📰 ИИ-фреймворки дырявее решета: LangChain, LangGraph и Langflow под ударом — 7000 серверов уже вскрыты
Твой ИИ-агент сделал ровно то, для чего его запрограммировали. А фреймворк под ним только что передал атакующему полный доступ к серверу, где лежат твой OpenAI-ключ, логины от базы данных и токены CRM.
Это не гипотетика. За несколько месяцев три самых популярных фреймворка для ИИ-агентов превратили обычный, известный баг в дыру насквозь. Check Point Research связала SQL-инъекцию в LangGraph с полным удаленным выполнением кода. Tenable и VulnCheck отследили path traversal в эндпоинте загрузки файлов Langflow — активная эксплуатация в дикой природе, RCE на выходе. Cyera задокументировала path traversal в загрузчике промптов LangChain-core — считывает твои секреты с диска. Два пути к шеллу, один — к ключам. Одна и та же уязвимость в трех разных обертках.
Эти фреймворки стали продакшен-инфраструктурой быстрее, чем кто-либо успел их обезопасить. Они хранят состояние агента, принимают загрузку файлов, подгружают конфиги промптов и держат учетки к базам, CRM и внутренним API. Инструменты периметра следят за трафиком. Средства защиты конечных точек — за процессами. Ни те, ни другие не проектировались так, чтобы считать импортированный фреймворк независимой границей, которую надо оборонять. И именно в этой слепой зоне живут все три цепочки, шириной с каждую неделю, пока фреймворки уходят в продакшен.
LangGraph: SQL-инъекция, ведущая к Python-шеллу
Начнем с того, который большинство команд затащили в прод в этом квартале. LangGraph дает ИИ-агентам память через чекпоинтеры — слой персистентности, хранящий состояние выполнения. У фреймворка — под 50 миллионов загрузок в месяц. Ярден Порат из Check Point Research разобрал этот слой и нашел три уязвимости. Две из них сцепляются в RCE.
CVE-2025-67644, CVSS 7.3 — SQL-инъекция в SQLite-чекпоинтере. Функция, которая строит WHERE-клаузу для поиска чекпоинтов, вставляет контролируемые пользователем ключи фильтра прямо в запрос — без параметризации, без экранирования. Это бьет не по всем: деплой уязвим, когда вы сами хостите LangGraph на SQLite или Redis-чекпоинтере и позволяете непроверенному вводу добраться до get_state_history() или аналогичного эндпоинта истории. Если условия соблюдены, атакующий, контролирующий фильтр, пишет поддельную строку прямо в таблицу чекпоинтов. На управляемой платформе LangSmith от LangChain на PostgreSQL — экспозиция снимается.
Затем CVE-2026-28277, CVSS 6.8, добивает. Msgpack-декодер чекпоинтов LangGraph восстанавливает Python-объекты из сохраненных данных — а значит может импортировать модуль и вызвать поименованную функцию с аргументами атакующего. Для этого нужен доступ на запись в хранилище чекпоинтов — и SQL-инъекция как раз дает его удаленно. LangGraph загружает поддельную строку как легитимный чекпоинт, декодер запускает указанную функцию (включая os.system), и код выполняется от имени сервера агента. Третья проблема — CVE-2026-27022, CVSS 6.5 — ведет к тому же через Redis-чекпоинтер.
Подтвержденной эксплуатации в дикой природе пока нет. Рабочий PoC — публичен в раскрытии Check Point. Фиксы — бамп версий: langgraph-checkpoint-sqlite до 3.0.1, langgraph до 1.0.10, langgraph-checkpoint-redis до 1.0.2.
Langflow: один неаутентифицированный запрос до RCE
Langflow — тот, на который уже нападают. CVE-2026-5027, CVSS 8.8 — path traversal в эндпоинте POST /api/v2/files....
🔗 Полный текст статьи читайте у нас на сайте: Читать на TechLoot
📢 ТехноЛут
