Les techniques clés de l'agent AI présentent désormais un défaut critique : Alerte sur la vulnérabilité 'LangChain'LangGrinch'

OffchainWinner · 2025-12-26T01:30:50+00:00

Le cadre d'agent AI LangChain découvre une vulnérabilité de sécurité grave, 'LangGrinch', permettant à un attaquant de voler des informations sensibles. La vulnérabilité est évaluée à 9.3, concerne un défaut de sérialisation, et a une portée étendue. Un correctif a déjà été publié, soulignant l'importance de la conception sécurisée des systèmes AI.

OffchainWinner

2025-12-26 01:30:50

Création du résumé en cours

Source : TokenPost Titre original : AI 요원 핵심 기술에 치명적 결함… 랭체인 ‘LangGrinch’ 경보 발령 Lien original : L’(core) de la bibliothèque clé utilisée dans les agents IA, ‘LangChain-core(langchain-core)’, a été découvert avec une vulnérabilité de sécurité grave. Ce problème a été nommé ‘LangGrinch’, permettant à un attaquant de voler des informations sensibles du système IA. Cette faille pourrait saper à long terme la sécurité de nombreuses applications IA, suscitant une alerte dans toute l’industrie.

La startup de sécurité IA Cyata Security a publié cette vulnérabilité sous le nom de CVE-2025-68664, avec un score de danger de 9.3 dans le système d’évaluation des vulnérabilités unifié (CVSS). Le problème réside dans le fait que les fonctions auxiliaires internes contenues dans le cœur de LangChain peuvent, lors de la sérialisation et de la désérialisation, considérer à tort l’entrée de l’utilisateur comme un objet de confiance. Un attaquant peut exploiter la technique de ‘prompt injection’ pour insérer une clé de marquage interne dans la sortie structurée générée par le proxy, ce qui la fait ensuite traiter comme un objet de confiance.

Le cœur de LangChain joue un rôle crucial dans de nombreux frameworks d’agents IA, avec des dizaines de millions de téléchargements au cours des 30 derniers jours, totalisant plus de 8,47 milliards de téléchargements. En tenant compte de l’ensemble de l’écosystème LangChain et de ses applications associées, l’impact de cette vulnérabilité sera extrêmement étendu.

Yarden Forrat, chercheur en sécurité chez Cyata, déclare : « Cette vulnérabilité n’est pas simplement un problème de désérialisation, mais se produit au niveau même du processus de sérialisation, ce qui est inhabituel. La manière dont les données structurées générées par des prompts IA sont stockées, transmises et restaurées expose de nouvelles surfaces d’attaque. » Cyata a confirmé 12 chemins d’attaque clairs, pouvant évoluer en plusieurs scénarios à partir d’un seul prompt.

Lorsqu’elle est déclenchée, cette attaque peut entraîner une fuite d’informations sensibles via une requête HTTP à distance, notamment des identifiants cloud, des URL d’accès à des bases de données, des informations sur des bases de vecteurs et des clés API LLM. Ce qui est particulièrement critique, c’est que cette vulnérabilité est une faille structurelle propre au cœur de LangChain, sans impliquer d’outils tiers ou d’intégrations externes. Cyata la qualifie de « menace présente dans la couche de pipeline de l’écosystème », témoignant d’une vigilance accrue.

Un correctif de sécurité a été publié séparément pour les versions 1.2.5 et 0.3.81 du cœur de LangChain. Avant de rendre publique cette vulnérabilité, Cyata a informé en amont l’équipe opérationnelle de LangChain, qui a pris des mesures immédiates et mis en œuvre un plan de renforcement de la sécurité à long terme.

Shahar Tal, co-fondateur et CEO de Cyata, déclare : « Avec le déploiement massif des systèmes IA dans les environnements industriels, les permissions et le périmètre de pouvoir finaux deviennent une question de sécurité centrale, dépassant l’exécution du code elle-même. Dans l’architecture des identifiants d’agents, la réduction des permissions et la minimisation de l’impact sont devenues des éléments de conception indispensables. »

Cet incident sera une occasion de réflexion pour l’industrie, incitant à réexaminer les bases de la sécurité dans le secteur IA, en particulier à une époque où l’automatisation par agents remplace de plus en plus l’intervention humaine.

