<p><!-- [META] { "author": "CSIRT/Security Engineer (Gemini-based Draft)", "context": "Enterprise AI Infrastructure Security Advisory", "threat_actors": ["Unauthorized Users", "Remote Attackers"], "vulnerabilities": ["GitLab AI Gateway Auth Bypass", "vLLM RCE via Chat Template Injection"], "priority": "CRITICAL" } [/META] -->本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">AI基盤を襲う脆弱性：GitLab AI Gatewayの認可不備とvLLMのRCE対策ガイド</h1> <h2 class="wp-block-heading">【脅威の概要と背景】</h2> <p>GitLab AI Gatewayにおける認可バイパス(CVE-2024-4835)と、vLLM等のLLMサーバーにおけるチャットテンプレートを悪用した深刻なRCE（リモートコード実行）が報告されました。</p> <h2 class="wp-block-heading">【攻撃シナリオの可視化】</h2> <p>攻撃者が不正な認証情報を利用してAI Gatewayをバイパスし、バックエンドのLLMサーバーに対して悪意のあるチャットテンプレートを注入してシェルを奪取する一連のフローを以下に示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD Attacker["攻撃者"] -->|1. 認可不備の悪用| GW["GitLab AI Gateway"] GW -->|2. 特権昇格/リクエスト転送| Backend["vLLM / LLM Server"] Attacker -->|3. 悪意あるJinja2テンプレートを送信| Backend Backend -->|4. テンプレートレンダリング時にコード実行| OS["Host OS / Container"] OS -->|5. リバースシェル確立| Attacker </pre></div> <h2 class="wp-block-heading">【安全な実装と設定】</h2> <p>特にvLLM等の推論サーバーにおいて、ユーザー入力に基づくチャットテンプレートの動的変更を許容する設定は極めて危険です。</p> <h3 class="wp-block-heading">1. vLLMにおけるチャットテンプレートの制限</h3> <p><strong>誤用例（脆弱な設定）:</strong> APIリクエストごとに任意のテンプレートを指定可能にしている、または信頼できないソースからのモデルをロードしている。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 脆弱な起動例：任意のテンプレートを受け入れてしまう可能性 python -m vllm.entrypoints.openai.api_server --model /path/to/model --trust-remote-code </pre> </div> <p><strong>安全な代替案（セキュアな設定）:</strong> テンプレートを固定し、<code>trust-remote-code</code> を無効化、さらにJinja2のサンドボックスを検討します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 推奨：テンプレートを固定し、リモートコード実行のリスクを排除 python -m vllm.entrypoints.openai.api_server \ --model /path/to/model \ --chat-template ./templates/secure_template.jinja \ --disable-log-requests # ※ trust-remote-codeフラグは、信頼できる公式モデル以外では絶対に使用しない。 </pre> </div> <h3 class="wp-block-heading">2. 最小権限とネットワーク分離</h3> <p>AI GatewayおよびvLLMを実行するコンテナのセキュリティコンテキストを厳格化します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Kubernetes PodSecurityContext 例 spec: securityContext: runAsNonRoot: true allowPrivilegeEscalation: false capabilities: drop: ["ALL"] </pre> </div> <h2 class="wp-block-heading">【検出と緩和策】</h2> <h3 class="wp-block-heading">検出ポイント (EDR/SIEM)</h3> <ul class="wp-block-list"> <li><p><strong>異常な子プロセス生成</strong>: <code>python</code> プロセスや <code>vllm</code> 実行プロセスから <code>sh</code>, <code>bash</code>, <code>curl</code>, <code>wget</code> 等が起動されていないか監視。</p></li> <li><p><strong>テンプレートパターンの検知</strong>: HTTPリクエストボディ内の <code>{{ ... }}</code> 形式のペイロードで、<code>os.popen</code> や <code>__import__</code> 等のPython組み込み関数が含まれていないかWAFで検査。</p></li> </ul> <h3 class="wp-block-heading">応急的な緩和策</h3> <ul class="wp-block-list"> <li><p><strong>GitLab AI Gateway</strong>: 速やかに GitLab 17.1.1, 17.0.3, 16.11.5 以降へのアップデートを適用。</p></li> <li><p><strong>vLLM / LLM Server</strong>: 外部（インターネット）からの直接アクセスを遮断し、mTLS（相互TLS）を用いた認証済みゲートウェイ経由のみのアクセスに制限。</p></li> </ul> <h2 class="wp-block-heading">【実務上の落とし穴】</h2> <ul class="wp-block-list"> <li><p><strong>可用性への影響</strong>: WAFでJinja2テンプレートの構文を厳格にブロックすると、正常なプロンプトエンジニアリング（例：プロンプト内にコード例を含める場合）が誤検知（False Positive）され、業務を阻害する可能性があります。</p></li> <li><p><strong>モデルの信頼性</strong>: Hugging Face等のリポジトリからダウンロードしたモデル自体に悪意のあるコードが含まれている場合、Gateway側の防御をバイパスしてRCEが成立します。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <p>組織として今すぐ確認・実施すべき3つの優先事項：</p> <ol class="wp-block-list"> <li><p><strong>即時アップデート</strong>: GitLab AI Gatewayを利用している場合、パッチ適用済みバージョンへの更新を最優先で行う。</p></li> <li><p><strong>設定監査</strong>: vLLM等の推論サーバーで <code>--trust-remote-code</code> が有効になっていないか、チャットテンプレートが外部から変更可能になっていないか確認する。</p></li> <li><p><strong>環境分離</strong>: AI推論環境を他の本番ネットワークから分離（マイクロセグメンテーション）し、万が一のRCE発生時のラテラルムーブメントを最小化する。</p></li> </ol> <h3 class="wp-block-heading">参考文献</h3> <ul class="wp-block-list"> <li><p><a href="https://about.gitlab.com/releases/categories/releases/">GitLab Security Advisory (CVE-2024-4835)</a></p></li> <li><p><a href="https://github.com/vllm-project/vllm/security/advisories">vLLM GitHub Issues/Security (Jinja2 Template Injection Risks)</a></p></li> <li><p><a href="https://www.jpcert.or.jp/">JPCERT/CC: 脆弱性対策情報の公開</a></p></li> </ul>

graph TD
    Attacker["攻撃者"] -->|1. 認可不備の悪用| GW["GitLab AI Gateway"]
    GW -->|2. 特権昇格/リクエスト転送| Backend["vLLM / LLM Server"]
    Attacker -->|3. 悪意あるJinja2テンプレートを送信| Backend
    Backend -->|4. テンプレートレンダリング時にコード実行| OS["Host OS / Container"]
    OS -->|5. リバースシェル確立| Attacker

# 脆弱な起動例：任意のテンプレートを受け入れてしまう可能性

python -m vllm.entrypoints.openai.api_server --model /path/to/model --trust-remote-code

# 推奨：テンプレートを固定し、リモートコード実行のリスクを排除

python -m vllm.entrypoints.openai.api_server \
    --model /path/to/model \
    --chat-template ./templates/secure_template.jinja \
    --disable-log-requests

# ※ trust-remote-codeフラグは、信頼できる公式モデル以外では絶対に使用しない。

# Kubernetes PodSecurityContext 例

spec:
  securityContext:
    runAsNonRoot: true
    allowPrivilegeEscalation: false
    capabilities:
      drop: ["ALL"]