Інфраструктура штучного інтелекту дедалі частіше стає мішенню атак, і останні знахідки дослідників це підтверджують. Фахівці з кібербезпеки розкрили три уразливості в популярних фреймворках LangChain та LangGraph, які можуть призвести до витоку даних файлової системи, секретів середовища виконання та історії діалогів користувачів у корпоративних LLM-рішеннях.
LangChain і LangGraph: критична ланка в ланцюгу безпеки ІІ
LangChain та LangGraph — це open source-фреймворки для побудови застосунків на базі великих мовних моделей (LLM). LangChain забезпечує інтеграцію LLM з базами даних, зовнішніми API й інструментами, а LangGraph, спираючись на нього, дозволяє будувати складні агентні й розгалужені робочі процеси.
За даними Python Package Index (PyPI), лише за останній тиждень LangChain було завантажено понад 52 млн разів, LangChain-Core — понад 23 млн, а LangGraph — близько 9 млн разів. Така масовість робить будь-яку уразливість у цих компонентах системним ризиком для екосистеми ІІ: помилка в «ядрі» здатна вплинути на тисячі застосунків та інтеграцій по всьому світу.
Три уразливості в LangChain / LangGraph: які дані опиняються під загрозою
За словами дослідника безпеки компанії Cyera Володимира Токарєва, кожна з виявлених уразливостей відкриває доступ до окремого класу корпоративних даних: файлів файлової системи, секретів оточення та історії діалогів. Фактично йдеться про три незалежні вектори, через які зловмисник може ексфільтрувати конфіденційну інформацію із середовищ, де використовується LangChain.
Доступ до файлової системи та конфігурацій контейнерів
Перша проблема дозволяє атакувальнику читати довільні файли на сервері, включно з конфігураціями Docker, Kubernetes та іншими службовими артефактами. Для LLM-застосунків, що працюють у контейнеризованих середовищах, витік таких конфігурацій суттєво спрощує подальший розвиток атаки — від викрадення облікових даних до lateral movement всередині кластера.
Витік секретів через prompt injection
Друга уразливість пов’язана з prompt injection — навмисним вбудовуванням шкідливих інструкцій у запити до LLM. При небезпечній конфігурації ланцюжків LangChain зловмисник може змусити модель розкрити змінні оточення, ключі API чи інші секрети, до яких вона має доступ через інструменти та конектори. У корпоративних сценаріях це створює ризик компрометації хмарних облікових записів, сховищ даних та внутрішніх сервісів.
Компрометація історії діалогів та бізнес-процесів
Третій вектор атаки націлений на історію розмов і контекст робочих процесів, що передаються в LLM як пам’ять або розширений контекст. Для компаній, які застосовують LLM для обробки звернень клієнтів, внутрішніх запитів співробітників або роботи з конфіденційною документацією, це означає прямі ризики витоку персональних даних, комерційної таємниці та іншої захищеної інформації.
LangGrinch (CVE-2025-68664), Langflow та клас небезпечних ендпоінтів
Одну з описаних уразливостей зареєстровано як CVE-2025-68664, неформальна назва — LangGrinch. Про неї Cyera повідомляла ще у грудні 2025 року. Розробники вже випустили оновлення LangChain і LangGraph з усуненням проблеми, і користувачам настійливо рекомендується якнайшвидше перейти на актуальні версії фреймворків.
Ситуація розвивається на тлі іншого критичного інциденту: уразливість у Langflow (CVE-2026-33017, оцінка CVSS 9,3) почали активно експлуатувати менш ніж через 20 годин після її публічного розкриття. Помилка дозволяла віддалено ексфільтрувати дані з середовищ розробників, підриваючи довіру до інструментів швидкої розробки LLM-пайплайнів.
Головний архітектор Horizon3.ai Навін Санкаваллі зазначив, що коренева причина уразливості Langflow збігається з проблемою CVE-2025-3248 і полягає в наявності неавтентифікованих HTTP-ендпоінтів з можливістю виконання довільного коду. Такий клас помилок традиційно входить до найбільш небезпечних, оскільки часто призводить до повного захоплення контроль над системою.
Ефект доміно для екосистеми ІІ та практичні кроки захисту
Cyera підкреслює, що LangChain є центральним елементом у великому ланцюгу залежностей в ІІ-стеку: сотні бібліотек обгортають його, розширюють функціональність або використовують як фундамент. Уразливість у core-компоненті створює ефект доміно — від прямих користувачів до всіх downstream-бібліотек та інтеграцій, які наслідують уразливий код.
Для організацій це означає, що безпека LLM-застосунків має розглядатися як невід’ємна частина загальної стратегії кібербезпеки, а не як експериментальний майданчик. Потрібні інвентаризація бібліотек і залежностей, постійний моніторинг нових CVE, оперативне встановлення патчів і ретельний аудит конфігурацій, особливо щодо прав доступу до даних та відкритих ендпоінтів.
Щоб знизити ризики під час використання LangChain, LangGraph та суміжних інструментів, доцільно обмежувати привілеї контейнерів і сервісних акаунтів, зберігати секрети в спеціалізованих сховищах на кшталт Vault, мінімізувати обсяг даних, доступних LLM-інструментам, впроваджувати фільтрацію та валідацію prompt-запитів, а також автоматизувати встановлення виправлень і перевірку уразливостей.
Компаніям варто регулярно переглядати архітектуру своїх ІІ-рішень, впроваджувати підходи безпечної розробки для LLM та інвестувати в навчання команд розробників і DevOps. Такий системний підхід допоможе не лише захиститися від LangGrinch та подібних уразливостей, а й побудувати стійку до майбутніх загроз екосистему штучного інтелекту.
