Coraz więcej organizacji wdraża autonomicznych agentów AI wspierających obsługę klienta, zarządzanie procesami biznesowymi czy analizę danych. Rozwiązania te często posiadają dostęp do systemów CRM, baz danych oraz innych kluczowych zasobów przedsiębiorstwa. Specjaliści Check Point Research – powołując się na swoje ostatnie badanie – ostrzegają, że błędy bezpieczeństwa w platformach wykorzystywanych do budowy takich systemów mogą prowadzić do poważnych konsekwencji dla organizacji.
Eksperci Check Point Research odkryli krytyczny łańcuch podatności w LangGraph – popularnym frameworku open source rozwijanym przez twórców LangChain. Narzędzie, pobierane średnio około 46,5 miliona razy miesięcznie, jest wykorzystywane do tworzenia zaawansowanych, opartych na dużych modelach językowych (LLM) agentów AI, którzy potrafią przechowywać stan, podejmować decyzje i realizować wieloetapowe zadania.
Jak jeden błąd rodzi katastrofę?
Badania wykazały, że połączenie dwóch odrębnych luk bezpieczeństwa może umożliwić przejęcie kontroli nad serwerem obsługującym środowisko LangGraph. Pierwsza z nich dotyczy podatności typu SQL Injection w funkcji get_state_history(), która odpowiada za pobieranie historii działania agentów AI. Umożliwia ona manipulowanie zapytaniami kierowanymi do baz danych SQLite lub Redis. Druga luka związana jest z niebezpiecznym procesem deserializacji danych przy użyciu mechanizmu msgpack. W odpowiednich warunkach pozwala to na wykonanie złośliwego kodu bezpośrednio na serwerze.
Połączenie obu podatności może prowadzić do zdalnego wykonania kodu (Remote Code Execution – RCE), co w praktyce oznacza możliwość przejęcia pełnej kontroli nad środowiskiem, w którym działa agent AI.
Zagrożenie inne niż wszystkie
Znaczenie tej podatności wykracza poza typowe zagrożenia związane z chatbotami czy manipulacją promptami. Agenci AI często posiadają dostęp do szerokiego zakresu zasobów organizacji, dlatego naruszenie serwera LangGraph może skutkować ujawnieniem kluczy API wykorzystywanych do komunikacji z modelami językowymi, historii konwersacji, danych klientów, rekordów CRM, zgłoszeń helpdeskowych oraz innych informacji przetwarzanych przez agenta. Dodatkowo przejęty serwer może stać się punktem wejścia do dalszych ataków na wewnętrzną infrastrukturę przedsiębiorstwa.
Jak podkreślają badacze Check Point Research, jest to sytuacja jakościowo odmienna od klasycznych ataków typu prompt injection. W tym przypadku zagrożone jest nie pojedyncze zapytanie czy sesja użytkownika, lecz całe środowisko wykonawcze agenta AI wraz z wszystkimi danymi i uprawnieniami, którymi dysponuje.
Podatność dotyczy wdrożeń self-hosted wykorzystujących mechanizmy przechowywania stanu oparte na SQLite lub Redis oraz aplikacji udostępniających funkcję get_state_history() z parametrami kontrolowanymi przez użytkownika. Problem nie wpływa natomiast na zarządzaną platformę LangSmith Deployment, która korzysta z innej architektury przechowywania danych.
Co istotne, w ramach procesu odpowiedzialnego ujawniania podatności Check Point Research współpracował z zespołem LangChain nad przygotowaniem i weryfikacją poprawek. Wszystkie zidentyfikowane luki zostały już usunięte. Jednocześnie, organizacje korzystające z podatnych wersji powinny niezwłocznie przeprowadzić aktualizację do bezpiecznych wydań, w tym między innymi do langgraph 1.0.10 oraz langgraph-checkpoint-sqlite 3.0.1 lub nowszych.
Zdaniem badaczy odkrycie to pokazuje szerszy problem związany z bezpieczeństwem systemów agentowych. Klasyczne podatności, takie jak SQL Injection, mogą mieć znacznie poważniejsze konsekwencje w środowiskach AI, ponieważ działające tam agenty dysponują szerokimi uprawnieniami i dostępem do wrażliwych danych. Dlatego organizacje rozwijające rozwiązania oparte na agentach AI powinny regularnie przeprowadzać testy bezpieczeństwa oraz działania AI Red Teaming, które pozwalają identyfikować złożone scenariusze ataków jeszcze przed ich wykorzystaniem przez cyberprzestępców.
