RSS VentureBeat
Подписаться
7000 серверов Langflow подвергаются атаке. LangGraph и LangChain имеют те же уязвимости.
Три широко используемых фреймворка для ИИ-агентов — LangGraph, Langflow и LangChain-core — имеют критические уязвимости, позволяющие злоумышленникам удаленно выполнять код или получать доступ к конфиденциальной информации. Эти фреймворки, развернутые в качестве производственной инфраструктуры, хранят состояние агента, обрабатывают загрузку файлов, загружают конфигурации запросов и содержат критически важные учетные данные. Традиционные средства безопасности, такие как WAF и EDR, часто пропускают эти атаки, поскольку эксплойты происходят глубоко внутри кода импортируемого фреймворка.
SQL-инъекция в LangGraph (CVE-2025-67644) в его SQLite checkpointer может быть объединена с уязвимостью десериализации (CVE-2026-28277) для достижения удаленного выполнения кода путем подделки строк контрольных точек. Хотя это еще не было использовано в реальных атаках, существует общедоступный proof-of-concept, и исправления доступны в обновленных версиях. Уязвимость обхода каталога в Langflow (CVE-2026-5027) в его конечной точке загрузки файлов позволяет неаутентифицированным злоумышленникам записывать произвольные файлы, включая задания cron, что приводит к активному удаленному выполнению кода. Эта уязвимость активно эксплуатируется, тысячи экземпляров подвержены риску в сети, а патч был выпущен в апреле, что подчеркивает срочность немедленного исправления.
LangChain-core страдает от обхода каталога (CVE-2026-34070) в своем устаревшем API загрузки запросов, который позволяет злоумышленникам читать произвольные файлы, включая ключи API, в сочетании с уязвимостью десериализации (CVE-2025-68664). Эти проблемы возникают из-за распространенных ошибок безопасности приложений — SQL-инъекций, обхода каталога и небезопасной десериализации — а не из-за проблем, специфичных для ИИ, что затрудняет их обнаружение с помощью текущих практик безопасности.
Основная проблема заключается в том, что эти фреймворки стали неотъемлемыми производственными компонентами быстрее, чем были обеспечены их безопасность, часто поставляясь с небезопасными настройками по умолчанию, такими как включенный автологин. Команды безопасности часто ошибочно относят эти фреймворки ИИ-агентов к инструментам для разработчиков с низким уровнем риска, что приводит к недостаточной защите и "риску цепочки поставок в реальном времени". Неспособность устранить эти уязвимости может привести не только к инцидентам безопасности; они могут привести к "неправильным бизнес-решениям, выполняемым со скоростью машины", если произойдет отравление данных или несанкционированные действия.
Руководству необходимо понимать бизнес-последствия этих уязвимостей. Сообщение, ориентированное на руководство, должно подчеркивать, что ИИ-агенты в производстве могут предоставить злоумышленникам удаленные оболочки через известные ошибки, что исправления доступны, и что один фреймворк уже подвергается активным реальным атакам. Предоставляется контрольный список из шести вопросов для немедленных действий, сосредоточенный на проверке и исправлении уязвимостей, связанных с отравлением состояния агента, неаутентифицированной записью файлов и несанкционированным чтением файлов загрузчиками запросов. Эта срочная позиция безопасности требует немедленных обновлений, отключения небезопасных настроек по умолчанию и изоляции инструментов разработки ИИ за более строгим контролем доступа.
7,000 Langflow servers are under attack. LangGraph and LangChain have the same holes venturebeat.com
