Sicherheitsforscher haben drei gravierende Schwachstellen in den beliebten Open-Source-Frameworks LangChain und LangGraph offengelegt. Bei Ausnutzung koennen Angreifer Dateien aus dem Dateisystem auslesen, Umgebungsgeheimnisse exfiltrieren und vertrauliche Chatverlaeufe einsehen. Die Faelle zeigen deutlich, dass Infrastrukturen fuer Kuenstliche Intelligenz denselben klassischen IT-Sicherheitsrisiken unterliegen wie andere Unternehmensanwendungen.
LangChain und LangGraph als kritische Basiskomponenten fuer LLM-Anwendungen
LangChain und LangGraph dienen als Standardbausteine fuer Anwendungen mit grossen Sprachmodellen (LLM). LangChain koppelt Sprachmodelle an externe Datenquellen, Tools und APIs, waehrend LangGraph darauf aufbaut und komplexe, verzweigte Agenten-Workflows erleichtert. Damit bilden beide Frameworks in vielen KI-Projekten das Rueckgrat der Orchestrierung.
Nach Zahlen des Python Package Index (PyPI) verzeichnete LangChain allein in einer Woche ueber 52 Millionen Downloads, LangChain-Core mehr als 23 Millionen und LangGraph rund 9 Millionen. Diese hohe Verbreitung bedeutet, dass jede Schwachstelle im Kerncode potenziell Tausende von LLM-Anwendungen weltweit betrifft und sich wie ein Dominoeffekt durch die KI-Oekosysteme zieht.
Drei Angriffsvektoren: Dateien, Geheimnisse und Chat-Historien
Angriff auf Dateisystem und Container-Konfigurationen
Eine der entdeckten Schwachstellen ermoeglicht das Auslesen beliebiger Dateien auf dem Server, einschliesslich sensibler Konfigurationsdateien von Docker-Containern und Orchestrierungsumgebungen. In Kubernetes- oder Container-Setups koennen so z.B. Service-Account-Tokens, interne Endpunkte oder Netzwerk-Topologien sichtbar werden, was Lateral Movement und Privilegienausweitung im Cluster erleichtert.
Prompt Injection und Diebstahl von Umgebungsgeheimnissen
Die zweite Klasse von Problemen betrifft Prompt Injection, also die Manipulation von Eingaben an das Sprachmodell. Unsichere LangChain-Konfigurationen koennen dazu fuehren, dass ein Angreifer die LLM-Instanz dazu bringt, Umgebungsvariablen, API-Schluessel oder Zugangsdaten zu externen Systemen preiszugeben. In Unternehmensumgebungen bedroht dies insbesondere Cloud-Ressourcen, Datenbanken und interne Microservices, wie es auch die OWASP-Risiken fuer LLM-Anwendungen hervorheben.
Offenlegung von Konversationen und sensiblen Workflows
Der dritte Angriffsweg zielt auf die Historie von Benutzerdialogen und den Kontext laufender Workflows. Werden LLMs fuer Support-Tickets, interne Wissensabfragen oder die Verarbeitung vertraulicher Dokumente eingesetzt, kann ein solcher Zugriff zu Verlust personenbezogener Daten, Geschaeftsgeheimnisse und anderer schutzbeduerftiger Informationen fuehren. Neben operativen Schaeden drohen hier regulatorische Konsequenzen, etwa im Rahmen der DSGVO.
CVE-2025-68664 „LangGrinch“ und weitere LLM-Sicherheitsvorfaelle
Eine der Schwachstellen wird als CVE-2025-68664 gefuehrt und traegt den inoffiziellen Namen LangGrinch. Laut den veraoffentlichten Analysen wurde die Luecke in aktualisierten Versionen von LangChain und LangGraph geschlossen; Unternehmen sollten ihre Installationen daher umgehend auf den neuesten Stand bringen, um Angriffsfenster zu minimieren.
Parallel dazu sorgt eine kritische Luecke in Langflow (CVE-2026-33017, CVSS 9,3) fuer Aufmerksamkeit, die weniger als 20 Stunden nach oeffentlicher Offenlegung aktiv ausgenutzt worden sein soll. Der zugrunde liegende Designfehler – nicht authentifizierte HTTP-Endpunkte mit der Faehigkeit zur Ausfuehrung beliebigen Codes – entspricht dem Muster, das bereits bei CVE-2025-3248 beobachtet wurde und klassisch mit vollstaendiger Systemkompromittierung in Verbindung gebracht wird.
Systemische Risiken im KI-Stack: Abhaengigkeiten und Supply-Chain-Effekte
LangChain fungiert als zentrale Abhaengigkeit fuer Hunderte von Bibliotheken, Integrationen und Low-Code-Tools im KI-Umfeld. Aehnlich wie bei frueheren Supply-Chain-Vorfaellen in der IT-Sicherheit bedeutet dies: Eine einzige Schwachstelle im Kernmodul kann über transitive Abhaengigkeiten eine grosse Anzahl nachgelagerter Anwendungen indirekt verwundbar machen.
Fuer Organisationen folgt daraus, dass Sicherheit von LLM- und KI-Anwendungen integraler Bestandteil der gesamten Cybersecurity-Strategie sein muss. Dazu gehoeren ein aktuelles Inventar aller Bibliotheken, das kontinuierliche Monitoring neuer CVEs, automatisierte Patch-Prozesse sowie die regelmaessige Ueberpruefung von Berechtigungen, Netzwerkexposition und Konfiguration – insbesondere bei oeffentlich erreichbaren Endpunkten.
Best Practices: Wie Unternehmen LangChain- und LangGraph-Risiken reduzieren
Um die Angriffsflaeche in LLM-Deployments zu minimieren, sollten Container und Service-Accounts konsequent nach dem Prinzip der geringsten Privilegien konfiguriert und Dateisystemzugriffe strikt eingeschraenkt werden. Geheimnisse wie Tokens und Schluessel gehoeren in spezialisierte Secret-Management-Loesungen (z.B. Vault), nicht in Umgebungsvariablen breit zugaenglicher Dienste.
Zusaetzlich sollten Unternehmen den Datenumfang begrenzen, auf den LLM-Tools zugreifen koennen, Prompt-Eingaenge filtern und validieren sowie technische und organisatorische Schutzmassnahmen gegen Prompt Injection etablieren. Automatisierte Schwachstellen-Scans, Software-Composition-Analysis (SCA), regelmaessige Architektur-Reviews und Schulungen zur sicheren LLM-Entwicklung helfen, Fehlkonfigurationen fruehzeitig zu erkennen und zu beheben.
Die aktuellen Schwachstellen in LangChain, LangGraph und Langflow verdeutlichen, dass KI-Infrastrukturen kein Sonderfall, sondern ein weiterer Teil der unternehmenskritischen IT-Landschaft sind. Organisationen, die LLMs produktiv einsetzen oder pilotieren, sollten jetzt ihre Architektur, Abhaengigkeiten und Sicherheitsprozesse systematisch ueberpruefen, zeitnah auf gepatchte Versionen aktualisieren und Sicherheit von Anfang an als festen Bestandteil jeder KI-Initiative verankern.
