跳到主要內容

LangChain/LangGraph 七大漏洞爆發:九千萬週下載量的 AI 框架正在洩露你的 API 金鑰 | LangChain & LangGraph: 7 Critical CVEs Threaten 90M Weekly Downloads — API Keys, RCE, SQL Injection

By Kit 小克 | AI Tool Observer | 2026-03-29

🇹🇼 LangChain/LangGraph 七大漏洞爆發:九千萬週下載量的 AI 框架正在洩露你的 API 金鑰

如果你的 AI 應用是用 LangChain 或 LangGraph 建立的,請先停下來看這篇文章。2026 年 3 月 27 日,資安研究人員公開披露了橫跨這兩個框架的七個重大漏洞(CVE),影響週下載量超過 9,200 萬次的生態系——幾乎所有主流 AI 應用開發者都直接或間接受到波及。

這次漏洞有多嚴重?

七個 CVE 涵蓋了幾乎所有最危險的漏洞類型:

  • CVE-2025-68664(CVSS 9.3 / Critical):langchain-core Python 版序列化注入漏洞。攻擊者可透過 LLM 回應中的惡意 lc 鍵,竊取環境變數中的 API 金鑰與資料庫憑證。受影響版本:< 0.3.81 及 1.0.0–1.2.5。
  • CVE-2025-68665(CVSS 8.6 / High):相同類型的漏洞存在於 JavaScript/TypeScript 版的 @langchain/core,受影響版本:< 1.1.8。
  • CVE-2026-34070(CVSS 7.5 / High):langchain-core 路徑穿越(Path Traversal),透過 load_prompt() 可讀取伺服器任意檔案,受影響版本:< 1.2.22。
  • CVE-2025-67644(CVSS 7.3 / High):LangGraph SQLite checkpoint SQL 注入漏洞,可讀取所有對話歷史與 agent 狀態,受影響版本:< 3.0.1。
  • CVE-2026-27794(CVSS 6.6 / Medium):LangGraph Pickle 反序列化 RCE,預設啟用的 pickle_fallback=True 讓任何可寫入快取的攻擊者都能執行任意程式碼,受影響:langgraph < 1.0.6。
  • CVE-2026-28277(CVSS 6.8 / Medium):LangGraph msgpack 不安全反序列化,受影響:langgraph < 1.0.10。
  • CVE-2026-27795(CVSS 4.1 / Medium):@langchain/community RecursiveUrlLoader SSRF 繞過,跟隨 HTTP 重新導向可抵達 AWS 內部 metadata 端點,受影響:< 1.1.18。

最危險的攻擊向量:你的 API 金鑰如何被偷走

CVE-2025-68664 的攻擊路徑特別值得關注。由於 LangChain 在反序列化時信任帶有 lc 鍵的物件,攻擊者只需讓你的 agent 收到一個精心構造的 LLM 回應,就能觸發漏洞。更糟的是,早期版本的 secretsFromEnv 預設為 true——這意味著環境變數中的所有機密(OpenAI key、AWS credentials、資料庫連線字串)都可能在一次請求中被外洩。

這個漏洞由資安研究員 Yarden Porat(Cyata Research) 發現,獲得 LangChain 史上最高的 $4,000 漏洞獎勵,最初在 2025 年 12 月透過 Huntr 回報,直到 2026 年 3 月才引發廣泛關注。

立即更新版本對照表

  • langchain-core (Python):升級至 0.3.811.2.22+
  • @langchain/core (JS):升級至 1.1.80.3.80
  • langgraph (Python):升級至 1.0.10+
  • langgraph-checkpoint-sqlite:升級至 3.0.1+
  • @langchain/community (JS):升級至 1.1.18+

這暴露了 AI 框架生態的結構性問題

這次事件不只是「更新一下就好」的問題。LangChain 作為 AI 應用的底層框架,被無數 SaaS 產品、內部工具、開源專案所依賴。許多開發者根本不知道自己的應用底層用了哪個版本的 langchain-core。更深層的問題是:AI 框架在設計時,把「方便呼叫 LLM」放在第一位,卻忽視了 LLM 回應本身就是不可信的外部輸入。序列化信任邊界的崩潰,正是這個設計哲學的後果。

好不好用,試了才知道。但這次,不更新就先別試了。

🇺🇸 LangChain & LangGraph: 7 Critical CVEs Threaten 90M Weekly Downloads — API Keys, RCE, SQL Injection

If your AI application is built on LangChain or LangGraph, stop what you are doing and read this. On March 27, 2026, security researchers publicly disclosed seven CVEs across both frameworks — affecting an ecosystem with over 92 million weekly downloads. Nearly every serious AI app developer is either directly or transitively exposed.

