TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > AI / 人工知能 > 「LangChain」に深刻な脆弱性 - APIキー流出のおそれ

「LangChain」に深刻な脆弱性 - APIキー流出のおそれ

AI / 人工知能 アプリ: LangChain

【要点】

◎LLM開発フレームワーク「LangChain」に深刻な脆弱性が判明し、APIキーなどのシークレット情報が流出する恐れがある。 (Security NEXT)


【要約】

Python向けLLM開発フレームワーク「LangChain」とJavaScript版「LangChain JS」に深刻な脆弱性が見つかった。CVE-2025-68664はエスケープ不備により、特定条件下でデシリアライズ時にコードが実行され、環境変数内のAPIキーなどが取得される恐れがある。CVSSは9.1でCritical評価。加えてLangChain JSではCVE-2025-68665(CVSS 8.6)が確認された。開発元は修正版を公開しており、互換性影響に注意しつつ速やかなアップデートが推奨されている。


【ニュース】

◆「LangChain」に深刻な脆弱性 - APIキー流出のおそれ (Security NEXT, 2025/12/24)
https://www.security-next.com/178953

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022