AIアシスタント「Nanobot」のWhatsApp連携コンポーネントに深刻な脆弱性

パーソナルAIアシスタント「Nanobot」において「WhatsApp」を接続するためのコンポーネントに深刻な脆弱性が明らかとなった。アップデートが提供されている。

「Nanobot」は、大規模言語モデル（LLM）を活用し、チャットやタスク実行、自動化処理などを行うエージェント型アプリケーション。香港大学（HKU）データインテリジェンス研究室のソースリポジトリにおいて公開されている。

同ソフトに含まれる「WhatsApp」と接続するためのコンポーネントにおいて、通信を行う「WebSocketサーバ」がすべてのネットワークに対して公開されており、認証が欠落している脆弱性「CVE-2026-2577」が確認された。

サーバへ接続できる場合、ユーザーの「WhatsApp」におけるセッションを乗っ取り、通信内容の盗聴やメッセージの送信が可能。認証用QRコードを取得されるおそれがある。

同脆弱性を発見、報告したTenableでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを最高値となる「10.0」と評価。重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

開発者は現地時間2026年2月13日にリリースした「同0.1.3.post7」にて脆弱性を修正しており、アップデートが呼びかけられている。

（Security NEXT - 2026/02/17 ） ツイート

PR

関連記事

「MS Edge」にアップデート - 「クリティカル」脆弱性を複数修正
米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性
メッセージブローカー「Apache ActiveMQ Artemis」に深刻な脆弱性
「Cisco Secure Firewall」に脆弱性 - 認証回避やRCEなど深刻な影響も
キヤノン複合機向けスキャンソフトに脆弱性 - アップデートを公開