Tres de los frameworks de agentes de IA más desplegados presentaron vulnerabilidades críticas que permiten a atacantes acceder a servidores, credenciales y claves de API. Las fallas incluyen ejecución remota de código, escritura arbitraria de archivos y lectura de secretos, y algunas ya están siendo explotadas activamente. (source)
El riesgo surge porque estos sistemas se convirtieron en infraestructura de producción antes de que sus capas de seguridad estuvieran listas. Los frameworks gestionan estado de agentes, procesan cargas de archivos y cargan configuraciones con credenciales internas, pero los escáneres tradicionales no los ven como frontera de seguridad sino como dependencia de software interna.
LangGraph: de inyección SQL a ejecución de código
LangGraph, con más de 50 millones de descargas mensuales, presenta una cadena de vulnerabilidades que permite ejecución remota de código. El fallo CVE-2025-67644 (CVSS 7.3) es una inyección SQL en el comprobador SQLite. La función que construye la cláusula WHERE para búsquedas de puntos de control acepta filtros de usuario sin parametrización ni limpieza.
Si el despliegue expone LangGraph con el comprobador de SQLite o Redis y permite que entradas no confiables lleguen a la función get_state_history(), un atacante puede escribir filas falsas en la tabla de comprobación. Esto se combina con la CVE-2026-28277 (CVSS 6.8), donde el decodificador de msgpack reconstruye objetos Python a partir de datos almacenados, permitiendo importar módulos y ejecutar funciones con argumentos suministrados por el atacante.
Actualizar a estas versiones:
- langgraph-checkpoint-sqlite a la versión 3.0.1
- langgraph a la versión 1.0.10
- langgraph-checkpoint-redis a la versión 1.0.2
Langflow: exposición sin autenticación
Langflow es el caso más urgente, ya que ha sido explotado activamente. La CVE-2026-5027 (CVSS 8.8) es una vulnerabilidad de salto de ruta (path traversal) en el endpoint POST /api/v2/files. Un atacante puede usar secuencias de salto para escribir archivos en cualquier lugar del sistema, como en /etc/cron.d/ para ejecutar comandos automáticos.
Langflow se distribuye con inicio de sesión automático habilitado por defecto, por lo que una instancia expuesta no requiere credenciales para ser comprometida. Censys detectó aproximadamente 7,000 instancias expuestas en internet, principalmente en Norteamérica. Aunque la solución se lanzó el 15 de abril, los ataques comenzaron en junio. Actualizar inmediatamente a la versión 1.9.0.
LangChain-core: lectura de secretos en el cargador de prompts
Como base fundamental de los otros dos frameworks, LangChain-core presentó la CVE-2026-34070 (CVSS 7.5). Su API de carga de prompts heredada no verifica rutas absolutas ni secuencias de salto, permitiendo que un atacante lea archivos arbitrarios que el proceso pueda alcanzar, incluyendo el archivo .env donde suelen guardarse las llaves de API de OpenAI y Anthropic.
Este fallo se puede combinar con la CVE-2025-68664 (CVSS 9.3), un error de deserialización que resuelve secretos del entorno a través de un objeto manipulado. Las versiones de parche son distintas: para la primera se necesita langchain-core 1.2.22 o 0.3.86, y para la segunda, 1.2.5 o 0.3.81. Aplicar ambos parches para asegurar la infraestructura.
Por qué las herramientas actuales no lo detectaron
Expertos en seguridad advierten que este tipo de fallos no se anuncian como riesgos de IA, sino como fallos de seguridad tradicionales en la nube. El problema es que el exploit vive en el framework que el código importa. Un firewall de aplicaciones web (WAF) no verá un decodificador de msgpack ejecutándose tres niveles abajo, y las herramientas de detección en el endpoint (EDR) verán al servidor del agente realizar llamadas de proceso normales que hace miles de veces al día.
La raíz es un error de diseño común: configuraciones por defecto inseguras. Langflow con inicio de sesión automático y LangChain-core con un cargador de prompts sin protección son ejemplos de cómo la conveniencia de desarrollo puede comprometer la integridad empresarial. Si no se construye la autenticación y el principio de privilegio mínimo desde el primer día, el costo de limpiar las brechas será alto durante la próxima década.
Auditar las versiones de los frameworks de IA ahora mismo. Más sobre el tema: NanoClaw blinda tus agentes de IA contra ataques de datos.










