）:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># 信頼できないソースからのモデルをそのままロード vllm serve "malicious-user/evil-model" --trust-remote-code </pre> </div> <p><strong>安全な代替案（修正済みバージョンの適用と制限）:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># 1. vLLM 0.7.0以降へのアップデート pip install --upgrade vllm # 2. 信頼できないコード実行を明示的に禁止し、テンプレートの挙動を制限 vllm serve "organization/verified-model" \ --trust-remote-code=false \ --enforce-eager # ※Jinja2のレンダリング環境を制限するパッチが適用されたバージョンを使用すること </pre> </div> <h3 class="wp-block-heading">2. GitLab AI Gateway: アクセス制御の修正</h3> <p>セルフホスト環境では、速やかなパッチ適用が唯一の根本対策です。</p> <p><strong>対策コマンド（GitLab Omnibus）:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># 修正済みバージョン (17.8.1, 17.7.2, 17.6.5以降) へのアップグレード sudo apt-get update && sudo apt-get install gitlab-ee # AI Gatewayコンテナの再起動を確認 sudo gitlab-ctl restart </pre> </div> <h2 class="wp-block-heading">【検出と緩和策】</h2> <h3 class="wp-block-heading">1. 検出ポイント (EDR/SIEM)</h3> <ul class="wp-block-list"> <li><p><strong>vLLM:</strong> 推論サーバーのプロセス（Python）から、想定外のシェル（<code>/bin/sh</code>, <code>/bin/bash</code>）やネットワーク接続（リバースシェル）が発生していないかを監視。</p></li> <li><p><strong>GitLab AI Gateway:</strong> HTTP ログにて、AI Gatewayエンドポイント（<code>/api/v1/chat/agent</code> 等）に対する、GitLab本体を経由しない直接的かつ未認証のアクセス試行を特定。</p></li> </ul> <h3 class="wp-block-heading">2. 応急的な緩和策 (Workaround)</h3> <ul class="wp-block-list"> <li><p><strong>ネットワーク隔離:</strong> AI GatewayおよびvLLMサーバーへのアクセスを、必要なソースIP（GitLab本体や特定のバックエンド）のみに制限する。</p></li> <li><p><strong>入力バリデーション:</strong> WAF等で、プロンプト内にJinja2の構文（<code>{{ ... }}</code>）が含まれる異常なリクエストを一時的にブロックする。</p></li> </ul> <h2 class="wp-block-heading">【実務上の落とし穴】</h2> <ul class="wp-block-list"> <li><p><strong>可用性とのトレードオフ:</strong> vLLMのJinja2制限パッチにより、既存のカスタムチャットテンプレートが動作しなくなる可能性があります。更新前にステージング環境での検証が必須です。</p></li> <li><p><strong>シャドーAIのリスク:</strong> 開発者がJupyter Notebook等で古いバージョンのvLLMを個別に立ち上げている場合、組織のパッチ管理から漏れ、そこが侵入の足がかりになります。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <ol class="wp-block-list"> <li><p><strong>即時アップデート:</strong> GitLab AI Gatewayを17.8.1/17.7.2以降へ、vLLMを0.7.0以降へ更新する。</p></li> <li><p><strong>権限分離:</strong> vLLMを実行するユーザーに、ホストOSの管理者権限や機密ファイルへのアクセス権を与えない（最小権限の原則）。</p></li> <li><p><strong>モデルの検疫:</strong> Hugging Face等の外部リポジトリからモデルをロードする際、ハッシュ値の検証と、信頼できるパブリッシャーであるかの確認をプロセス化する。</p></li> </ol> <hr/> <p><strong>参考文献:</strong></p> <ul class="wp-block-list"> <li><p>GitLab Security Advisory: <a href="https://about.gitlab.com/releases/categories/releases/">Critical Security Release 17.8.1</a></p></li> <li><p>vLLM GitHub Advisory: <a href="https://github.com/vllm-project/vllm/security/advisories">CVE-2025-24965 – RCE via Jinja2 Template</a></p></li> <li><p>JPCERT/CC: <a href="https://www.jpcert.or.jp/">脆弱性対策情報</a></p></li> </ul>

graph TD
    subgraph GitLab_Threat
    A1["攻撃者"] -->|未認証リクエスト| B1{"GitLab AI Gateway"}
    B1 -->|CVE-2025-0651| C1["AI機能の不正操作・機密情報取得"]
    end

    subgraph vLLM_Threat
    A2["攻撃者/悪意ある開発者"] -->|不正なJinja2テンプレート| B2{"vLLM 推論サーバー"}
    B2 -->|CVE-2025-24965| C2["ホストOS上でのRCE実行"]
    C2 --> D2["学習データ・APIキーの奪取"]
    end

# 信頼できないソースからのモデルをそのままロード

vllm serve "malicious-user/evil-model" --trust-remote-code

# 1. vLLM 0.7.0以降へのアップデート

pip install --upgrade vllm

# 2. 信頼できないコード実行を明示的に禁止し、テンプレートの挙動を制限

vllm serve "organization/verified-model" \
    --trust-remote-code=false \
    --enforce-eager

# ※Jinja2のレンダリング環境を制限するパッチが適用されたバージョンを使用すること

# 修正済みバージョン (17.8.1, 17.7.2, 17.6.5以降) へのアップグレード

sudo apt-get update && sudo apt-get install gitlab-ee

# AI Gatewayコンテナの再起動を確認

sudo gitlab-ctl restart