人工智能安全初創(chuàng)公司Cyata Security Ltd.今天發(fā)布報(bào)告，詳細(xì)介紹了最近在langchain-core中發(fā)現(xiàn)的一個(gè)嚴(yán)重漏洞。langchain-core是基于LangChain智能體背后的基礎(chǔ)庫，在人工智能生產(chǎn)環(huán)境中被廣泛使用。

這個(gè)漏洞被追蹤為CVE-2025-68664，綽號(hào)"LangGrinch"，通用漏洞評(píng)分系統(tǒng)得分為9.3分。該漏洞可能允許攻擊者從受影響系統(tǒng)中竊取敏感機(jī)密信息，在特定條件下甚至可能升級(jí)為遠(yuǎn)程代碼執(zhí)行。

langchain-core位于智能體AI生態(tài)系統(tǒng)的核心，是無數(shù)框架和應(yīng)用程序的核心依賴項(xiàng)。據(jù)Cyata稱，公共包下載追蹤器顯示langchain-core的總下載量約為8.47億次，在過去30天內(nèi)有數(shù)千萬次下載。更廣泛的LangChain包每月約有9800萬次下載，突顯了這個(gè)存在漏洞的組件在現(xiàn)代AI工作流程中的深度嵌入程度。

LangGrinch漏洞的成因

LangGrinch漏洞源于langchain-core內(nèi)置輔助函數(shù)中的序列化和反序列化注入漏洞。攻擊者可以通過提示注入引導(dǎo)AI智能體生成包含LangChain內(nèi)部標(biāo)記鍵的精心構(gòu)造的結(jié)構(gòu)化輸出來利用該漏洞。由于標(biāo)記鍵在序列化過程中沒有得到適當(dāng)?shù)霓D(zhuǎn)義處理，數(shù)據(jù)后續(xù)可能被反序列化并被解釋為可信的LangChain對象，而不是不可信的用戶輸入。

Cyata安全研究員Yarden Porat解釋說："這個(gè)發(fā)現(xiàn)的有趣之處在于，漏洞存在于序列化路徑中，而不是反序列化路徑中。在智能體框架中，提示下游產(chǎn)生的結(jié)構(gòu)化數(shù)據(jù)通常會(huì)被持久化、流式傳輸并在稍后重建。這創(chuàng)造了一個(gè)從單個(gè)提示就能觸及的驚人大的攻擊面。"

一旦漏洞被觸發(fā)，它可能導(dǎo)致通過出站HTTP請求完全泄露環(huán)境變量。暴露的信息可能包括云服務(wù)提供商憑證、數(shù)據(jù)庫和檢索增強(qiáng)生成（RAG）連接字符串、向量數(shù)據(jù)庫機(jī)密以及大語言模型應(yīng)用程序編程接口密鑰。

攻擊路徑和影響范圍

Cyata的研究人員識(shí)別出了12種不同的可達(dá)攻擊流程，突出了智能體的常規(guī)操作（如持久化、流式傳輸和重建結(jié)構(gòu)化數(shù)據(jù)）如何無意中開啟攻擊路徑。

值得注意的是，該漏洞存在于langchain-core本身，不依賴于第三方工具、集成或連接器。Cyata強(qiáng)調(diào)，這使得該缺陷特別危險(xiǎn)，因?yàn)樗挥谠摴舅枋龅纳鷳B(tài)系統(tǒng)"管道層"中，被許多生產(chǎn)系統(tǒng)持續(xù)使用。

補(bǔ)丁和修復(fù)建議

現(xiàn)在langchain-core版本1.2.5和0.3.81中已經(jīng)提供了補(bǔ)丁，Cyata敦促組織立即更新。在公開詳細(xì)信息之前，Cyata向LangChain維護(hù)者進(jìn)行了道德披露，Cyata稱贊他們采取了果斷的修復(fù)措施和超越即時(shí)修復(fù)的安全加固步驟。

Cyata聯(lián)合創(chuàng)始人兼首席執(zhí)行官Shahar Tal表示："隨著智能體投入生產(chǎn)，安全問題從'我們運(yùn)行什么代碼'轉(zhuǎn)變?yōu)?這個(gè)系統(tǒng)最終行使什么有效權(quán)限'。對于智能體身份，你需要嚴(yán)格的默認(rèn)設(shè)置、清晰的邊界，以及在出現(xiàn)問題時(shí)減少爆炸半徑的能力。"

Q&A

Q1：LangGrinch漏洞是什么，為什么如此嚴(yán)重？

A：LangGrinch是langchain-core庫中發(fā)現(xiàn)的一個(gè)嚴(yán)重安全漏洞，編號(hào)為CVE-2025-68664，安全評(píng)分高達(dá)9.3分。該漏洞可能允許攻擊者竊取系統(tǒng)中的敏感機(jī)密信息，包括云服務(wù)憑證、數(shù)據(jù)庫連接字符串和API密鑰，在特定條件下甚至可能升級(jí)為遠(yuǎn)程代碼執(zhí)行。

Q2：LangGrinch漏洞的攻擊原理是什么？

A：該漏洞源于langchain-core序列化和反序列化功能中的注入漏洞。攻擊者通過提示注入引導(dǎo)AI智能體生成包含LangChain內(nèi)部標(biāo)記鍵的惡意結(jié)構(gòu)化輸出。由于標(biāo)記鍵未得到正確轉(zhuǎn)義處理，惡意數(shù)據(jù)被反序列化時(shí)會(huì)被系統(tǒng)誤認(rèn)為可信對象而不是用戶輸入。

Q3：如何防護(hù)LangGrinch漏洞？

A：組織應(yīng)立即將langchain-core更新到版本1.2.5或0.3.81，這些版本已包含安全補(bǔ)丁。由于langchain-core是眾多AI應(yīng)用的核心依賴庫，擁有數(shù)億次下載量，因此及時(shí)更新對于保護(hù)AI智能體系統(tǒng)的安全至關(guān)重要。