Các công nghệ cốt lõi của AI代理 có những thiếu sót chết người… phát ra cảnh báo "LangGrinch" của LangChain

Trong “LangChain Core” - thư viện đóng vai trò trung tâm trong vận hành đại lý AI - đã phát hiện lỗ hổng bảo mật nghiêm trọng. Vấn đề này được đặt tên là “LangGrinch”, có thể cho phép kẻ tấn công đánh cắp thông tin nhạy cảm trong hệ thống AI. Lỗ hổng này có thể làm lung lay nền tảng an ninh của nhiều ứng dụng AI trong thời gian dài, đang báo động toàn ngành.

Công ty khởi nghiệp an ninh AI Cyata Security đã công bố lỗ hổng này, mã số CVE-2025-68664, và xếp hạng mức độ rủi ro cao với điểm (CVSS)9.3 theo hệ thống đánh giá lỗ hổng chung. Vấn đề cốt lõi nằm ở việc các hàm phụ nội bộ trong LangChain Core, trong quá trình serialize và deserialize, có thể nhầm lẫn đầu vào của người dùng là đối tượng đáng tin cậy. Kẻ tấn công sử dụng kỹ thuật “tiêm lệnh gợi ý” để thao túng đầu ra có cấu trúc do đại lý tạo ra, chèn khóa đánh dấu nội bộ, khiến chúng sau này bị xử lý như đối tượng đáng tin cậy.

LangChain Core đóng vai trò trung tâm trong nhiều khung vận hành đại lý AI, với hàng chục triệu lượt tải trong 30 ngày qua. Thống kê tổng thể cho thấy tổng số lượt tải đã vượt quá 8.47 tỷ lần. Xem xét các ứng dụng liên kết với toàn bộ hệ sinh thái LangChain, các chuyên gia phân tích cho rằng tác động của lỗ hổng này sẽ rất rộng.

Nhà nghiên cứu an ninh của Cyata, Yarden Porat, giải thích: “Điểm đặc biệt của lỗ hổng này là nó không đơn thuần là vấn đề deserialize, mà xảy ra ngay trong quá trình serialize. Việc lưu trữ, truyền tải luồng hoặc khôi phục dữ liệu có cấu trúc do gợi ý AI tạo ra đã tự nó mở ra một bề mặt tấn công mới.” Cyata xác nhận rằng, chỉ với một lệnh gợi ý duy nhất, có thể có 12 đường tấn công rõ ràng dẫn đến các kịch bản khác nhau.

Khi tấn công thành công, có thể dẫn đến rò rỉ biến môi trường từ xa qua yêu cầu HTTP, bao gồm các thông tin giá trị cao như chứng thực đám mây, URL truy cập cơ sở dữ liệu, thông tin cơ sở dữ liệu vector, khóa API LLM, v.v. Đặc biệt nghiêm trọng là lỗ hổng này chỉ do chính cấu trúc nội bộ của LangChain Core tạo ra, không cần đến công cụ hoặc tích hợp bên thứ ba. Cyata cảnh báo rằng đây là “mối đe dọa tồn tại trong tầng pipeline của hệ sinh thái.”

Hiện tại, bản vá bảo mật đã được phát hành cùng với các phiên bản LangChain Core 1.2.5 và 0.3.81. Trước khi công khai, Cyata đã thông báo trước cho nhóm vận hành LangChain, và theo thông tin, nhóm này không chỉ phản hồi ngay lập tức mà còn thực hiện các biện pháp tăng cường an ninh lâu dài.

Người sáng lập kiêm CEO của Cyata, Shahar Tal, nhấn mạnh: “Khi hệ thống AI được triển khai toàn diện trong các nhà máy công nghiệp, việc xác định quyền hạn cuối cùng của hệ thống đã trở thành vấn đề an ninh cốt lõi hơn cả việc thực thi mã. Trong kiến trúc dựa trên nhận dạng danh tính đại lý, tối thiểu hóa quyền hạn và giảm thiểu phạm vi tác động phải trở thành các yếu tố thiết kế cơ bản.”

Sự kiện này dự kiến sẽ trở thành một cơ hội để ngành công nghiệp AI (với trọng tâm đang dần chuyển từ can thiệp thủ công sang tự động dựa trên đại lý) xem xét lại các nguyên tắc thiết kế an ninh cốt lõi.