7,000 台 Langflow 服务器正遭受攻击。LangGraph 和 LangChain 存在相同的漏洞。
三种广泛使用的 AI 代理框架——LangGraph、Langflow 和 LangChain-core——存在关键漏洞,攻击者可借此实现远程代码执行或获取敏感信息。这些框架作为生产基础设施部署,用于存储代理状态、处理文件上传、加载提示词配置并保存关键凭证。传统安全工具(如 WAF 和 EDR)往往无法检测此类攻击,因为利用代码深嵌于导入的框架代码之中。
LangGraph 的 SQLite 检查点器中存在 SQL 注入漏洞(CVE-2025-67644),该漏洞可与反序列化缺陷(CVE-2026-28277)结合,通过伪造检查点行实现远程代码执行。尽管尚未在野外被利用,但已存在公开的 PoC,且更新版本已提供修复方案。Langflow 的文件上传端点存在路径遍历漏洞(CVE-2026-5027),允许未认证的攻击者写入任意文件,包括 cron 任务,从而导致活跃的远程代码执行。该漏洞正被积极利用,已有数千个实例暴露于互联网,补丁已于今年 4 月发布,凸显了立即打补丁的紧迫性。
LangChain-core 在其遗留的提示词加载 API 中存在路径遍历漏洞(CVE-2026-34070),当与反序列化漏洞(CVE-2025-68664)结合时,攻击者可读取任意文件,包括 API 密钥。这些问题源于常见的应用程序安全缺陷——SQL 注入、路径遍历和不安全的反序列化,而非 AI 特有的问题,因此难以用当前的安全实践加以检测。
核心问题在于,这些框架作为关键生产组件的集成速度远快于其安全加固进程,常以不安全的默认配置(如启用自动登录)发布。安全团队经常将这些 AI 代理框架误判为低风险开发工具,导致防护不足,形成“实时供应链风险”。若不及时修复这些漏洞,后果将不止于安全事件;若出现投毒数据或未授权操作,甚至可能导致“以机器速度执行的错误商业决策”。
董事会需理解这些漏洞带来的业务后果。面向董事会的沟通应强调:生产环境中的 AI 代理框架可通过已知漏洞赋予攻击者远程 shell;补丁已可用;且其中一个框架正遭受活跃的实战攻击。本文提供了一份六项问题清单,用于立即行动,重点在于验证并修复与代理状态投毒、未认证文件写入以及提示词加载器未授权文件读取相关的漏洞。这种紧迫的安全态势要求立即升级、禁用不安全默认配置,并将 AI 开发工具置于更严格的访问控制之后。
7,000 Langflow servers are under attack. LangGraph and LangChain have the same holes venturebeat.com
