LangChain核心库曝出严重漏洞，AI智能体机密信息面临泄露风险

人工智能安全初创公司Cyata Security Ltd.今天发布报告，详细介绍了最近在langchain-core中发现的一个严重漏洞。langchain-core是基于LangChain智能体背后的基础库，在人工智能生产环境中被广泛使用。

这个漏洞被追踪为CVE-2025-68664，绰号"LangGrinch"，通用漏洞评分系统得分为9.3分。该漏洞可能允许攻击者从受影响系统中窃取敏感机密信息，在特定条件下甚至可能升级为远程代码执行。

langchain-core位于智能体AI生态系统的核心，是无数框架和应用程序的核心依赖项。据Cyata称，公共包下载追踪器显示langchain-core的总下载量约为8.47亿次，在过去30天内有数千万次下载。更广泛的LangChain包每月约有9800万次下载，突显了这个存在漏洞的组件在现代AI工作流程中的深度嵌入程度。

LangGrinch漏洞的成因

LangGrinch漏洞源于langchain-core内置辅助函数中的序列化和反序列化注入漏洞。攻击者可以通过提示注入引导AI智能体生成包含LangChain内部标记键的精心构造的结构化输出来利用该漏洞。由于标记键在序列化过程中没有得到适当的转义处理，数据后续可能被反序列化并被解释为可信的LangChain对象，而不是不可信的用户输入。

Cyata安全研究员Yarden Porat解释说："这个发现的有趣之处在于，漏洞存在于序列化路径中，而不是反序列化路径中。在智能体框架中，提示下游产生的结构化数据通常会被持久化、流式传输并在稍后重建。这创造了一个从单个提示就能触及的惊人大的攻击面。"

一旦漏洞被触发，它可能导致通过出站HTTP请求完全泄露环境变量。暴露的信息可能包括云服务提供商凭证、数据库和检索增强生成（RAG）连接字符串、向量数据库机密以及大语言模型应用程序编程接口密钥。

攻击路径和影响范围

Cyata的研究人员识别出了12种不同的可达攻击流程，突出了智能体的常规操作（如持久化、流式传输和重建结构化数据）如何无意中开启攻击路径。

值得注意的是，该漏洞存在于langchain-core本身，不依赖于第三方工具、集成或连接器。Cyata强调，这使得该缺陷特别危险，因为它位于该公司所描述的生态系统"管道层"中，被许多生产系统持续使用。

补丁和修复建议

现在langchain-core版本1.2.5和0.3.81中已经提供了补丁，Cyata敦促组织立即更新。在公开详细信息之前，Cyata向LangChain维护者进行了道德披露，Cyata称赞他们采取了果断的修复措施和超越即时修复的安全加固步骤。

Cyata联合创始人兼首席执行官Shahar Tal表示："随着智能体投入生产，安全问题从'我们运行什么代码'转变为'这个系统最终行使什么有效权限'。对于智能体身份，你需要严格的默认设置、清晰的边界，以及在出现问题时减少爆炸半径的能力。"

Q&A

Q1：LangGrinch漏洞是什么，为什么如此严重？

A：LangGrinch是langchain-core库中发现的一个严重安全漏洞，编号为CVE-2025-68664，安全评分高达9.3分。该漏洞可能允许攻击者窃取系统中的敏感机密信息，包括云服务凭证、数据库连接字符串和API密钥，在特定条件下甚至可能升级为远程代码执行。

Q2：LangGrinch漏洞的攻击原理是什么？

A：该漏洞源于langchain-core序列化和反序列化功能中的注入漏洞。攻击者通过提示注入引导AI智能体生成包含LangChain内部标记键的恶意结构化输出。由于标记键未得到正确转义处理，恶意数据被反序列化时会被系统误认为可信对象而不是用户输入。

Q3：如何防护LangGrinch漏洞？

A：组织应立即将langchain-core更新到版本1.2.5或0.3.81，这些版本已包含安全补丁。由于langchain-core是众多AI应用的核心依赖库，拥有数亿次下载量，因此及时更新对于保护AI智能体系统的安全至关重要。