Pesquisadores identificaram vulnerabilidades críticas em três das bibliotecas de agentes de IA mais utilizadas globalmente — LangGraph, Langflow e LangChain-core — que permitem execução remota de código e roubo de credenciais, incluindo chaves de API da OpenAI e acesso a bancos de dados corporativos.
As falhas afetam ferramentas que já se tornaram infraestrutura de produção antes que protocolos de segurança adequados fossem implementados. O problema não está nos modelos de IA, mas em falhas básicas de segurança nas camadas de persistência e upload de arquivos.
LangGraph: injeção de SQL abre porta para execução remota
O LangGraph, com mais de 50 milhões de downloads mensais, apresenta uma vulnerabilidade de injeção de SQL (CVE-2025-67644) em sua camada de persistência SQLite.
A função que constrói a cláusula WHERE não filtra entradas do usuário. Combinada com a falha CVE-2026-28277 no decodificador msgpack, a vulnerabilidade permite que invasores importem módulos Python e executem comandos como os.system sob a identidade do servidor.
Correções estão disponíveis nas versões 3.0.1 (sqlite), 1.0.10 (langgraph) e 1.0.2 (redis).
Langflow: 7 mil instâncias expostas com login automático
A vulnerabilidade CVE-2026-5027 no Langflow já está sendo explorada ativamente. A falha permite upload de arquivos para qualquer local do servidor, incluindo scripts de tarefas agendadas, através de um endpoint sem sanitização.
O Langflow vem com login automático ativado por padrão, o que significa que qualquer instância exposta na internet pode ser comprometida sem senha. A Censys identificou cerca de 7.000 instâncias públicas vulneráveis.
A atualização para a versão 1.9.0 é urgente.
LangChain-core: travessia de caminho expõe arquivos sensíveis
A biblioteca LangChain-core possui uma falha de travessia de caminho (CVE-2026-34070) em sua API de carregamento de prompts. Invasores podem ler arquivos arbitrários acessíveis ao processo, incluindo o arquivo .env que geralmente armazena chaves de API.
Correções específicas por versão:
- CVE-2026-34070: atualizar para langchain-core 1.2.22 ou 0.3.86
- CVE-2025-68664 (desserialização): atualizar para 1.2.5 ou 0.3.81
Por que scanners de segurança não detectam essas falhas
Segundo Merritt Baer, CISO da Enkrypt AI, as vulnerabilidades ocorrem na camada de infraestrutura, não no modelo de IA. WAFs não monitoram decodificadores msgpack e EDRs ignoram chamadas de processo rotineiras do servidor de agentes.
O erro fundamental é confiar em configurações padrão inseguras. Frameworks classificados como "ferramentas de conveniência" tornam-se alvos críticos quando conectados a CRMs e bancos de dados corporativos.
Checklist de mitigação imediata
- Atualizar bibliotecas para as versões corrigidas citadas
- Desativar logins automáticos em interfaces como Langflow
- Implementar controles zero-trust: agentes de IA não devem ter acesso direto a segredos ou redes internas sem autenticação explícita
- Configurar alertas para tentativas de acesso a caminhos sensíveis ou execução de comandos shell inesperados
A segurança da IA depende da higiene das dependências que você importa. Audite suas bibliotecas antes que uma falha de configuração se torne um incidente de vazamento de dados. Leia também: IA como colega ou ferramenta? O risco de perder o controle sobre o trabalho.










