人工智能安全初创公司Cyata Security Ltd.今天发布报告,详细介绍了最近在langchain-core中发现的一个严重漏洞。langchain-core是基于LangChain智能体背后的基础库,在人工智能生产环境中被广泛使用。
这个漏洞被追踪为CVE-2025-68664,绰号"LangGrinch",通用漏洞评分系统得分为9.3分。该漏洞可能允许攻击者从受影响系统中窃取敏感机密信息,在特定条件下甚至可能升级为远程代码执行。
langchain-core位于智能体AI生态系统的核心,是无数框架和应用程序的核心依赖项。据Cyata称,公共包下载追踪器显示langchain-core的总下载量约为8.47亿次,在过去30天内有数千万次下载。更广泛的LangChain包每月约有9800万次下载,突显了这个存在漏洞的组件在现代AI工作流程中的深度嵌入程度。
LangGrinch漏洞的成因
LangGrinch漏洞源于langchain-core内置辅助函数中的序列化和反序列化注入漏洞。攻击者可以通过提示注入引导AI智能体生成包含LangChain内部标记键的精心构造的结构化输出来利用该漏洞。由于标记键在序列化过程中没有得到适当的转义处理,数据后续可能被反序列化并被解释为可信的LangChain对象,而不是不可信的用户输入。
Cyata安全研究员Yarden Porat解释说:"这个发现的有趣之处在于,漏洞存在于序列化路径中,而不是反序列化路径中。在智能体框架中,提示下游产生的结构化数据通常会被持久化、流式传输并在稍后重建。这创造了一个从单个提示就能触及的惊人大的攻击面。"
一旦漏洞被触发,它可能导致通过出站HTTP请求完全泄露环境变量。暴露的信息可能包括云服务提供商凭证、数据库和检索增强生成(RAG)连接字符串、向量数据库机密以及大语言模型应用程序编程接口密钥。
攻击路径和影响范围
Cyata的研究人员识别出了12种不同的可达攻击流程,突出了智能体的常规操作(如持久化、流式传输和重建结构化数据)如何无意中开启攻击路径。
值得注意的是,该漏洞存在于langchain-core本身,不依赖于第三方工具、集成或连接器。Cyata强调,这使得该缺陷特别危险,因为它位于该公司所描述的生态系统"管道层"中,被许多生产系统持续使用。
补丁和修复建议
现在langchain-core版本1.2.5和0.3.81中已经提供了补丁,Cyata敦促组织立即更新。在公开详细信息之前,Cyata向LangChain维护者进行了道德披露,Cyata称赞他们采取了果断的修复措施和超越即时修复的安全加固步骤。
Cyata联合创始人兼首席执行官Shahar Tal表示:"随着智能体投入生产,安全问题从'我们运行什么代码'转变为'这个系统最终行使什么有效权限'。对于智能体身份,你需要严格的默认设置、清晰的边界,以及在出现问题时减少爆炸半径的能力。"
Q&A
Q1:LangGrinch漏洞是什么,为什么如此严重?
A:LangGrinch是langchain-core库中发现的一个严重安全漏洞,编号为CVE-2025-68664,安全评分高达9.3分。该漏洞可能允许攻击者窃取系统中的敏感机密信息,包括云服务凭证、数据库连接字符串和API密钥,在特定条件下甚至可能升级为远程代码执行。
Q2:LangGrinch漏洞的攻击原理是什么?
A:该漏洞源于langchain-core序列化和反序列化功能中的注入漏洞。攻击者通过提示注入引导AI智能体生成包含LangChain内部标记键的恶意结构化输出。由于标记键未得到正确转义处理,恶意数据被反序列化时会被系统误认为可信对象而不是用户输入。
Q3:如何防护LangGrinch漏洞?
A:组织应立即将langchain-core更新到版本1.2.5或0.3.81,这些版本已包含安全补丁。由于langchain-core是众多AI应用的核心依赖库,拥有数亿次下载量,因此及时更新对于保护AI智能体系统的安全至关重要。
