文章总结： LangChain核心包曝出CVSS9.3的LangGrinch漏洞，攻击者利用序列化缺陷通过Prompt注入窃取APIKey或执行代码。同时，n8n平台也存在命令执行漏洞。建议立即升级LangChain至1.2.5以上及n8n至1.120.4以上；若无法升级，需严格限制对象白名单并关闭环境变量读取以缓解风险。 综合评分： 90 文章分类： 漏洞预警,AI安全,漏洞分析

CVSS 9.3！LangChain 爆出“偷家”漏洞，AI 时代的第一根安全毒刺？

原创

知机安全

知机安全

2025年12月29日 08:00 广东

几乎被所有 AI 开发者视作“标配”的 LangChain 核心包，被曝出一个编号为 CVE-2025-68664 的致命漏洞，代号为 “LangGrinch”。

风险概述：

该漏洞的威胁在于：攻击者无需直接攻击防火墙，只需通过对话框发送特定的 Prompt 注入指令，即可诱导 AI 系统泄露企业的 API Key，甚至在目标服务器上获取执行权限。

01.底层原理：序列化的隐患

该漏洞源于 LangChain 在处理数据时的“打包”与“解包”逻辑（即序列化与反序列化）。

为了识别内部特定的数据对象，LangChain 开发者设定了一个特殊标记：lc。

打个比方：系统安保逻辑只认“工牌”（lc 标记）而不核验人员身份。攻击者通过构造带有“伪造工牌”的恶意数据包，并将其潜伏在提示词（Prompt）中，便能轻易绕过校验机制，进入系统核心执行流。

02.风险矩阵：攻击者能做什么？

一旦恶意构造的“伪造对象”被系统加载，可能引发连锁反应：

• 敏感信息泄露：

  若系统开启了相关环境变量，攻击者可诱导 AI 吐出 OpenAI API Key、数据库登录凭据、AWS 密钥等核心资产。

• 远程代码执行 (RCE)：

  配合 AI 的工具调用（Tool Calling）功能，攻击者能通过 Jinja2 模板等引擎在服务器上执行任意代码。

• 隐形权限劫持：

  AI 可能会在开发者无感知的情况下，成为黑客操作内网的远程终端。

这标志着“传统安全漏洞”正式与“AI 特性”合流，AI 的“大脑”亟需装上一扇可靠的防盗门。

03.n8n 漏洞：CVSS 9.9 的极限威胁

除 LangChain 外，自动化工作流平台 n8n 近期也被爆出高危漏洞（CVE-2025-68613），CVSS 评分高达 9.9。

该漏洞允许认证用户在配置工作流时，通过特定表达式实现服务器端的任意命令执行。考虑到目前全球有大量 n8n 实例暴露在公网，这一风险不容小觑。

04.修复建议与合规指南

为确保生产环境安全，建议相关开发团队立即执行以下操作：

1. LangChain 用户升级路径：

Python 版 langchain-core

受影响版本：>= 1.0.0, < 1.2.5 或 < 0.3.81 ✅ 安全版本：升级至 1.2.5 或 0.3.81 以上

JS/TS 版

✅ 安全版本：请更新至最新正式版

2. n8n 用户升级路径：

受影响版本：>= 0.211.0 且 < 1.120.4 ✅ 安全版本：升级至 1.120.4 / 1.121.1 / 1.122.0 或更高

3. 临时缓解措施：

若无法立即升级，请在代码逻辑中严格限制 allowed_objects 白名单，并将 secrets_from_env 手动设置为 False。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：知机安全 知机安全《CVSS 9.3！LangChain 爆出“偷家”漏洞，AI 时代的第一根安全毒刺？》