Исследователи в области кибербезопасности обнаружили три серьёзные уязвимости в популярных открытых фреймворках LangChain и LangGraph. Каждая из них открывает злоумышленникам самостоятельный путь к корпоративным данным — файлам на диске, ключам API, хранящимся в переменных окружения, и истории переписок с языковыми моделями. Отчёт об этих проблемах был опубликован компанией Cyera в четверг, а автором находок выступил исследователь безопасности Владимир Токарев.
Масштаб потенциального ущерба трудно переоценить, если посмотреть на цифры загрузок с Python Package Index только за последнюю неделю: LangChain скачали более 52 миллионов раз, LangChain-Core — свыше 23 миллионов, LangGraph — более 9 миллионов. Это фундаментальные компоненты, от которых зависят сотни сторонних библиотек, обёрток и интеграций. Как указано в отчёте Cyera, «LangChain не существует изолированно. Он находится в центре огромной паутины зависимостей, которая пронизывает весь стек AI... Когда уязвимость появляется в ядре LangChain, она затрагивает не только прямых пользователей. Она расходится волнами через каждую нижестоящую библиотеку...».
Первая уязвимость — обход пути (path traversal) — найдена в файле
Вторая уязвимость получила идентификатор CVE-2025-68664, оценку CVSS 9.3 и собственное имя — LangGrinch (название придумано командой компании Cyata, которая поделилась деталями в декабре 2025 года). Проблема связана с десериализацией недоверенных данных в LangChain. Злоумышленник может заставить приложение интерпретировать вредоносный ввод как уже сериализованный объект LangChain, что приводит к утечке ключей API и секретов окружения. Патч вышел в версиях langchain-core 0.3.81 и 1.2.5.
Третья уязвимость — CVE-2025-67644 с оценкой CVSS 7.3 — представляет собой SQL-инъекцию в реализации контрольных точек SQLite внутри LangGraph. Через ключи фильтров метаданных атакующий может манипулировать SQL-запросами и выполнять произвольные команды к базе данных, получая доступ к полной истории диалогов пользователей с AI-системой. Исправление доступно в langgraph-checkpoint-sqlite версии 3.0.1. «Каждая уязвимость раскрывает отдельный класс корпоративных данных: файлы файловой системы, секреты окружения и историю переписок», — пояснил Владимир Токарев.
Контекст этих находок становится ещё тревожнее, если вспомнить о недавних проблемах в Langflow — визуальном конструкторе на базе LangChain. Критическая уязвимость CVE-2026-33017 (CVSS 9.3) позволяла извлекать конфиденциальные данные из сред разработчиков. Она оказалась под активной эксплуатацией всего через 20 часов после публичного раскрытия. Ещё одна уязвимость — CVE-2025-3248 — имеет ту же корневую причину: незащищённые эндпоинты, позволяющие выполнять произвольный код без аутентификации.
Навин Сункавалли, главный архитектор , обращает внимание на более широкую проблему. «AI-сантехника» — инфраструктурный код, который связывает модели, базы данных и API, — оказывается уязвима перед классическими атаками, известными десятилетиями: path traversal, SQL-инъекции, небезопасная десериализация. Разработчики AI-приложений, увлечённые возможностями больших языковых моделей, нередко забывают о базовых принципах безопасности, и злоумышленники пользуются этим почти мгновенно.
Скорость, с которой эксплуатируются подобные бреши, не оставляет времени на раздумья. Двадцать часов от публикации CVE до первых атак «в дикой природе» — это не теоретическая угроза, а жёсткая реальность. Всем, кто использует LangChain, LangGraph или зависимые от них инструменты, стоит обновиться до исправленных версий прямо сейчас, если это не сделано.
Изображение носит иллюстративный характер
Масштаб потенциального ущерба трудно переоценить, если посмотреть на цифры загрузок с Python Package Index только за последнюю неделю: LangChain скачали более 52 миллионов раз, LangChain-Core — свыше 23 миллионов, LangGraph — более 9 миллионов. Это фундаментальные компоненты, от которых зависят сотни сторонних библиотек, обёрток и интеграций. Как указано в отчёте Cyera, «LangChain не существует изолированно. Он находится в центре огромной паутины зависимостей, которая пронизывает весь стек AI... Когда уязвимость появляется в ядре LangChain, она затрагивает не только прямых пользователей. Она расходится волнами через каждую нижестоящую библиотеку...».
Первая уязвимость — обход пути (path traversal) — найдена в файле
langchain_core/prompts/loading.py. Суть в том, что API загрузки шаблонов промптов не проверяет входные данные должным образом. Подставив специально сформированный шаблон, атакующий получает доступ к произвольным файлам на сервере, включая конфигурации Docker и другие чувствительные данные, которые обычно не должны покидать пределы хост-машины. Вторая уязвимость получила идентификатор CVE-2025-68664, оценку CVSS 9.3 и собственное имя — LangGrinch (название придумано командой компании Cyata, которая поделилась деталями в декабре 2025 года). Проблема связана с десериализацией недоверенных данных в LangChain. Злоумышленник может заставить приложение интерпретировать вредоносный ввод как уже сериализованный объект LangChain, что приводит к утечке ключей API и секретов окружения. Патч вышел в версиях langchain-core 0.3.81 и 1.2.5.
Третья уязвимость — CVE-2025-67644 с оценкой CVSS 7.3 — представляет собой SQL-инъекцию в реализации контрольных точек SQLite внутри LangGraph. Через ключи фильтров метаданных атакующий может манипулировать SQL-запросами и выполнять произвольные команды к базе данных, получая доступ к полной истории диалогов пользователей с AI-системой. Исправление доступно в langgraph-checkpoint-sqlite версии 3.0.1. «Каждая уязвимость раскрывает отдельный класс корпоративных данных: файлы файловой системы, секреты окружения и историю переписок», — пояснил Владимир Токарев.
Контекст этих находок становится ещё тревожнее, если вспомнить о недавних проблемах в Langflow — визуальном конструкторе на базе LangChain. Критическая уязвимость CVE-2026-33017 (CVSS 9.3) позволяла извлекать конфиденциальные данные из сред разработчиков. Она оказалась под активной эксплуатацией всего через 20 часов после публичного раскрытия. Ещё одна уязвимость — CVE-2025-3248 — имеет ту же корневую причину: незащищённые эндпоинты, позволяющие выполнять произвольный код без аутентификации.
Навин Сункавалли, главный архитектор , обращает внимание на более широкую проблему. «AI-сантехника» — инфраструктурный код, который связывает модели, базы данных и API, — оказывается уязвима перед классическими атаками, известными десятилетиями: path traversal, SQL-инъекции, небезопасная десериализация. Разработчики AI-приложений, увлечённые возможностями больших языковых моделей, нередко забывают о базовых принципах безопасности, и злоумышленники пользуются этим почти мгновенно.
Скорость, с которой эксплуатируются подобные бреши, не оставляет времени на раздумья. Двадцать часов от публикации CVE до первых атак «в дикой природе» — это не теоретическая угроза, а жёсткая реальность. Всем, кто использует LangChain, LangGraph или зависимые от них инструменты, стоит обновиться до исправленных версий прямо сейчас, если это не сделано.