The Vulnerability Landscape

Seven CVEs spanning the most dangerous vulnerability classes in software security:

  • CVE-2025-68664 (CVSS 9.3 / Critical): Serialization injection in langchain-core (Python). Attackers can steal API keys and database credentials from environment variables via a crafted LLM response containing a malicious lc key. Affected: < 0.3.81 and 1.0.0–1.2.5.
  • CVE-2025-68665 (CVSS 8.6 / High): Same class of flaw in the JavaScript/TypeScript @langchain/core SDK. Affected: < 1.1.8.
  • CVE-2026-34070 (CVSS 7.5 / High): Path traversal in langchain-core via load_prompt(), enabling arbitrary file reads on the server. Affected: < 1.2.22.
  • CVE-2025-67644 (CVSS 7.3 / High): SQL injection in LangGraph SQLite checkpoint implementation — all stored conversation history and agent state exposed. Affected: langgraph-checkpoint-sqlite < 3.0.1.
  • CVE-2026-27794 (CVSS 6.6 / Medium): Pickle deserialization RCE in LangGraph. The default pickle_fallback=True means anyone with write access to the cache backend can execute arbitrary code. Affected: langgraph < 1.0.6.
  • CVE-2026-28277 (CVSS 6.8 / Medium): Unsafe msgpack deserialization in LangGraph checkpointers. Affected: langgraph < 1.0.10.
  • CVE-2026-27795 (CVSS 4.1 / Medium): SSRF bypass in @langchain/community RecursiveUrlLoader — redirect-following allows access to AWS IMDSv1 metadata endpoints. Affected: < 1.1.18.

How Your API Keys Get Stolen: The CVE-2025-68664 Attack Path

The most severe flaw deserves a clear walkthrough. LangChain's serialization system uses the lc key as a trust signal — if a deserialized object contains it, the framework treats it as a legitimate LangChain object. The problem: LLM responses flow directly into these deserialization paths without sanitization.

An attacker just needs your agent to receive a crafted LLM response. Combined with the old default of secretsFromEnv=true, every environment variable in your runtime — OpenAI keys, AWS credentials, database connection strings — could be exfiltrated in a single inference call. Twelve vulnerable code paths were identified, including astream_events(), astream_log(), and message history systems.

The researcher behind this find, Yarden Porat of Cyata Research, received a $4,000 bounty — the largest in LangChain program history. The flaw was originally reported via Huntr in December 2025, but only gained widespread attention in March 2026.

Patch Reference: What to Upgrade Now

  • langchain-core (Python): upgrade to 0.3.81 or 1.2.22+
  • @langchain/core (JS/TS): upgrade to 1.1.8 or 0.3.80
  • langgraph (Python): upgrade to 1.0.10+
  • langgraph-checkpoint-sqlite: upgrade to 3.0.1+
  • @langchain/community (JS/TS): upgrade to 1.1.18+

The Deeper Structural Problem

This is not just a patch-and-move-on incident. LangChain underpins hundreds of production AI products, internal tools, and open-source projects. Most developers have no visibility into which version of langchain-core their dependencies are pulling in transitively. More fundamentally, AI frameworks have been designed with LLM convenience as the top priority — treating LLM responses as trusted input rather than the untrusted, attacker-controlled data they actually are. These CVEs are the direct consequence of that design philosophy.

Run pip show langchain-core langgraph right now and check your versions. The good news: patches exist for everything. The bad news: your production deployment may not have them yet.

好不好用,試了才知道。But this time — patch first, try later.

Sources / 資料來源

AI 工具觀察站 — 每日精選 AI Agent 與工具趨勢
AI Tool Observer — Daily curated AI Agent & tool trends

留言

張貼留言

這個網誌中的熱門文章

MCP 突破 9700 萬次下載:AI Agent 的「USB-C」為何成為 2026 年最重要的標準? | MCP Hits 97 Million Downloads: Why Model Context Protocol Became the Most Important AI Standard of 2026

