Investigadores de ciberseguridad han revelado tres vulnerabilidades críticas en los frameworks LangChain y LangGraph, ampliamente utilizados para construir aplicaciones basadas en grandes modelos de lenguaje (LLM). Su explotación puede derivar en fuga de información de la filesystem, exposición de secretos de entorno y recuperación no autorizada de historiales de conversación, afectando directamente a despliegues corporativos de inteligencia artificial.
LangChain y LangGraph: piezas clave en el ecosistema de IA generativa
LangChain y LangGraph son frameworks open source diseñados para orquestar LLM con bases de datos, APIs, herramientas externas y flujos de trabajo complejos. LangChain actúa como capa fundamental de integración, mientras que LangGraph, construido sobre él, facilita la creación de agentes, flujos ramificados y automatizaciones avanzadas.
De acuerdo con estadísticas recientes de Python Package Index (PyPI), en una sola semana LangChain superó los 52 millones de descargas, langchain-core más de 23 millones y LangGraph alrededor de 9 millones. Esta adopción masiva convierte cualquier vulnerabilidad en estos componentes en un riesgo de primer orden: un fallo en el “core” puede impactar miles de aplicaciones y servicios que dependen directa o indirectamente de estos paquetes.
Tres vulnerabilidades críticas: qué datos pueden verse comprometidos
Según el investigador de Cyera Vladimir Tokarev, cada una de las vulnerabilidades identificadas expone una clase distinta de datos corporativos: archivos del sistema, secretos de entorno y contexto de conversaciones. En la práctica, se trata de tres vectores independientes para exfiltrar información sensible desde infraestructuras que utilizan LangChain.
Acceso indebido a la filesystem y configuraciones de contenedores
La primera vulnerabilidad permite a un atacante leer archivos arbitrarios en el servidor, incluidos ficheros de configuración de Docker y otros elementos internos del entorno de ejecución. En contextos donde las aplicaciones LLM se despliegan en contenedores o clústeres Kubernetes, este acceso abre la puerta a movimientos laterales y escalado de privilegios, al facilitar el descubrimiento de credenciales, topología de red y parámetros de seguridad mal configurados.
Robo de secretos mediante ataques de prompt injection
La segunda debilidad está relacionada con prompt injection, es decir, la inserción de instrucciones maliciosas en las entradas que procesa el modelo. Con cadenas LangChain configuradas de forma insegura, un atacante puede forzar al LLM a divulgar variables de entorno, claves de API y otros secretos a los que el sistema tiene acceso mediante herramientas o conectores. En entornos empresariales, esto puede desembocar en la comprometición de recursos cloud, bases de datos y servicios internos.
Exposición de historiales de conversación y flujos de trabajo sensibles
El tercer vector permite acceder a historiales de diálogos y al contexto de flujos de trabajo confidenciales. Para organizaciones que emplean LLM en atención a clientes, soporte interno o procesamiento de documentación sensible, este fallo implica un riesgo directo de fuga de datos personales, secretos comerciales e información regulada, con potencial impacto legal y reputacional.
CVE-2025-68664 (LangGrinch) y el caso Langflow: lecciones de seguridad
Una de estas vulnerabilidades está registrada como CVE-2025-68664 y ha sido apodada informalmente LangGrinch. Cyera describió sus detalles en diciembre de 2025. Los desarrolladores de LangChain y LangGraph ya han publicado parches y las versiones actualizadas corrigen el problema, por lo que se recomienda a todas las organizaciones actualizar a los últimos releases disponibles.
Este hallazgo coincide con otro incidente grave: Langflow, herramienta visual para construir flujos con LLM, sufrió una vulnerabilidad crítica (CVE-2026-33017, puntuación CVSS 9,3) que fue explotada de forma activa menos de 20 horas después de su divulgación. El fallo permitía la exfiltración remota de datos desde entornos de desarrollo.
El arquitecto jefe de Horizon3.ai, Navin Sankavalli, señaló que la causa raíz de la vulnerabilidad de Langflow es similar a la de CVE-2025-3248: la existencia de endpoints HTTP no autenticados capaces de ejecutar código arbitrario. Este tipo de errores se considera tradicionalmente uno de los más peligrosos, ya que suele conducir al control completo del sistema afectado.
Riesgos sistémicos para la seguridad de la IA y efecto dominó en la cadena de suministro
Cyera subraya que LangChain es un componente central en la cadena de suministro de la IA generativa. Cientos de librerías lo integran, lo envuelven o lo usan como base para conectores, agentes y plataformas. Una única vulnerabilidad en este núcleo puede desencadenar un efecto en cascada sobre proyectos descendientes, integraciones SaaS y soluciones comerciales que reutilizan el mismo código.
La experiencia reciente con vulnerabilidades en LLM, reflejada en iniciativas como el OWASP Top 10 for LLM Applications y los marcos de gestión de riesgos de IA, confirma que las aplicaciones de IA deben abordarse como parte integral de la estrategia de ciberseguridad corporativa, no como experimentos aislados de innovación.
Recomendaciones para proteger proyectos con LangChain, LangGraph y herramientas relacionadas
Para reducir el riesgo al utilizar LangChain, LangGraph y frameworks afines, resulta fundamental aplicar controles de seguridad en varias capas. Entre las medidas clave destacan:
1. Principio de mínimo privilegio: limitar los permisos de contenedores, cuentas de servicio y roles en la nube, de modo que el LLM solo pueda acceder a los datos y sistemas estrictamente necesarios.
2. Gestión segura de secretos: almacenar credenciales y claves de API en vaults especializados, rotar secretos de forma periódica y evitar exponerlos directamente en variables de entorno accesibles por la aplicación.
3. Gobernanza de datos y contexto: reducir el volumen y la sensibilidad de la información que se inyecta en el contexto del LLM, segmentar datos según su criticidad y aplicar políticas de retención mínima de historiales de conversación.
4. Defensa frente a prompt injection: implementar validación y filtrado de entradas, plantillas de prompts más robustas, y controles que impidan que instrucciones externas modifiquen reglas internas de seguridad o provoquen la divulgación de secretos.
5. Gestión continua de vulnerabilidades: inventariar dependencias, monitorizar nuevos CVE, automatizar la aplicación de parches y utilizar herramientas de análisis de composición de software (SCA) para detectar versiones afectadas en la cadena de suministro.
La generalización de LangChain, LangGraph y plataformas similares en entornos productivos hace inevitable que se conviertan en objetivo prioritario para atacantes. Tratar la seguridad de la IA generativa con el mismo rigor que el resto de la infraestructura —desde el diseño seguro hasta el mantenimiento continuo— es hoy una condición necesaria para aprovechar el potencial de los LLM sin exponer los activos críticos de la organización.
