RSS VentureBeat
フォロー
7,000台のLangflowサーバーが攻撃を受けています。LangGraphとLangChainには同じ脆弱性があります。
広く使用されている3つのAIエージェントフレームワーク、LangGraph、Langflow、LangChain-coreには、攻撃者がリモートコード実行や機密情報へのアクセスを可能にする重大な脆弱性が存在します。本番インフラストラクチャとして展開されているこれらのフレームワークは、エージェントの状態を保存し、ファイルのアップロードを処理し、プロンプト構成をロードし、重要な認証情報を保持します。WAFやEDRのような従来のセキュリティツールは、これらのエクスプロイトがインポートされたフレームワークコードの奥深くで発生するため、しばしばこれらの攻撃を見逃します。
LangGraphのSQLiteチェッカーにおけるSQLインジェクション(CVE-2025-67644)は、デシリアライゼーションの不具合(CVE-2026-28277)と連鎖させることで、チェッカー行を偽造することによってリモートコード実行を達成できます。まだ実世界で悪用されていませんが、公開されている概念実証が存在し、更新されたバージョンで修正が利用可能です。Langflowのファイルアップロードエンドポイントにおけるパス・トラバーサル脆弱性(CVE-2026-5027)は、認証されていない攻撃者がcronジョブを含む任意のファイルを書き込むことを可能にし、アクティブなリモートコード実行につながります。この不具合は積極的に悪用されており、数千のインスタンスがオンラインで公開されており、4月にパッチがリリースされたことは、即時のパッチ適用を急ぐ必要性を強調しています。
LangChain-coreは、レガシーなプロンプト読み込みAPIにおけるパス・トラバーサル(CVE-2026-34070)に苦しんでおり、デシリアライゼーションの脆弱性(CVE-2025-68664)と組み合わせると、攻撃者がAPIキーを含む任意のファイルを読み取ることができます。これらの問題は、一般的なアプリケーションセキュリティのバグ、つまりSQLインジェクション、パス・トラバーサル、および安全でないデシリアライゼーションに起因しており、AI固有の問題ではないため、現在のセキュリティプラクティスでは検出が困難です。
根本的な問題は、これらのフレームワークが、しばしば自動ログインが有効になっているような安全でないデフォルト設定で出荷され、セキュリティが確保されるよりも早く、不可欠な本番コンポーネントになったことです。セキュリティチームは、これらのAIエージェントフレームワークを低リスクの開発ツールとして誤って分類することが多く、不十分な保護と「リアルタイムでのサプライチェーンリスク」につながります。これらの脆弱性に対処しないと、セキュリティインシデント以上の結果につながる可能性があります。データが汚染されたり、不正なアクションが発生したりした場合、それらは「機械速度で実行される誤ったビジネス上の決定」につながる可能性があります。
取締役会は、これらの脆弱性がビジネスに与える影響を理解する必要があります。取締役会向けのメッセージは、本番環境のAIエージェントフレームワークが既知のバグを通じて攻撃者にリモートシェルを付与する可能性があること、パッチが利用可能であること、そして1つのフレームワークがすでに実世界で積極的に攻撃されていることを強調する必要があります。即時対応のための6つの質問からなるチェックリストが提供されており、エージェント状態の汚染、認証されていないファイル書き込み、およびプロンプトローダーによる不正なファイル読み取りに関連する脆弱性の検証と修正に焦点を当てています。この緊急のセキュリティ体制には、即時のアップグレード、安全でないデフォルト設定の無効化、およびAI開発ツールをより厳格なアクセス制御で隔離することが必要です。
7,000 Langflow servers are under attack. LangGraph and LangChain have the same holes venturebeat.com
