2026年4月、AI推論ツールキット「LMDeploy」に深刻なSSRFの脆弱性（CVE-2026-33626）が公開されました。Sysdig Threat Research Team（TRT）は、アドバイザリ公開からわずか12時間31分で最初の悪用を観測しました。

攻撃の概要と特徴

• 高速な武器化: 公開された概念実証（PoC）がない状態でも、攻撃者はアドバイザリの詳細情報からわずか数時間でエクスプロイトを構築しました。

• AI機能を悪用: 視覚言語モデルの「画像読み込み機能」を悪用し、内部ネットワークへのポートスキャンを実行。AWSの認証情報（IMDS）、Redis、MySQL、管理インターフェースを標的に偵察を行いました。

• 3段階の攻撃: クラウドメタデータの窃取試行、アウトオブバンド（OOB）通信による疎通確認、管理プレーンの探索をわずか8分間のセッションで完結させました。

防御側の対策

AIインフラの脆弱性は公開後即座に攻撃対象となります。最新版への更新に加え、IMDSv2の強制、VPCレベルでの外向き通信制限、およびシステムコールを監視するランタイム検知（Falco等）の導入が不可欠です。