Krytyczna luka w popularnej platformie LangGraph. Hakerzy mogli przejąć agentów AI i dane firm

Badacze Check Point Research wykryli groźny łańcuch podatności w frameworku LangGraph, wykorzystywanym do budowy autonomicznych agentów AI. Połączenie dwóch luk mogło umożliwić przejęcie kontroli nad serwerami obsługującymi agentów, a w konsekwencji dostęp do danych klientów, systemów CRM czy kluczy API. Problem został już usunięty, jednak eksperci ostrzegają, że podobne zagrożenia będą coraz częściej dotyczyć środowisk agentowej AI.

Autonomiczni agenci AI są coraz częściej wykorzystywani do obsługi klientów, automatyzacji procesów biznesowych czy analizy danych. Bywa, że mają przy tym dostęp do kluczowych zasobów organizacji, takich jak systemy CRM, bazy danych czy wewnętrzne aplikacje. Zdaniem ekspertów Check Point Research, oznacza to że błędy bezpieczeństwa w platformach służących do budowy takich rozwiązań mogą prowadzić do znacznie poważniejszych konsekwencji niż w przypadku tradycyjnych aplikacji.

Badacze odkryli krytyczny łańcuch podatności w LangGraph – popularnym frameworku open source rozwijanym przez twórców LangChain. Narzędzie to wykorzystywane jest do tworzenia zaawansowanych agentów AI opartych na dużych modelach językowych (LLM), zdolnych do podejmowania decyzji i realizowania wieloetapowych zadań.

Według analizy Check Point, połączenie dwóch odrębnych podatności mogło prowadzić do zdalnego wykonania kodu (RCE) i przejęcia pełnej kontroli nad serwerem. Pierwsza luka dotyczyła podatności typu SQL Injection w funkcji odpowiedzialnej za pobieranie historii działania agentów AI. Druga była związana z niebezpiecznym procesem deserializacji danych. W odpowiednich warunkach atakujący mógł wykorzystać oba błędy do uruchomienia własnego kodu na serwerze obsługującym środowisko LangGraph.

Przejęcie całego środowiska agenta AI

Jak podkreślają eksperci, zagrożenie różni się od popularnych ataków typu prompt injection. W tym przypadku celem nie jest pojedyncza rozmowa z chatbotem, lecz całe środowisko wykonawcze agenta AI. Przejęcie serwera mogłoby skutkować dostępem do kluczy API, historii konwersacji, danych klientów, zgłoszeń helpdeskowych, rekordów CRM oraz innych informacji przetwarzanych przez agenta. Zaatakowana infrastruktura mogłaby również posłużyć jako punkt wyjścia do dalszej penetracji sieci przedsiębiorstwa.

Podatność dotyczyła wdrożeń self-hosted wykorzystujących mechanizmy przechowywania danych oparte na SQLite lub Redis. Problem nie obejmował natomiast zarządzanej platformy LangSmith Deployment. Check Point Research współpracował z zespołem LangChain w ramach procesu odpowiedzialnego ujawniania podatności. Wszystkie wykryte luki zostały już usunięte. Organizacjom korzystającym z LangGraph zaleca się jednak jak najszybszą aktualizację do bezpiecznych wersji oprogramowania.