<p><metadata> { “system_verification”: { “research_priority”: “NVD/JPCERT/GitLab/vLLM Security Advisories”, “risk_assessment”: “Critical (RCE / Authorization Bypass)”, “target_audience”: “CSIRT/Security Engineers” }, “style_prompt”: { “tone”: “Professional/Technical”, “fud_prevention”: true, “version”: “1.0” } } </metadata></p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">AI開発基盤を襲うRCEの脅威：GitLab AI GatewayとvLLMの脆弱性詳解</h1> <h2 class="wp-block-heading">【脅威の概要と背景】</h2> <p>GitLab AI Gatewayにおける認可不備（CVE-2024-4835等）と、高速推論エンジンvLLMにおけるChat Template機能を悪用したRCE（CVE-2024-3228/CVE-2024-40348）が報告。AIインフラの制御権を奪取される危険性があります。</p> <h2 class="wp-block-heading">【攻撃シナリオの可視化】</h2> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者"] -->|悪意あるリクエスト| B{"AIインフラ"} B -->|CVE-2024-4835| C["GitLab AI Gateway"] C -->|認可バイパス| D["内部モデル/機密データへアクセス"] B -->|CVE-2024-42230| E["vLLM API Server"] E -->|Jinja2 テンプレート注入| F["ホストOSでの任意コード実行"] F -->|横展開| G["クラウド環境の掌握"] </pre></div> <p>攻撃者は、AI Gatewayの認可ロジックの隙を突いてトークンを不正利用するか、vLLMの柔軟なテンプレート機能を悪用して推論サーバー上でシェルコマンドを実行します。</p> <h2 class="wp-block-heading">【安全な実装と設定】</h2> <h3 class="wp-block-heading">1. vLLM：Chat Templateの制限</h3> <p>vLLMでは、ユーザーが任意のJinja2テンプレートをAPI経由で渡せる場合、サンドボックス化されていない環境でRCEが可能になります。</p> <p><strong>脆弱な設定（例：ユーザー入力をそのままテンプレートとして受け入れる）</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># APIリクエストで受け取ったtemplateをそのまま実行環境に渡すのは危険 # vLLM API server 起動時の不適切な引数 python -m vllm.entrypoints.openai.api_server --chat-template unsafe_user_input.jinja </pre> </div> <p><strong>安全な対策（例：テンプレートの固定と信頼できるソースのみの使用）</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># 1. テンプレートをローカルの読み取り専用ファイルに固定する python -m vllm.entrypoints.openai.api_server \ --chat-template ./safe_templates/vicuna-v1.1.jinja \ --disable-log-requests # 2. コンテナ実行時の最小権限（非rootユーザーでの実行） # Dockerfile内 USER vllm_user </pre> </div> <h3 class="wp-block-heading">2. GitLab AI Gateway：認可の強制</h3> <p>GitLab AI Gatewayの脆弱性は、特定の条件下で認可チェックがスキップされることに起因します。</p> <p><strong>対策：設定の確認とアップデート</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># 1. バージョンの確認（GitLab 17.0.1以降、16.11.3以降等への更新が必須） # AI Gatewayのイメージを最新にプル docker pull registry.gitlab.com/gitlab-org/model-gateway:latest # 2. 環境変数による厳格なトークン検証の有効化 # AI_GATEWAY_AUTH_RESTRICT: true (構成に応じた設定を確認) </pre> </div> <h2 class="wp-block-heading">【検出と緩和策】</h2> <h3 class="wp-block-heading">検出ポイント</h3> <ul class="wp-block-list"> <li><p><strong>vLLMログ監視</strong>: APIログ内の <code>chat_template</code> フィールドに含まれる <code>{{ ... }}</code> や <code>{% ... %}</code> の不審な構文（例：<code>__import__</code>, <code>os.popen</code> 等）をSIEMで検知。</p></li> <li><p><strong>EDR/ランタイム保護</strong>: vLLMプロセス（通常はPython）から <code>sh</code>, <code>bash</code>, <code>curl</code> 等の予期せぬ子プロセスが生成されていないかを監視。</p></li> <li><p><strong>ネットワーク監視</strong>: AIサーバーからの異常なアウトバウンド通信（C2サーバーへのビーコンやリバースシェルの挙動）を遮断。</p></li> </ul> <h3 class="wp-block-heading">応急的な緩和策（Workaround）</h3> <ul class="wp-block-list"> <li><p><strong>WAF導入</strong>: AI APIへのリクエストをWAFで検査し、Jinja2のインジェクションパターンをブロック。</p></li> <li><p><strong>ネットワーク分離</strong>: AI GatewayおよびvLLMサーバーをVPC内のプライベートサブネットに配置し、パブリックインターネットからの直接アクセスを禁止。</p></li> </ul> <h2 class="wp-block-heading">【実務上の落とし穴】</h2> <ul class="wp-block-list"> <li><p><strong>可用性への影響</strong>: vLLMのテンプレート機能を厳しく制限すると、特定のカスタムモデル（プロンプト形式が特殊なもの）が動作しなくなる「可用性低下」のリスクがあります。</p></li> <li><p><strong>誤検知（False Positive）</strong>: 正当なエンジニアリング用プロンプトにコードスニペットが含まれる場合、WAFやIDSが誤検知して開発業務を妨げる可能性があります。例外ルールの精査が必要です。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <p>組織として、以下の3点を最優先で実施してください。</p> <ol class="wp-block-list"> <li><p><strong>即時アップデート</strong>: GitLab AI GatewayおよびvLLMを、修正済みバージョン（vLLM 0.5.3以上推奨、GitLabは最新のセキュリティパッチ適用）へ更新。</p></li> <li><p><strong>テンプレートの固定</strong>: vLLMの <code>--chat-template</code> オプションに外部（API経由）からの入力を許可せず、サーバー側で管理されたファイルのみを使用する。</p></li> <li><p><strong>最小権限の徹底</strong>: AI推論プロセスを実行するユーザーから、OS操作権限や不必要なネットワークアクセス権限を剥奪する。</p></li> </ol> <hr/> <p><strong>参考文献:</strong></p> <ul class="wp-block-list"> <li><p><a href="https://about.gitlab.com/releases/2024/05/22/security-release-gitlab-17-0-1-released/">GitLab Security Release (CVE-2024-4835)</a></p></li> <li><p><a href="https://github.com/vllm-project/vllm/security/advisories">vLLM Security Advisory (GitHub)</a></p></li> <li><p><a href="https://www.jpcert.or.jp/">JPCERT/CC: 脆弱性対策情報の公開</a></p></li> </ul>

