文章总结： LangChain框架曝出严重漏洞CVE-2025-68664，CVSS评分9.3。漏洞源于序列化函数未正确转义lc键，攻击者通过提示注入恶意JSON可触发非预期反序列化，进而窃取环境变量密钥或执行任意代码。受影响版本包括LangChain低于1.2.5及Core低于0.3.81，建议用户立即升级至修复版本以消除风险。 综合评分： 90 文章分类： AI安全,漏洞分析,漏洞预警

LangChain存在严重漏洞，威胁AI Agent机密数据安全

FreeBuf

2025年12月26日 18:31 上海

研究人员在流行的开源框架LangChain中发现一个关键漏洞，该框架广泛用于驱动大型语言模型（LLM）Agent。该漏洞编号为CVE-2025-68664，CVSS评分高达9.3分，该漏洞被命名为 “LangGrinch”，攻击者可能利用该漏洞提取敏感环境变量或触发非预期的系统操作。

Part01

漏洞根源：数据序列化缺陷

该漏洞源于LangChain处理数据序列化的方式——即将复杂对象转换为可存储或传输格式的过程。由于未能正确转义特定字典键，恶意数据可伪装成合法的LangChain对象。

问题的核心在于LangChain的dumps()和dumpd()函数。这些工具本应安全地序列化数据，但研究人员发现它们未能转义包含特定键”lc”的字典。

安全公告指出：”‘lc’键被LangChain内部用于标记序列化对象。当用户可控数据包含此键结构时，系统在反序列化过程中会将其视为合法的LangChain对象而非普通用户数据。”

Part02

攻击机制：提示注入向量

这个看似微小的疏忽打开了危险之门。如果攻击者能将带有该特定键的字典注入数据流（例如通过LLM的响应元数据），就能诱使系统在加载过程中执行内部逻辑。

该漏洞最令人担忧的是其潜在攻击向量：提示注入。报告称：”最常见的攻击向量是通过LLM响应字段（如additional_kwargs或response_metadata），这些字段可通过提示注入进行控制。”

在实际攻击场景中，攻击者可操纵LLM输出特定JSON结构。当应用程序处理此输出时，会在不知情的情况下反序列化恶意负载，后果可能非常严重。

Part03

危害影响：从数据泄露到任意代码执行

报告警告：”控制序列化数据的攻击者可提取环境变量中的机密信息。”通过注入类似{“lc”: 1, “type”: “secret”, “id”: [“ENV_VAR”]}的负载，攻击者可强制应用程序解析并泄露隐藏的API密钥或密码，特别是在应用程序使用旧版设置secrets_from_env=True运行时。

除数据窃取外，该漏洞还允许在受信任命名空间中实例化任意类，可能导致”网络调用或文件操作等副作用”。

Part04

受影响版本及修复方案

该漏洞影响LangChain生态系统的多个版本：

• LangChain Core：低于0.3.81的版本
• LangChain：1.0.0至1.2.5之前的版本

维护者已发布修复版本：

• LangChain 1.2.5
• LangChain Core 0.3.81

补丁修复了序列化函数中的转义逻辑，确保用户可控的”lc”键被视为无害数据而非可执行命令。

参考来源：

The “lc” Leak: Critical 9.3 Severity LangChain Flaw Turns Prompt Injections into Secret Theft

The “lc” Leak: Critical 9.3 Severity LangChain Flaw Turns Prompt Injections into Secret Theft

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《LangChain存在严重漏洞，威胁AI Agent机密数据安全》