AI框架漏洞危机：7000服务器面临风险

您的AI智能体严格按照设计执行任务，但其底层框架却将攻击者引入了存放OpenAI密钥、数据库凭证和CRM令牌的服务器，并获取了shell访问权限。

这并非假设。在短短几个月内，三种广泛部署的AI智能体框架都将已知且普通的漏洞类别转化为攻击通道。Check Point Research通过在LangGraph的SQLite检查点中链接SQL注入实现了完整的远程代码执行。Tenable和VulnCheck追踪到Langflow文件上传端点中的路径遍历漏洞，可导致活跃的野外远程代码执行。Cyera记录了LangChain-core提示加载器中的路径遍历漏洞，该漏洞可从磁盘读取您的敏感信息。两条通往shell的路径，一条通向您的密钥。这些是相同的漏洞，只是披着三种框架的外衣。

这些框架成为生产基础设施的速度远超安全防护的建立速度。它们存储智能体状态、接收文件上传、加载提示配置，并持有数据库、CRM和内部API的凭证。边缘工具监控流量，终端工具监控进程，但两者都未被设计为将导入的框架视为需要防护的边界，而这个盲区恰恰是所有三种攻击链所在的地方，随着这些框架部署到生产环境，这一盲区每周都在扩大。

LangGraph攻击链：SQL注入到Python shell

从本季度大多数团队投入生产的环境开始。LangGraph通过检查点（checkpointers）为AI智能体提供记忆功能，这些检查点是存储执行状态的持久化层。该框架每月已超过5000万次下载。Check Point Research的Yarden Porat对该层进行了分析，发现了三个漏洞，其中两个可以链接到远程代码执行。

CVE-2025-67644（CVSS评分7.3）是SQLite检查点中的一个SQL注入漏洞。用于构建检查点查找WHERE子句的函数直接将用户控制的过滤键放入查询中，没有参数化和转义。这并非影响所有部署，但在受影响的部署中，情况非常严重。当部署自托管LangGraph使用SQLite或Redis检查点，并允许不受信任的输入到达get_state_history()或类似的记录端点时，该部署就会暴露。满足这些条件后，控制过滤器的攻击者可以直接将伪造的行写入检查点表。如果使用PostgreSQL运行LangChain的托管LangSmith平台，则此风险会消失。

然后是CVE-2026-28277（CVSS评分6.8），它完成了整个攻击过程。LangGraph的msgpack检查点解码器从存储的数据中重建Python对象，这使其能够导入模块并使用攻击者提供的参数调用指定函数。这一步需要对检查点存储具有写入权限；SQL注入就是远程获取此权限的方法。LangGraph将伪造的行作为合法的检查点加载，解码器运行指定的函数（包括os.system），代码在智能体服务器的身份下执行。第三个问题CVE-2026-27022（CVSS评分6.5）通过Redis检查点到达相同的位置。

目前尚未发现野外有确切的攻击实例。Check Point的披露中已经公开了有效的概念验证代码。修复方法是版本升级：langgraph-checkpoint-sqlite升至3.0.1，langgraph升至1.0.10，langgraph-checkpoint-redis升至1.0.2。

Langflow攻击链：一次未认证请求实现远程代码执行

Langflow已经是遭受攻击的框架。CVE-2026-5027（CVSS评分8.8）是POST /api/v2/files端点中的路径遍历漏洞，该端点直接从表单数据中获取文件名并未经净化就写入磁盘。攻击者使用遍历序列填充该文件名，可以将文件写入任何位置，例如/etc/cron.d/中的计划任务。由于Langflow在其默认配置中启用自动登录，暴露的实例完全不需要任何凭据。单个未认证的请求到达端点，下一次计划任务执行就会交出shell权限。

VulnCheck的Caitlin Condon于6月9日确认了攻击实例：”我们的蜜罐观察到CVE-2026-5027的攻击成功利用路径遍历在受害系统上写入了似乎是测试文件的文件。”Censys估计互联网上约有7000个暴露的实例，大多数位于北美。这是今年第三个被积极利用的Langflow漏洞，继CVE-2025-34291之后，后者被伊朗国家支持的MuddyWater组织武器化，并于5月被CISA添加到其已知漏洞利用目录中。CVE-2026-5027本身已在4月15日发布的1.9.0版本中修复。

时间线设定了时钟。补丁于4月15日发布，攻击于6月开始，VulnCheck在6月8日将其添加到已利用漏洞列表，一旦其传感器捕获到首次野外攻击。在这两个日期之间所有未打补丁的实例已经暴露在野外近两个月。安全团队的教训是应从披露开始启动补丁时钟，而不是从联邦目录条目开始。

LangChain-core漏洞：通过提示加载器读取任意文件

LangChain-core作为两者基础，披露了CVE-2026-34070（CVSS评分7.5），这是其传统提示加载API中的路径遍历漏洞。load_prompt()函数从配置字典中读取文件路径，没有检查遍历序列或绝对路径，因此影响该路径的攻击者可以读取进程能够访问的任意文件，包括包含OPENAI_API_KEY和ANTHROPIC_API_KEY的.env文件。Cyera将其与CVE-2025-68664（CVSS评分9.3）结合使用，这是一个反序列化漏洞，通过精心设计的对象解析环境密钥。修复版本不同，这在打补丁时很重要：CVE-2026-34070在langchain-core 1.2.22和0.3.86中修复；CVE-2025-68664在更早的1.2.5和0.3.81中修复。必须同时清除两者，否则高严重性漏洞在修补的漏洞后仍然存在。

三个框架，三种经典的应用安全漏洞。路径遍历、SQL注入和不安全的反序列化。没有异国情调的，没有AI特定的，只是存在于新基础设施中的旧漏洞。这都不是前沿模型的问题。它是管道，位于AI与企业交汇的层面。

为什么扫描器无法发现这些问题

Enkrypt AI的首席安全官Merritt Baer（前AWS副首席信息安全官）指出了导致此类故障难以预见的原因。它不会作为AI问题自我宣告。”首席信息安全官将经历MCP（模型控制协议）不安全，不是在抽象层面，而是在员工将敏感数据粘贴到工具中，或攻击者在您的云中找到未认证的MCP服务器时，”Baer告诉VentureBeat。”它不会感觉像’AI风险’，而是感觉您的传统安全计划正在失败。”这里的框架攻击链具有相同的形状。暴露的Langflow实例是您云中未认证的服务器，警报（如果触发）看起来像普通事件。

这就是一句话的差距。漏洞存在于您的代码导入的框架中。WAF（Web应用防火墙）永远不会看到三层之下运行的msgpack解码器。EDR（端点检测与响应）监控智能体服务器执行相同的操作…

关注微信号：智享开源，及时了解更新信息。

原文链接：https://venturebeat.com/security/7000-langflow-servers-under-attack-langgraph-langchain-same-holes