VentureBeat описывает новую волну рисков вокруг инфраструктуры AI agents: уязвимости в популярных фреймворках Langflow, LangGraph и LangChain-core могут приводить к удалённому выполнению кода или чтению секретов. По данным издания, Censys видел примерно 7 000 открытых в интернете экземпляров Langflow, а VulnCheck подтвердила эксплуатацию CVE-2026-5027 в реальной среде.

Главная мысль расследования проста: проблема не в frontier-моделях, а в «сантехнике» вокруг них. AI-agent фреймворки хранят состояние, принимают загрузки файлов, читают prompt-конфигурации и часто имеют доступ к ключам OpenAI, Anthropic, базам данных, CRM и внутренним API. Если такой слой уязвим, атакующий получает не абстрактный AI-риск, а классический доступ к серверу или секретам.

LangGraph даёт агентам память через checkpointers — слой, который хранит состояние выполнения. Check Point Research нашла в нём несколько уязвимостей. CVE-2025-67644, оценённая в CVSS 7.3, представляет собой SQL injection в SQLite checkpointer: при определённых условиях пользовательский ввод попадал в WHERE clause без параметризации. В связке с CVE-2026-28277, CVSS 6.8, это может привести к выполнению кода через msgpack checkpoint decoder, который восстанавливает Python-объекты из сохранённых данных. Исправления указаны для langgraph-checkpoint-sqlite 3.0.1, langgraph 1.0.10 и langgraph-checkpoint-redis 1.0.2.

Langflow столкнулся с другой классической проблемой — path traversal в endpoint загрузки файлов. VulnCheck сообщила, что её canary-системы наблюдали эксплуатацию CVE-2026-5027 9 июня: запросы успешно записывали тестовые файлы на системы жертв. Уязвимость была исправлена в Langflow 1.9.0, выпущенном 15 апреля, но атаки начались спустя недели после появления патча.

В LangChain-core обнаружена CVE-2026-34070, CVSS 7.5: path traversal в legacy API загрузки prompt позволял читать произвольные файлы, доступные процессу, включая .env с ключами моделей. VentureBeat также упоминает CVE-2025-68664, CVSS 9.3, связанную с десериализацией и разрешением секретов из окружения. Для закрытия обеих проблем нужно внимательно сверять версии: CVE-2026-34070 исправлена в langchain-core 1.2.22 и 0.3.86, а CVE-2025-68664 — в 1.2.5 и 0.3.81.

Для компаний, внедряющих agentic AI, вывод практический: эти фреймворки нужно инвентаризировать как производственную инфраструктуру, а не как экспериментальную библиотеку разработчика. Открытые Langflow-инстансы следует убрать из интернета или закрыть аутентификацией, обновить LangGraph, Langflow и LangChain-core до безопасных версий, ротировать ключи после признаков эксплуатации и проверять, не попали ли .env, checkpoint-хранилища и upload-директории в зону доступа внешних пользователей.

Источник: VentureBeat, 19 июня 2026