Las tecnologías centrales de los agentes de IA tienen defectos fatales... emitiendo la alerta "LangGrinch" de LangChain

En la operación de agentes de IA, se ha descubierto una vulnerabilidad de seguridad grave en la biblioteca “LangChain Core” que desempeña un papel central. El problema ha sido denominado “LangGrinch” y permite a los atacantes robar información sensible dentro del sistema de IA. Esta vulnerabilidad, que podría socavar a largo plazo la base de seguridad de muchas aplicaciones de IA, está alertando a toda la industria.

La startup de seguridad en IA Cyata Security ha divulgado esta vulnerabilidad, con el número CVE-2025-68664, y le ha otorgado una calificación de riesgo alto de 9.3 en el sistema de puntuación de vulnerabilidades común (CVSS). El núcleo del problema radica en que las funciones auxiliares internas contenidas en LangChain Core, durante los procesos de serialización y deserialización, pueden interpretar incorrectamente la entrada del usuario como objetos confiables. Los atacantes, mediante técnicas de “inyección de prompts”, pueden manipular la salida estructurada generada por el agente, insertando claves de marcado interno para que posteriormente sean tratadas como objetos confiables.

LangChain Core desempeña un papel central en muchos marcos de agentes de IA, con decenas de millones de descargas en los últimos 30 días. Las estadísticas generales muestran que su volumen total de descargas ha superado los 847 millones. Considerando las aplicaciones conectadas a todo el ecosistema de LangChain, los expertos consideran que el impacto de esta vulnerabilidad será muy amplio.

Yarden Porat, investigador de seguridad de Cyata, explicó: “Lo particular de esta vulnerabilidad es que no se trata simplemente de un problema de deserialización, sino que ocurre en la propia ruta de serialización. El proceso de almacenar, transmitir en streaming o recuperar datos estructurados generados por prompts de IA expone una nueva superficie de ataque.” Cyata confirmó que, con un solo prompt, existen 12 rutas de ataque claras que pueden conducir a diferentes escenarios.

Una vez activada, la vulnerabilidad puede provocar la filtración remota de variables de entorno mediante solicitudes HTTP, incluyendo credenciales en la nube, URLs de acceso a bases de datos, información de bases vectoriales, claves API de LLM, entre otros datos de alto valor. Lo más grave es que esta vulnerabilidad es un defecto estructural generado únicamente por LangChain Core, sin necesidad de herramientas de terceros o integraciones externas. Cyata advierte que esto representa “una amenaza en la capa del pipeline del ecosistema”.

Actualmente, se ha lanzado un parche de seguridad para solucionar este problema en las versiones 1.2.5 y 0.3.81 de LangChain Core. Antes de hacer público el problema, Cyata notificó previamente al equipo de operaciones de LangChain, que, según se informa, respondió de inmediato y tomó medidas para fortalecer la seguridad a largo plazo.

Shahar Tal, cofundador y CEO de Cyata, enfatizó: “A medida que los sistemas de IA se despliegan a nivel industrial, qué permisos se asimilan en el sistema se ha convertido en una cuestión de seguridad más central que la ejecución del código en sí. En arquitecturas basadas en la identificación de agentes, la minimización de permisos y la reducción del radio de impacto deben ser elementos básicos de diseño.”

Se espera que este incidente sirva como una oportunidad para que la industria de IA —que está cambiando su enfoque de intervención humana a automatización basada en agentes— reflexione sobre los principios fundamentales del diseño de seguridad.