Souhrn
Společnost Cyata Security Ltd. odhalila kritickou zranitelnost nazvanou LangGrinch v knihovně langchain-core, která slouží jako jádro pro vývoj AI agentů v frameworku LangChain. Tato chyba umožňuje útočníkům prostřednictvím injekce do výstupů AI odcizovat citlivá tajemství uložená v systémech. Zranitelnost má CVSS skóre 9.3 a postihuje široce používanou knihovnu s stovkami milionů stažení.
Klíčové body
- Zranitelnost CVE-2025-68664 (LangGrinch) v langchain-core umožňuje exfiltraci tajemství a potenciálně vzdálené spuštění kódu.
- Knihovna langchain-core má přes 847 milionů stažení celkem a desítky milionů za poslední měsíc, široce se používá v produkčních AI aplikacích.
- Exploit probíhá přes injekci do strukturovaných výstupů AI, které nejsou řádně escapovány při serializaci.
- Objevili ji výzkumníci z Cyata Security Ltd., startupu specializujícího se na bezpečnost AI systémů.
- Aktualizace byla zveřejněna 25. prosince 2025.
Podrobnosti
LangChain je open-source framework pro vývoj aplikací založených na velkých jazykových modelech (LLM), který umožňuje vytvářet autonomní AI agenty schopné řetězení nástrojů, paměti a externích datových zdrojů. Knihovna langchain-core tvoří jeho základní vrstvu, zpracovávající serializaci a deserializaci dat mezi komponentami. Podle dat z veřejných trackerů byla langchain-core stažena 847 milionůkrát, přičemž za posledních 30 dní to bylo desítky milionů. Širší balíček LangChain dosahuje 98 milionů stažení měsíčně, což ukazuje na jeho hlubokou integraci do AI workflowů v produkčních prostředích.
Zranitelnost LangGrinch (CVE-2025-68664) spočívá v chybě při serializaci a deserializaci strukturovaných dat v vestavěných pomocných funkcích langchain-core. Útočník může zmanipulovat AI agenta prostřednictvím prompt injection – techniky, kdy škodlivý vstup ovlivní chování modelu. Agent pak vygeneruje strukturovaný výstup obsahující interní marker key knihovny LangChain. Tento klíč není při serializaci řádně escapován, takže při následné deserializaci je interpretován jako důvěryhodný interní objekt místo neověřeného uživatelského vstupu. To umožňuje injekci libovolného kódu nebo odcizení tajemství, jako jsou API klíče, hesla nebo konfigurační data uložená v agentových pamětech.
Jak zdůraznil výzkumník Yarden Porat z Cyata Security, zajímavostí je, že chyba leží v cestě serializace, nikoli deserializace. V agentových frameworkách se strukturovaná data často ukládají, streamují nebo rekonstruují napříč relacemi, což zvyšuje riziko. Cyata Security Ltd. je startup zaměřený na detekci bezpečnostních rizik v AI infrastruktuře, který analyzuje open-source komponenty používané v produkci. Tato zranitelnost byla označena jako kritická s CVSS 9.3 díky vysoké dostupnosti (AV:N), složitosti útoku (AC:L) a dopadům na důvěrnost (C:H) i integritu (I:H).
Proč je to důležité
Tato zranitelnost odhaluje systémová rizika v rychle se rozšiřujícím ekosystému agentických AI, kde langchain-core slouží jako společný denominator pro tisíce aplikací. AI agenti často zpracovávají citlivá data, včetně firemních tajemství nebo uživatelských údajů, a jejich nasazení v cloudu zvyšuje potenciál pro masivní útoky. Bez okamžité aktualizace hrozí kompromitace celých AI pipelineů, což by mohlo vést k únikům dat v sektorech jako finance, zdravotnictví nebo výzkum. V kontextu AI bezpečnosti to podtrhuje nutnost robustního auditu serializačních mechanismů a lepšího escapingu v frameworkách, které se stávají standardem. Pro vývojáře znamená povinnost okamžitě aktualizovat závislosti a implementovat dodatečné kontroly vstupů, aby se zabránilo exploitům v produkci.
Zdroj: 📰 SiliconANGLE News
