За последние месяцы три самых популярных фреймворка для разработки ИИ-агентов превратили стандартные программные ошибки в прямые пути для удаленного выполнения кода (RCE). Уязвимости позволяют злоумышленникам получить доступ к ключам API, учетным данным баз данных и токенам CRM. Проблема в том, что инструменты интегрируются в производственную инфраструктуру быстрее, чем успевают защищаться. (source)
Фреймворки хранят состояние агентов, принимают загрузку файлов и управляют доступом к внутренним API. Традиционные системы безопасности часто не видят эти цепочки уязвимостей — они скрыты глубоко внутри импортируемых библиотек.
Три критические цепочки атак
Исследователи выявили три классических типа ошибок — SQL-инъекции, обход путей и небезопасная десериализация — которые теперь могут быть использованы для захвата контроля над сервером.
LangGraph: SQL-инъекция до Python-оболочки. Фреймворк с более чем 50 млн скачиваний в месяц оказался уязвим в слое хранения состояния. Уязвимость CVE-2025-67644 позволяет злоумышленнику внедрить произвольный код через SQLite-хранилище. Необходимо обновить langgraph-checkpoint-sqlite до версии 3.0.1 и основной пакет langgraph до 1.0.10.
Langflow: прямой путь к удаленному выполнению кода. Эксплойты уже зафиксированы в реальности. Уязвимость CVE-2026-5027 позволяет загружать файлы в произвольные директории системы. Поскольку по умолчанию включен автологин, атакующий может получить доступ к серверу без единого пароля. Сенсор Censys обнаружил около 7 000 открытых инстансов в интернете. Исправление доступно в версии 1.9.0.
LangChain-core: кража секретов через загрузчик промптов. В базовой библиотеке обнаружена ошибка CVE-2026-34070, позволяющая читать любые файлы, к которым имеет доступ процесс, включая файлы с ключами доступа (.env). В сочетании с десериализацией CVE-2025-68664 это дает полный контроль над данными. Обновите langchain-core до версии 1.2.22 или 0.3.86, чтобы закрыть оба дефекта одновременно.
Почему сканеры могут ничего не видеть
Мерритт Баер, CISO в Enkrypt AI, отмечает: эти ошибки не выглядят как специфические риски ИИ. Они выглядят как классический провал традиционной безопасности. WAF не видят работу декодера msgpack на глубоких уровнях, а системы EDR могут пропускать вызовы процессов, которые агент выполняет тысячи раз в день.
Основная причина — небезопасные настройки по умолчанию. Удобство разработки часто идет в ущерб гигиене безопасности. Ассаф Керен из Qualtrics утверждает, что команды часто классифицируют эти фреймворки просто как инструменты разработки, забывая, что они соединяют ИИ с критическими корпоративными системами.
Что делать сейчас
Чтобы обезопасить инфраструктуру, следуйте этому чек-листу:
- Проверьте версии всех используемых библиотек на соответствие последним патчам.
- Отключите автологин во всех публично доступных инстансах Langflow.
- Настройте модель нулевого доверия (Zero Trust) для всех инструментов, которые имеют доступ к ключам API или внутренним базам данных.
- Пересмотрите права доступа: агент должен иметь права только на те действия, которые необходимы ему для выполнения конкретной задачи.
Атака на фреймворк агента — это не просто утечка ключа. Это возможность для ИИ принять неверное бизнес-решение на огромной скорости, используя украденные полномочия. Начните с обновления библиотек сегодня, чтобы не допустить инцидента завтра. Подробнее: Утечка Anthropic 2.1.88: раскрыты Opus 4.7 и Sonnet 4.8.










