Ключевая технология AI-агентов сталкивается с критической уязвимостью: предупреждение о уязвимости LangChain'LangGrinch'

Источник: TokenPost Оригинальный заголовок: Ключевая технология AI-агентов имеет критическую уязвимость… Вызвано предупреждение о LangChain ‘LangGrinch’ Оригинальная ссылка: Уязвимость в критической библиотеке использования AI-агентов ‘langchain-core(langchain-core)’ была обнаружена с серьезными проблемами безопасности. Эта проблема получила название ‘LangGrinch’ и позволяет злоумышленникам похищать конфиденциальную информацию из AI-систем. Эта уязвимость может долгое время подрывать безопасность множества AI-приложений, вызвав тревогу всей отрасли.

Стартап по безопасности AI Cyata Security обнародовал эту уязвимость как CVE-2025-68664 и присвоил ей уровень опасности 9.3 по системе оценки уязвимостей (CVSS). Основная проблема заключается в том, что внутренние вспомогательные функции, содержащиеся в ядре LangChain, могут при сериализации и десериализации ошибочно считать пользовательский ввод доверенными объектами. Злоумышленники могут использовать технику ‘prompt injection(prompt injection)’, чтобы вставить внутренние маркерные ключи в структурированный вывод, сгенерированный агентом, что впоследствии приведет к его обработке как доверенного объекта.

Ядро LangChain играет ключевую роль во многих фреймворках AI-агентов, за последние 30 дней его загрузки достигли десятков миллионов, а общий объем загрузок превысил 847 миллионов. Учитывая всю экосистему LangChain и связанные с ней приложения, масштаб воздействия этой уязвимости будет чрезвычайно широким.

Исследователь безопасности Cyata, Yarden Forrat, заявил: “Эта уязвимость — не просто проблема десериализации, а происходит в самом процессе сериализации, что необычно. Хранение, передача и последующее восстановление структурированных данных, созданных AI-подсказками, сами по себе создают новые поверхности атаки.” Cyata подтвердил наличие 12 четких путей атаки, которые могут развиваться из одного подсказки в различные сценарии.

При активации атаки можно через удаленный HTTP-запрос вызвать утечку всех переменных окружения, включая облачные учетные данные, URL-адреса доступа к базам данных, информацию о векторных базах данных и API-ключи LLM. Особенно важно, что эта уязвимость — структурный дефект, возникающий только в самом ядре LangChain, без участия сторонних инструментов или внешних интеграций. Cyata называет это “угрозой, существующей в слое пайплайна экосистемы”, выражая высокую тревогу.

Безопасные исправления для устранения этой проблемы были выпущены для версий LangChain 1.2.5 и 0.3.81. Перед публикацией Cyata заранее уведомила команду поддержки LangChain, которая приняла немедленные меры и реализовала долгосрочные планы по усилению безопасности.

Соучредитель и генеральный директор Cyata, Shahar Tal, заявил: “По мере масштабирования систем AI в промышленности, конечные права и полномочия системы становятся ключевыми вопросами безопасности, выходящими за рамки самого выполнения кода. В архитектуре агентских идентификаторов снижение привилегий и минимизация воздействия стали необходимыми элементами дизайна.”

Этот инцидент станет поводом для отраслевых размышлений, побуждая переосмыслить основы безопасного проектирования в AI-индустрии, особенно в эпоху автоматизации агентов, все больше заменяющих человеческое вмешательство.