Исследователи в области кибербезопасности раскрыли три уязвимости в популярных фреймворках LangChain и LangGraph, эксплуатация которых способна привести к утечке данных файловой системы, секретов окружения и истории диалогов пользователей. Эти баги затрагивают корпоративные развертывания решений на базе больших языковых моделей (LLM) и демонстрируют, что инфраструктура искусственного интеллекта подвержена классическим проблемам безопасности.
Что такое LangChain и LangGraph и почему их уязвимости так опасны
LangChain и LangGraph — это open source фреймворки для построения приложений на базе LLM. LangChain предоставляет ядро для интеграции языковых моделей с внешними источниками данных, инструментами и API, а LangGraph, опираясь на LangChain, упрощает создание более сложных, ветвящихся и агентных рабочих процессов.
По данным Python Package Index (PyPI), только за последнюю неделю LangChain был загружен свыше 52 млн раз, LangChain-Core — более 23 млн, а LangGraph — порядка 9 млн раз. Такая массовая популярность делает любые уязвимости в этих компонентах критичными: одна ошибка в «ядре» может затронуть тысячи приложений и интеграций по всему миру.
Три вектора атаки: какие данные могут утечь
По словам исследователя безопасности компании Cyera Владимира Токарева, каждая из обнаруженных уязвимостей открывает доступ к различным классам корпоративных данных: файлам файловой системы, секретам окружения и истории диалогов. Фактически речь идет о трёх независимых путях, по которым злоумышленник может «выкачать» чувствительную информацию из инфраструктуры, где используется LangChain.
Доступ к файловой системе и конфигурациям контейнеров
Одна из проблем позволяет атакующему читать произвольные файлы на сервере, включая конфигурации Docker и другие чувствительные служебные данные. В условиях, когда LLM-приложения часто разворачиваются в контейнерах и Kubernetes-кластерах, утечка таких конфигов упрощает дальнейшее развитие атаки — от перехвата учётных данных до lateral movement внутри кластера.
Кража секретов через prompt injection
Вторая уязвимость связана с prompt injection — внедрением вредоносных инструкций в подсказки (prompts), обрабатываемые LLM. При небезопасной конфигурации цепочек LangChain злоумышленник может заставить модель раскрыть переменные окружения, ключи API или другие секреты, к которым та имеет доступ через инструменты и коннекторы. В корпоративных сценариях это может привести к компрометации облачных ресурсов, хранилищ данных и внутренних сервисов.
Компрометация истории диалогов и рабочих процессов
Третий вектор атаки позволяет получить доступ к истории разговоров и контексту чувствительных рабочих процессов. Для компаний, использующих LLM для обработки заявок пользователей, внутренних запросов сотрудников или работы с конфиденциальной документацией, это создает прямые риски утечки персональных данных, коммерческой тайны и иной защищаемой информации.
CVE-2025-68664 (LangGrinch) и цепочка связанных инцидентов
Одна из описанных уязвимостей отслеживается под идентификатором CVE-2025-68664 и получила неформальное название LangGrinch. О её деталях ранее сообщала Cyera в декабре 2025 года. Производители уже выпустили патчи, а уязвимости были исправлены в обновлённых версиях LangChain и LangGraph. Пользователям настоятельно рекомендуется обновиться до последних доступных релизов.
Ситуация разворачивается на фоне другого серьёзного инцидента: критическая уязвимость в Langflow (CVE-2026-33017, оценка CVSS 9,3) была взята в активную эксплуатацию менее чем через 20 часов после публичного раскрытия. Эта ошибка позволяла удалённо эксфильтровать данные из сред разработчиков.
Главный архитектор Horizon3.ai Навин Санкавалли отметил, что корневая причина Langflow-уязвимости совпадает с проблемой CVE-2025-3248 и заключается в наличии неаутентифицированных HTTP-эндпоинтов, способных выполнять произвольный код. Такой класс ошибок традиционно считается одним из наиболее опасных, поскольку часто ведёт к полному компрометированию системы.
Риски для экосистемы ИИ: эффект домино
Cyera подчеркивает, что LangChain является центральным звеном в огромной сети зависимостей в стеке ИИ: сотни библиотек оборачивают его, расширяют или используют как фундамент. В результате одна уязвимость в core-компоненте создает цепной эффект — от прямых пользователей до всех downstream-библиотек, интеграций и коннекторов, наследующих уязвимый код.
Практический вывод для организаций очевиден: безопасность ИИ-приложений должна рассматриваться как часть общей стратегии кибербезопасности, а не как экспериментальная зона. Это означает необходимость инвентаризации зависимостей, мониторинга новых CVE, оперативного обновления библиотек и тщательного аудита конфигураций, особенно в части доступов к данным и открытых эндпоинтов.
Чтобы снизить риски при использовании LangChain, LangGraph и смежных инструментов, целесообразно: ограничивать права контейнеров и сервисных аккаунтов, изолировать секреты в специализированных хранилищах (Vault и аналоги), минимизировать объём данных, доступных LLM-инструментам, внедрять фильтрацию и валидацию prompt-входов, а также автоматизировать установку патчей и проверку уязвимостей. Регулярный пересмотр архитектуры ИИ-решений и обучение команд разработчиков основам безопасной разработки для LLM помогут существенно уменьшить вероятность успешной атаки.
