AI代理のコア技術に致命的な欠陥……LangChainの「LangGrinch」警報を発出

AI代理運営において中核的役割を果たすライブラリ「LangChain Core」に深刻なセキュリティ脆弱性が発見されました。この問題は「LangGrinch」と命名され、攻撃者がAIシステム内の機密情報を窃取できる可能性があります。この脆弱性は、多くのAIアプリケーションのセキュリティ基盤を長期的に揺るがす可能性があるため、業界全体に警鐘を鳴らしています。

AIセキュリティのスタートアップ企業Cyata Securityはこの脆弱性を公開し、識別番号をCVE-2025-68664とし、一般的な脆弱性評価システムCVSSで(9.3)の高リスク評価を付与しました。問題の核心は、LangChain Coreに含まれる内部補助関数がシリアル化と逆シリアル化の過程で、ユーザー入力を信頼できるオブジェクトと誤判定する可能性にあります。攻撃者は「プロンプト注入」技術を利用し、代理が生成する構造化出力に内部マークキーを挿入し、その後信頼できるオブジェクトとして扱わせることが可能です。

LangChain Coreは、多くのAI代理フレームワークの中で中枢的役割を担い、過去30日間で数千万回のダウンロードを記録しています。全体の統計によると、その累計ダウンロード数は8.47億回を超えています。LangChainエコシステムに接続されたアプリケーションも考慮すると、専門家はこの脆弱性の影響範囲は非常に広いと分析しています。

Cyataのセキュリティ研究員Yarden Poratは次のように説明しています。「この脆弱性の特異性は、単なる逆シリアル化の問題ではなく、シリアル化の過程自体に起因しています。AIのプロンプト生成による構造化データの保存、ストリーミング、または後続の復元の過程が、新たな攻撃面を露呈しています。」Cyataは、単一のプロンプトで12の明確な攻撃経路が存在し、異なるシナリオを引き起こす可能性があることを確認しています。

攻撃が一旦仕掛けられると、リモートHTTPリクエストを通じて環境変数全体が漏洩し、クラウド認証情報、データベースアクセスURL、ベクトルデータベース情報、LLM APIキーなどの高価値情報が流出する可能性があります。特に深刻なのは、この脆弱性がLangChain Core自体の構造的欠陥に起因しており、サードパーティツールや外部統合を必要としない点です。Cyataはこれを「エコシステムのパイプライン層に存在する脅威」と警告しています。

現在、この問題を修正するセキュリティパッチはLangChain Coreのバージョン1.2.5および0.3.81とともにリリースされています。Cyataはこの問題を公開する前に、先行してLangChain運営チームに通知しており、同チームは即座に対応し、長期的なセキュリティ強化策も講じています。

Cyataの共同創業者兼CEOのShahar Talは次のように強調しています。「AIシステムが産業現場に全面展開される中、システムが最終的にどの権限を消化するかは、コードの実行自体よりも重要なセキュリティ課題となっています。代理のアイデンティティ認識に基づくアーキテクチャでは、最小権限化と影響半径の最小化が基本設計要素となるべきです。」

今回の事件は、AI産業（その焦点が人間の介入から代理に基づく自動化へと徐々に移行している）において、安全設計の根本原則を見直す契機となると予想されています。