Czy AI staje się naszym największym wrogiem? Krytyczna podatność w LangGraph może prowadzić do przejęcia infrastruktury AI.
Coraz więcej organizacji wdraża autonomicznych agentów AI wspierających obsługę klienta, zarządzanie procesami biznesowymi czy analizę danych. Rozwiązania te często posiadają dostęp do systemów CRM, baz danych oraz innych kluczowych zasobów przedsiębiorstwa. Specjaliści Check Point Research - powołując się na swoje ostatnie badanie - ostrzegają, że błędy bezpieczeństwa w platformach wykorzystywanych do budowy takich systemów mogą prowadzić do poważnych konsekwencji dla organizacji.
2026-06-12, 09:59

Eksperci Check Point Research odkryli krytyczny łańcuch podatności w LangGraph - popularnym frameworku open source rozwijanym przez twórców LangChain. Narzędzie, pobierane średnio około 46,5 miliona razy miesięcznie, jest wykorzystywane do tworzenia zaawansowanych, opartych na dużych modelach językowych (LLM) agentów AI, którzy potrafią przechowywać stan, podejmować decyzje i realizować wieloetapowe zadania.


Jak jeden błąd rodzi katastrofę?      

Badania wykazały, że połączenie dwóch odrębnych luk bezpieczeństwa może umożliwić przejęcie kontroli nad serwerem obsługującym środowisko LangGraph. Pierwsza z nich dotyczy podatności typu SQL Injection w funkcji get_state_history(), która odpowiada za pobieranie historii działania agentów AI. Umożliwia ona manipulowanie zapytaniami kierowanymi do baz danych SQLite lub Redis. Druga luka związana jest z niebezpiecznym procesem deserializacji danych przy użyciu mechanizmu msgpack. W odpowiednich warunkach pozwala to na wykonanie złośliwego kodu bezpośrednio na serwerze.

Połączenie obu podatności może prowadzić do zdalnego wykonania kodu (Remote Code Execution - RCE), co w praktyce oznacza możliwość przejęcia pełnej kontroli nad środowiskiem, w którym działa agent AI.


Zagrożenie inne niż wszystkie  

Znaczenie tej podatności wykracza poza typowe zagrożenia związane z chatbotami czy manipulacją promptami. Agenci AI często posiadają dostęp do szerokiego zakresu zasobów organizacji, dlatego naruszenie serwera LangGraph może skutkować ujawnieniem kluczy API wykorzystywanych do komunikacji z modelami językowymi, historii konwersacji, danych klientów, rekordów CRM, zgłoszeń helpdeskowych oraz innych informacji przetwarzanych przez agenta. Dodatkowo przejęty serwer może stać się punktem wejścia do dalszych ataków na wewnętrzną infrastrukturę przedsiębiorstwa.       

Jak podkreślają badacze Check Point Research, jest to sytuacja jakościowo odmienna od klasycznych ataków typu prompt injection. W tym przypadku zagrożone jest nie pojedyncze zapytanie czy sesja użytkownika, lecz całe środowisko wykonawcze agenta AI wraz z wszystkimi danymi i uprawnieniami, którymi dysponuje.           

Podatność dotyczy wdrożeń self-hosted wykorzystujących mechanizmy przechowywania stanu oparte na SQLite lub Redis oraz aplikacji udostępniających funkcję get_state_history() z parametrami kontrolowanymi przez użytkownika. Problem nie wpływa natomiast na zarządzaną platformę LangSmith Deployment, która korzysta z innej architektury przechowywania danych.           

Co istotne, w ramach procesu odpowiedzialnego ujawniania podatności Check Point Research współpracował z zespołem LangChain nad przygotowaniem i weryfikacją poprawek. Wszystkie zidentyfikowane luki zostały już usunięte. Jednocześnie, organizacje korzystające z podatnych wersji powinny niezwłocznie przeprowadzić aktualizację do bezpiecznych wydań, w tym między innymi do langgraph 1.0.10 oraz langgraph-checkpoint-sqlite 3.0.1 lub nowszych.

Zdaniem badaczy odkrycie to pokazuje szerszy problem związany z bezpieczeństwem systemów agentowych. Klasyczne podatności, takie jak SQL Injection, mogą mieć znacznie poważniejsze konsekwencje w środowiskach AI, ponieważ działające tam agenty dysponują szerokimi uprawnieniami i dostępem do wrażliwych danych. Dlatego organizacje rozwijające rozwiązania oparte na agentach AI powinny regularnie przeprowadzać testy bezpieczeństwa oraz działania AI Red Teaming, które pozwalają identyfikować złożone scenariusze ataków jeszcze przed ich wykorzystaniem przez cyberprzestępców.

KONTAKT / AUTOR
Anton Kasparov
POBIERZ JAKO WORD
Pobierz .docx
BezpieczenstwoIT
Biuro prasowe dostarcza WhitePress
Copyright © 2015-2026.  Dla dziennikarzy
Strona, którą przeglądasz jest dedykowaną podstroną serwisu biuroprasowe.pl, administrowaną w zakresie umieszczanych na niej treści przez danego użytkownika usługi Wirtualnego biura prasowego, oferowanej przez WhitePress sp. z o.o. z siedzibą w Bielsku–Białej.

WhitePress sp. z o.o. nie ponosi odpowiedzialności za treści oraz odesłania do innych stron internetowych zamieszczone na podstronach serwisu przez użytkowników Wirtualnego biura prasowego lub zaciągane bezpośrednio z innych serwisów, zgodnie z wybranymi przez tych użytkowników ustawieniami.

W przypadku naruszenia przez takie treści przepisów prawa, dóbr osobistych osób trzecich lub innych powszechnie uznanych norm, podmiotem wyłącznie odpowiedzialnym za naruszenie jest dany użytkownik usługi, który zamieścił przedmiotową treść na dedykowanej podstronie serwisu.