AIアシスタント「Nanobot」のWhatsApp連携コンポーネントに深刻な脆弱性

パーソナルAIアシスタント「Nanobot」において「WhatsApp」を接続するためのコンポーネントに深刻な脆弱性が明らかとなった。アップデートが提供されている。

「Nanobot」は、大規模言語モデル（LLM）を活用し、チャットやタスク実行、自動化処理などを行うエージェント型アプリケーション。香港大学（HKU）データインテリジェンス研究室のソースリポジトリにおいて公開されている。

同ソフトに含まれる「WhatsApp」と接続するためのコンポーネントにおいて、通信を行う「WebSocketサーバ」がすべてのネットワークに対して公開されており、認証が欠落している脆弱性「CVE-2026-2577」が確認された。

サーバへ接続できる場合、ユーザーの「WhatsApp」におけるセッションを乗っ取り、通信内容の盗聴やメッセージの送信が可能。認証用QRコードを取得されるおそれがある。

同脆弱性を発見、報告したTenableでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを最高値となる「10.0」と評価。重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

開発者は現地時間2026年2月13日にリリースした「同0.1.3.post7」にて脆弱性を修正しており、アップデートが呼びかけられている。

（Security NEXT - 2026/02/17 ）ツイート