В основе технологий AI-агентов есть критические недостатки… Выпущена тревога LangChain «LangGrinch»

В «LangChain Core», ядре операционной системы AI-агентов, обнаружена серьезная уязвимость безопасности. Эта проблема получила название «LangGrinch» и позволяет злоумышленникам похищать конфиденциальную информацию внутри AI-систем. Эта уязвимость может на длительный срок подорвать безопасность множества AI-приложений и предупреждает всю индустрию.

Крипто-стартап Cyata Security опубликовал информацию об этой уязвимости, присвоив ей номер CVE-2025-68664 и оценив ее по системе оценки уязвимостей (CVSS) на высокий уровень риска 9.3. Основная проблема заключается в том, что внутренние вспомогательные функции, содержащиеся в LangChain Core, при сериализации и десериализации могут ошибочно считать пользовательский ввод доверенными объектами. Злоумышленники, используя технику «подстановки подсказки» (@E5@prompt injection@E5@), могут манипулировать структурированным выводом агента, вставляя внутренние маркерные ключи, которые затем обрабатываются как доверенные объекты.

LangChain Core играет центральную роль во многих фреймворках AI-агентов и за последние 30 дней был скачан десятки миллионов раз. Общие показатели показывают, что его суммарное число загрузок превысило 8.47 миллиардов. Учитывая приложения, связанные с всей экосистемой LangChain, эксперты считают, что влияние этой уязвимости будет очень широким.

Исследователь безопасности Cyata, Yarden Porat, пояснил: «Особенность этой уязвимости в том, что она не является простым вопросом десериализации, а происходит прямо в процессе сериализации. Хранение, потоковая передача или последующее восстановление структурированных данных, созданных подсказками AI, сами по себе создают новые поверхности атаки». Cyata подтвердил, что при использовании одного подсказки существует 12 явных путей атаки, ведущих к разным сценариям.

После атаки злоумышленники могут через удалённые HTTP-запросы вызвать утечку переменных окружения, содержащих облачные кредиты, URL-адреса доступа к базам данных, информацию о векторных базах данных, API-ключи LLM и другие ценные данные. Особенно важно, что эта уязвимость является внутренним структурным дефектом самого LangChain Core и не требует сторонних инструментов или внешних интеграций. Cyata предупредил, что это «угроза, существующая на уровне пайплайна экосистемы».

В настоящее время исправление этой уязвимости выпущено вместе с версиями LangChain Core 1.2.5 и 0.3.81. Перед публикацией информации о проблеме команда LangChain была заранее уведомлена Cyata, и, по имеющейся информации, команда не только быстро отреагировала, но и приняла меры по усилению долгосрочной безопасности.

Соучредитель и генеральный директор Cyata, Shahar Tal, подчеркнул: «По мере того как AI-системы внедряются на промышленных объектах, вопрос о том, какие полномочия они получат, становится важнее, чем сама реализация кода. В архитектуре, основанной на идентификации агентов, минимизация полномочий и радиуса воздействия должны стать базовыми принципами проектирования».

Этот инцидент, по прогнозам, станет возможностью для индустрии AI (которая постепенно переходит от ручного вмешательства к автоматизации на базе агентов) переосмыслить основные принципы безопасности.