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.

11 J'aime

Récompense
11
6
Reposter
Partager

Commentaire

0/400

ColdWalletGuardian

· Il y a 10h

Encore une grosse faille ? LangChain, c'est de la folie, vous voulez vraiment que nous continuions à l'utiliser ?

Voir l'originalRépondre0

ForeverBuyingDips

· Il y a 10h

Encore un gros piège, la vague de LangChain est vraiment difficile à supporter LangChain a encore fait des révélations ? Des informations sensibles peuvent être volées à la volée, qui l'utiliserait pour se faire du mal Si cette vulnérabilité n'est pas corrigée, combien de projets devront être reconstruits... On a l'impression que ces infrastructures Web3 sont toutes des bombes à retardement, chaque jour une surprise LangGrinch, ça sonne vraiment sinistre, c'est encore un rythme où il faut modifier le code à minuit

Voir l'originalRépondre0

RektButAlive

· Il y a 10h

Putain, LangChain a encore des problèmes, cette fois ils ont sorti un "LangGrinch"... Peut-il voler des informations sensibles ? Ce n'est pas autre chose qu'une porte dérobée pour les hackers.

Voir l'originalRépondre0

WalletDetective

· Il y a 10h

Encore une alerte de vulnérabilité de sécurité ? LangChain s'est encore planté cette fois, voler des informations sensibles, peu importe qui est concerné, ça va faire explosion --- Le nom LangGrinch est intéressant, mais il faut attendre une déclaration officielle pour savoir si c'est vrai ou non --- Mon Dieu, ces bibliothèques sont de plus en plus vulnérables, comment se fait-il que des gens osent encore utiliser massivement des AI Agents --- Qu'on parle ou non de la fiabilité de l'alerte de Cyata, si cette vulnérabilité existe vraiment, il faut rapidement appliquer un correctif --- On a l'impression que les problèmes de sécurité de Web3 et de l'IA ne rattraperont jamais la vitesse à laquelle les risques apparaissent…… --- Comment LangChain peut-il encore avoir ce genre de vulnérabilité de niveau débutant, ce n'est pas une gifle ? --- Toute l'industrie est-elle vigilante ? Je pense que la majorité des gens ne s'en soucient même pas haha --- Encore des expressions comme "tremblement à long terme", "informations sensibles", mais qui a déjà été touché ou non ?

Voir l'originalRépondre0

GasFeeTherapist

· Il y a 10h

Encore une bibliothèque de base qui fait faillite, cette fois LangChain est vraiment un peu exagéré... vérifiez rapidement si votre projet a été affecté

Voir l'originalRépondre0

MentalWealthHarvester

· Il y a 10h

Merde, une vulnérabilité a encore été découverte dans LangChain ? Est-ce encore utilisable... --- LangGrinch... un nom aussi enfantin, à quel point la vulnérabilité doit être grave --- Vraiment ? Des informations sensibles peuvent être volées ? Et nos données... --- Encore un problème de sécurité, Web3 c’est ça, on comble des failles tous les jours --- Cyata a encore une grosse nouvelle, il va faire un buzz --- Mort de rire, ils ont choisi un nom comme le Père Noël, mais ce qu’ils volent, ce sont nos données --- Alors, y a-t-il encore des bibliothèques d’IA sûres ? C’est vraiment frustrant --- Si une telle vulnérabilité est exploitée par des hackers, les conséquences seraient inimaginables --- Ça revient encore, à chaque fois ils disent "peut-être une instabilité à long terme", et après ? --- LangChain doit rapidement être corrigé, sinon tous ceux qui l’utilisent vont en pâtir

Voir l'originalRépondre0