Logo
Decide better.Live better.
Logo
Decide better.Live better.

Уязвимости в популярных AI-фреймворках: как защитить свои данные в 2026 году. Проверьте версии LangGraph, Langflow и LangChain-core, чтобы предотвратить удаленный взлом систем

A cybersecurity professional meticulously auditing complex code structures on a high-end workstation to identify system vulnerabilities.

Обнаружены критические ошибки в популярных инструментах для создания ИИ-агентов. Узнайте, какие версии ПО необходимо обновить прямо сейчас, чтобы ваши ключи доступа к OpenAI, CRM-системам и базам данных не попали в руки злоумышленников.

banner

За последние месяцы три самых популярных фреймворка для разработки ИИ-агентов превратили стандартные программные ошибки в прямые пути для удаленного выполнения кода (RCE). Уязвимости позволяют злоумышленникам получить доступ к ключам API, учетным данным баз данных и токенам CRM. Проблема в том, что инструменты интегрируются в производственную инфраструктуру быстрее, чем успевают защищаться. (source)

Фреймворки хранят состояние агентов, принимают загрузку файлов и управляют доступом к внутренним API. Традиционные системы безопасности часто не видят эти цепочки уязвимостей — они скрыты глубоко внутри импортируемых библиотек.

Три критические цепочки атак

Исследователи выявили три классических типа ошибок — SQL-инъекции, обход путей и небезопасная десериализация — которые теперь могут быть использованы для захвата контроля над сервером.

LangGraph: SQL-инъекция до Python-оболочки. Фреймворк с более чем 50 млн скачиваний в месяц оказался уязвим в слое хранения состояния. Уязвимость CVE-2025-67644 позволяет злоумышленнику внедрить произвольный код через SQLite-хранилище. Необходимо обновить langgraph-checkpoint-sqlite до версии 3.0.1 и основной пакет langgraph до 1.0.10.

Langflow: прямой путь к удаленному выполнению кода. Эксплойты уже зафиксированы в реальности. Уязвимость CVE-2026-5027 позволяет загружать файлы в произвольные директории системы. Поскольку по умолчанию включен автологин, атакующий может получить доступ к серверу без единого пароля. Сенсор Censys обнаружил около 7 000 открытых инстансов в интернете. Исправление доступно в версии 1.9.0.

LangChain-core: кража секретов через загрузчик промптов. В базовой библиотеке обнаружена ошибка CVE-2026-34070, позволяющая читать любые файлы, к которым имеет доступ процесс, включая файлы с ключами доступа (.env). В сочетании с десериализацией CVE-2025-68664 это дает полный контроль над данными. Обновите langchain-core до версии 1.2.22 или 0.3.86, чтобы закрыть оба дефекта одновременно.

Почему сканеры могут ничего не видеть

Мерритт Баер, CISO в Enkrypt AI, отмечает: эти ошибки не выглядят как специфические риски ИИ. Они выглядят как классический провал традиционной безопасности. WAF не видят работу декодера msgpack на глубоких уровнях, а системы EDR могут пропускать вызовы процессов, которые агент выполняет тысячи раз в день.

Основная причина — небезопасные настройки по умолчанию. Удобство разработки часто идет в ущерб гигиене безопасности. Ассаф Керен из Qualtrics утверждает, что команды часто классифицируют эти фреймворки просто как инструменты разработки, забывая, что они соединяют ИИ с критическими корпоративными системами.

Что делать сейчас

Чтобы обезопасить инфраструктуру, следуйте этому чек-листу:

  • Проверьте версии всех используемых библиотек на соответствие последним патчам.
  • Отключите автологин во всех публично доступных инстансах Langflow.
  • Настройте модель нулевого доверия (Zero Trust) для всех инструментов, которые имеют доступ к ключам API или внутренним базам данных.
  • Пересмотрите права доступа: агент должен иметь права только на те действия, которые необходимы ему для выполнения конкретной задачи.

Атака на фреймворк агента — это не просто утечка ключа. Это возможность для ИИ принять неверное бизнес-решение на огромной скорости, используя украденные полномочия. Начните с обновления библиотек сегодня, чтобы не допустить инцидента завтра. Подробнее: Утечка Anthropic 2.1.88: раскрыты Opus 4.7 и Sonnet 4.8.

Лента