By Kit 小克 | AI Tool Observer | 2026-03-27 🇹🇼 MCP 突破 9700 萬次下載:AI Agent 的「USB-C」為何成為 2026 年最重要的標準? 如果你最近在研究 AI Agent,幾乎不可能沒聽過 MCP(Model Context Protocol) 。這個由 Anthropic 提出、現在已捐給 Linux Foundation 的開放協議,在 2026 年 3 月已達到每月 9700 萬次 SDK 下載 ——距離它 16 個月前推出時的 200 萬次,成長了整整 47 倍 。 為什麼這件事值得關注?因為 MCP 正在成為 AI 工具生態的底層標準,就像 USB-C 統一了充電接口一樣。 MCP 到底解決了什麼問題? 在 MCP 出現之前,每個 AI 應用想要連接外部工具(資料庫、API、本地檔案、第三方服務),都必須各自寫一套整合邏輯。這不只重複造輪,還讓每個 Agent 的能力範圍受限於開發者願意花多少時間手動接線。 MCP 的做法是:定義一個 標準化的通信協議 ,讓 AI 模型可以透過統一介面呼叫任何工具。開發者只需要寫一個 MCP Server,就能讓所有支援 MCP 的 AI(Claude、GPT、Gemini 等)直接使用。 現在有多少工具支援 MCP? 目前已有超過 5,800 個公開的 MCP Server 主流 AI 提供商(Anthropic、OpenAI、Google、Microsoft)全部支援 企業端整合加速:Salesforce、Atlassian、GitHub 等都已發布官方 MCP Server 2026 RSA 資安大會將 MCP 安全性列為重要議題 對開發者來說,現在應該怎麼做? 如果你在做任何跟 AI Agent 相關的開發,MCP 不再是「可以考慮」的選項,而是 必須了解的基礎建設 。幾個實用建議: 先看官方文件 :modelcontextprotocol.io 有完整的 server/client 開發指南 找現成的 MCP Server :mcp.so 和 GitHub 上有大量社群貢獻的整合包 注意安全問題 :MCP 的 prompt injection 風險是目前最熱門的研究議題,上線前務必審查 Cla...
閱讀完整內容

歡迎來到 AI 工具觀察站 | Welcome to AI Tool Observer

By Kit 小克 | AI Tool Observer | 2026-03-27 🇹🇼 歡迎來到 AI 工具觀察站 大家好,我是小克(Kit),一個 AI 工具的重度使用者。 這個部落格會每天分享 AI Agent、自動化工具、以及相關生態系的最新動態與觀點。 我的原則很簡單: 好不好用,試了才知道。 主要關注方向: AI Agent 應用案例與趨勢 Claude、ChatGPT、開源模型生態系 MCP(Model Context Protocol)工具與整合 自動化工作流與效率提升 AI 產業觀察與商業分析 每天更新,中英雙語。歡迎追蹤! 🇺🇸 Welcome to AI Tool Observer Hi, I'm Kit — a power user of AI tools. This blog shares daily insights on AI Agents, automation tools, and the broader AI ecosystem. My motto: You won't know until you try it. Topics I cover: AI Agent use cases and trends Claude, ChatGPT, and open-source model ecosystems MCP (Model Context Protocol) tools and integrations Automation workflows and productivity AI industry observations and business analysis Updated daily, bilingual (Chinese & English). Stay tuned! AI 工具觀察站 — 每日精選 AI Agent 與工具趨勢 AI Tool Observer — Daily curated AI Agent & tool trends
閱讀完整內容

GitHub Copilot 預設用你的程式碼訓練 AI:4 月 24 日前必須手動退出 | GitHub Copilot Will Train AI on Your Code by Default — Opt Out Before April 24

By Kit 小克 | AI Tool Observer | 2026-03-28 🇹🇼 GitHub Copilot 預設用你的程式碼訓練 AI:4 月 24 日前必須手動退出 2026 年 3 月 25 日,GitHub 悄悄更新了隱私政策與服務條款。結論很簡單: 如果你是 Copilot Free、Pro 或 Pro+ 用戶,你的互動資料現在預設會被拿去訓練 AI 模型。 除非你在 4 月 24 日前主動退出,否則就算默許了。 究竟收集了什麼? GitHub 表示收集的範圍包括: 你輸入的 prompt (例如:「幫我寫一個 API endpoint」) Copilot 回傳的建議程式碼 你接受或拒絕建議的行為 (即「反饋訊號」) 互動時的程式碼上下文 GitHub 特別澄清: 私有 repo 的程式碼內容本身不直接用於訓練 ,但「在私有 repo 中工作時的 Copilot 互動」仍在收集範圍內。這條界線劃得很微妙,很多開發者不買帳。 Copilot Business 和 Enterprise 方案的用戶不受影響 ,這些企業版本維持不收集資料的政策。 為什麼這件事很重要 問題不只是「收集資料」,而是 預設值的逆轉 。GitHub 過去的政策是「預設退出」——除非你主動同意,否則資料不會被用於訓練。現在改成「預設加入」,你必須知道這件事、找到設定頁面、手動關閉,才能保護自己。 對普通開發者來說,Copilot 的使用場景可能包含: 公司內部的商業邏輯程式碼 包含 API 金鑰或敏感設定的上下文 尚未公開的產品功能 這些場景下,「互動資料」的邊界可能比你想像的更模糊。 如何在 4 月 24 日前退出 操作步驟很簡單,但 GitHub 並沒有主動通知你: 前往 GitHub → Settings → Privacy 取消勾選 「Allow GitHub to use my data to improve GitHub products and services」 儲存變更即可 整個流程不到一分鐘,但你必須自己找到這個選項。 實際怎麼看這件事? 從 GitHub/Microsoft 的角度,這是合理的商業決策:Copilot 要持續進步,需要真實的開發者行為資料,而免費用戶的互動是最...
閱讀完整內容