graph TD
    A["攻撃者"] -->|悪意あるリクエスト| B{"AIインフラ"}
    B -->|CVE-2024-4835| C["GitLab AI Gateway"]
    C -->|認可バイパス| D["内部モデル/機密データへアクセス"]
    B -->|CVE-2024-42230| E["vLLM API Server"]
    E -->|Jinja2 テンプレート注入| F["ホストOSでの任意コード実行"]
    F -->|横展開| G["クラウド環境の掌握"]

# APIリクエストで受け取ったtemplateをそのまま実行環境に渡すのは危険


# vLLM API server 起動時の不適切な引数

python -m vllm.entrypoints.openai.api_server --chat-template unsafe_user_input.jinja

# 1. テンプレートをローカルの読み取り専用ファイルに固定する

python -m vllm.entrypoints.openai.api_server \
    --chat-template ./safe_templates/vicuna-v1.1.jinja \
    --disable-log-requests

# 2. コンテナ実行時の最小権限（非rootユーザーでの実行）


# Dockerfile内

USER vllm_user

# 1. バージョンの確認（GitLab 17.0.1以降、16.11.3以降等への更新が必須）


# AI Gatewayのイメージを最新にプル

docker pull registry.gitlab.com/gitlab-org/model-gateway:latest

# 2. 環境変数による厳格なトークン検証の有効化


# AI_GATEWAY_AUTH_RESTRICT: true (構成に応じた設定を確認)