文章总结： LangChainCore曝出严重序列化注入漏洞CVE-2025-68664，攻击者可利用未转义的lc键实例化任意对象，导致窃取环境变量机密、代码执行及提示词注入。该漏洞影响Python和JavaScript版本，官方已发布补丁，默认禁用Jinja2并限制反序列化类，建议用户尽快升级至修复版本以防范AI与供应链安全风险。 综合评分： 91 文章分类： 漏洞预警,AI安全,供应链安全,漏洞分析

LangChain Core存在严重的序列化注入漏洞

Ravie Lakshmanan

代码卫士

2025年12月29日 18:46 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

LangChain Core中存在一个严重漏洞（CVE-2025-68664，CVSS评分为9.3分），可用于窃取敏感机密信息，甚至通过提示词注入影响大语言模型（LLM）的响应。

LangChain Core（即langchain-core）是LangChain生态系统的核心Python包，为构建基于LLM的应用程序提供核心接口和与模型无关的抽象层。该漏洞由安全研究员Yarden Porat于2025年12月4日报送，被命名为”LangGrinch”。该项目的维护方在公告中表示：”LangChain的dumps() 和dumpd() 函数存在序列化注入漏洞。这些函数在序列化自由格式字典时，未对包含‘lc’键的字典进行转义处理。”

“lc” 键是LangChain内部用于标记序列化对象的标识。当用户可控数据中包含此键结构时，在反序列化过程中会被视为合法的LangChain对象而非普通用户数据。

Cyata公司的研究员Porat指出，漏洞的核心在于这两个函数未能对包含“lc”键的用户可控字典进行转义处理。在框架内部序列化格式中，“lc” 标记代表LangChain对象。Porat解释道：“一旦攻击者能使LangChain编排循环序列化并随后反序列化包含‘lc’键的内容，他们就能实例化不安全的任意对象，可能触发多种有利于攻击者的路径。”

这可能造成多重危害：当反序列化时启用 “secrets_from_env=True” 参数（此前为默认设置），可提取环境变量中的机密信息；可在预批准的可信命名空间（如langchain_core、langchain、langchain_community）内实例化类；甚至可能通过Jinja2模板实现任意代码执行。

此外，该转义漏洞还使得攻击者能通过提示词注入，在metadata、additional_kwargs或response_metadata等用户可控字段中注入LangChain对象结构。

LangChain发布的补丁通过allowlist参数 “allowed_objects” 为load() 和loads() 函数引入了新的限制性默认设置，允许用户指定可序列化/反序列化的类。同时默认禁用Jinja2模板，并将“secrets_from_env”选项设为“False”以禁止从环境自动加载密钥。

受CVE-2025-68664影响的langchain-core版本包括：

• ≥ 1.0.0、< 1.2.5（已在1.2.5版本修复）
• < 0.3.81（已在0.3.81版本修复）

值得注意的是，LangChain.js中也存在类似的序列化注入漏洞，同样源于未正确转义包含“lc”键的对象，它可导致机密信息提取和提示词注入。该漏洞编号为CVE-2025-68665（CVSS评分8.6）。

受影响的npm软件包包括：

• @langchain/core ≥ 1.0.0、< 1.1.8（已在1.1.8版本修复）
• @langchain/core < 0.3.80（已在0.3.80版本修复）
• langchain ≥ 1.0.0、< 1.2.3（已在1.2.3版本修复）
• langchain < 0.3.37（已在0.3.37版本修复）

鉴于该漏洞的严重性，建议用户尽快升级至已修复版本以获得最佳防护。

Porat强调称：“最常见的攻击向量是通过LLM响应字段（如additional_kwargs或response_metadata）实现的。这些字段可通过提示词注入进行控制，随后在流式处理操作中被序列化/反序列化。这正是‘人工智能与传统安全交汇’的典型场景，企业往往在此类问题上疏于防范。LLM的输出属于不可信输入。”

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

LangChainGo 中存在严重漏洞，可用于访问敏感文件

VMware 修复严重的 vRealize 反序列化漏洞，可导致任意代码执行

Java库中充斥着大量反序列化安全弱点

YAML出现严重的反序列化漏洞，谷歌TensorFlow将采用 JSON

一步一步回顾分析攻防演习中的 WebLogic T3 反序列化 0day 漏洞

原文链接

https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html?m=1

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ravie Lakshmanan《LangChain Core存在严重的序列化注入漏洞》