AI代理のコア技術に致命的な欠陥：LangChainの'LangGrinch'脆弱性に関する警告

出典：TokenPost オリジナルタイトル：AIエージェンの核心技術に致命的な欠陥… ランチェーン「LangGrinch」警報発令 オリジナルリンク： AI代理運用の重要なライブラリ「LangChain core(langchain-core)」に深刻なセキュリティ脆弱性が発見されました。この問題は「LangGrinch」と命名され、攻撃者がAIシステムから機密情報を窃取できる可能性があります。この脆弱性は長期にわたり多くのAIアプリケーションの安全基盤を揺るがす恐れがあり、業界全体に警戒を呼びかけています。

AIセキュリティのスタートアップ企業Cyata Securityは、この脆弱性をCVE-2025-68664として公開し、統一脆弱性評価システム(CVSS)では危険度9.3点を付与しています。問題の核心は、LangChain coreに含まれる内部補助関数がシリアル化と逆シリアル化の過程で、ユーザー入力を信頼できるオブジェクトと誤認識する可能性がある点にあります。攻撃者は「プロンプト注入(prompt injection)」技術を利用し、内部のマークキーをエージェント生成の構造化出力に挿入し、その後信頼できるオブジェクトとして処理させることが可能です。

LangChain coreは、多くのAIエージェントフレームワークの中で重要な役割を果たしており、過去30日間のダウンロード数は数千万に達し、総ダウンロード数は8.47億回を超えています。LangChainエコシステム全体および関連アプリケーションを考慮すると、この脆弱性の影響範囲は非常に広範です。

Cyataのセキュリティ研究員Yarden Forratは次のように述べています。「この脆弱性は単なる逆シリアル化の問題ではなく、シリアル化の過程自体に発生している点が異例です。AIのプロンプト生成による構造化データの保存、伝送、後続の復元過程そのものが新たな攻撃面を露呈しています。」Cyataは、12の明確な攻撃経路を確認しており、単一のプロンプトから多様なシナリオに展開可能です。

攻撃がトリガーされると、リモートHTTPリクエストを通じて環境変数全体が漏洩し、クラウド認証情報、データベースアクセスURL、ベクトルデータベース情報、LLM APIキーなどの機密情報が含まれる可能性があります。特に重要なのは、この脆弱性がLangChain core自体に存在する構造的な欠陥であり、サードパーティツールや外部連携は関係しない点です。Cyataはこれを「エコシステムのパイプライン層に存在する脅威」と呼び、高い警戒を示しています。

この問題に対するセキュリティパッチは、LangChain coreバージョン1.2.5および0.3.81にそれぞれ公開されています。Cyataはこの問題を公表する前に、事前にLangChain運営チームに通知しており、同チームは即時対応策を講じ、長期的なセキュリティ強化策を実施しています。

Cyataの共同創業者兼CEOのShahar Talは次のように述べています。「AIシステムが産業現場に大規模に展開されるにつれ、システムが最終的に得る権限と権力範囲が、コードの実行自体を超えた重要なセキュリティ問題となっています。エージェントIDアーキテクチャにおいては、権限の削減と影響範囲の最小化が必要な設計要素となっています。」

今回の事件は、業界がセキュリティ設計の基礎を再考し、エージェントの自動化が人間の介入に取って代わる時代において、重要な反省の契機となるでしょう。