langchain-bug

Link

• https://github.com/advisories/GHSA-c67j-w6g6-q2cm
• https://news.ycombinator.com/item?id=46386009
• https://www.bilibili.com/video/BV1pSBeBhEmF

Description

在 2025 年圣诞节之际，langchain 出现高危漏洞，CVSS 评分达 9.3 分。

使用 langchain-core 所有版本的用户，使用 streaming、缓存、消息历史的应用，都存在漏洞。

Cause of the problem

langchain 用 lc 标记区分 序列化对象 和 普通用户数据，而 dumps() 在序列化数据的时候，没有检查用户输入
是否包含这个标记，那么攻击者可以伪造一个带 lc 标记的恶意数据，让系统误以为是合法 langchain 对象。

Process of the attack

1. 攻击者构造恶意 Prompt
2. LLM 输出包含 lc 标记的内容
3. 通过 additional_kwargs / response_metadata 流入系统
4. 在 streaming、缓存、消息历史中被序列化
5. 反序列化时被当作 langchain 对象执行
6. 环境变量泄露/代码执行

Review and evaluation

AI 应用边界在哪里？团队是否知道 Agent 系统运行在哪？哪些服务访问敏感数据？LLM 输出流如何？

是不是应该对用户输入及 LLM 输出建立 不信任原则！