I framework per agenti AI stanno diventando il nuovo vettore di attacco preferito dai criminali informatici. Tre dei più diffusi strumenti per lo sviluppo di agenti intelligenti, LangGraph, Langflow e LangChain, sono stati recentemente colpiti da vulnerabilità che consentono l'esecuzione remota di codice e la lettura di dati sensibili. Non si tratta di exploit complessi, ma di bug classici come SQL injection, path traversal e deserializzazione non sicura, che però in questo contesto assumono una portata devastante perché si trovano nel cuore dell'infrastruttura AI aziendale.
La catena di attacco su LangGraph: dalla SQL injection al controllo totale
LangGraph, framework per la memoria degli agenti AI con oltre 50 milioni di download mensili, è stato analizzato da Check Point Research. Yarden Porat ha scoperto tre vulnerabilità, due delle quali concatenabili per ottenere l'esecuzione remota di codice. La prima, CVE-2025-67644 con punteggio CVSS 7.3, è una SQL injection nel checkpointer SQLite. La funzione che costruisce la clausola WHERE per le ricerche di checkpoint inserisce direttamente i filtri forniti dall'utente nella query, senza parametrizzazione. Un attaccante può quindi scrivere una riga falsificata nella tabella dei checkpoint. La seconda vulnerabilità, CVE-2026-28277 con CVSS 6.8, sfrutta il decoder msgpack di LangGraph, che ricostruisce oggetti Python dai dati memorizzati. Con accesso in scrittura al checkpoint store, l'attaccante può importare un modulo e chiamare una funzione arbitraria, come os.system. Una terza falla, CVE-2026-27022 con CVSS 6.5, raggiunge lo stesso risultato tramite il checkpointer Redis. Le versioni corrette sono langgraph-checkpoint-sqlite 3.0.1, langgraph 1.0.10 e langgraph-checkpoint-redis 1.0.2.
Sponsored Protocol
Langflow: attacchi in corso su 7.000 server esposti
La situazione per Langflow è ancora più critica. La vulnerabilità CVE-2026-5027, con CVSS 8.8, è un path traversal nell'endpoint POST /api/v2/files. Il nome del file viene preso direttamente dai dati del form senza sanificazione, consentendo a un attaccante di scrivere file arbitrari sul server, ad esempio un cron job in /etc/cron.d/. Poiché Langflow abilita l'auto-login di default, una singola richiesta non autenticata può portare all'esecuzione di codice. VulnCheck ha confermato lo sfruttamento attivo a partire dal 9 giugno 2026, con Censys che stima circa 7.000 istanze esposte, perlopiù in Nord America. Questa è la terza vulnerabilità di Langflow sfruttata attivamente quest'anno, dopo CVE-2025-34291, utilizzata dal gruppo iraniano MuddyWater e aggiunta al catalogo KEV di CISA. La patch è stata rilasciata il 15 aprile con la versione 1.9.0, ma molti non l'hanno ancora applicata.
Sponsored Protocol
LangChain-core: il loader di prompt che espone le chiavi API
LangChain-core, il fondamento degli altri due framework, presenta CVE-2026-34070 con CVSS 7.5, un path traversal nell'API di caricamento dei prompt. La funzione load_prompt() legge un percorso da un dizionario di configurazione senza controllare sequenze di traversal, permettendo a un attaccante di leggere file arbitrari, come il file .env contenente le chiavi API di OpenAI e Anthropic. Associata a questa, CVE-2025-68664 con CVSS 9.3 è una falla di deserializzazione che risolve segreti ambientali tramite un oggetto manipolato. Le versioni corrette sono langchain-core 1.2.22 e 0.3.86 per la prima, e 1.2.5 e 0.3.81 per la seconda. È fondamentale applicare entrambe le patch.
Sponsored Protocol
Perché gli scanner tradizionali non rilevano queste minacce
Merritt Baer, CSO di Enkrypt AI ed ex vice CISO di AWS, spiega che queste vulnerabilità non vengono percepite come problemi AI: "I CISO vivranno l'insicurezza di MCP non in astratto, ma quando un dipendente incolla dati sensibili in uno strumento, o quando un attaccante trova un server MCP non autenticato nel cloud." Le vulnerabilità risiedono nei framework importati, che i firewall e gli EDR non monitorano adeguatamente. Assaf Keren, CSO di Qualtrics, sottolinea l'errore di classificazione: "La maggior parte dei team di sicurezza classifica i framework AI come 'strumenti di produttività', esponendoli a rischi enormi." I team di sicurezza devono aggiornare le proprie policy, trattando questi framework come componenti critici.
Sponsored Protocol
Per approfondire, vedi anche l'analisi sulle implicazioni per le PMI in questo articolo: Meta in rivolta, Thiel in segreto, SBF in prigione. Inoltre, la guida al No-Code e Low-Code offre spunti su come gestire framework non sicuri. Per un contesto più ampio, consulta la pagina Wikipedia sulla sicurezza informatica.
Fonte: https://venturebeat.com/security/7000-langflow-servers-under-attack-langgraph-langchain-same-holes
