Penjelasan teknis
Versi LangChain sebelum 0.3.85 (v0) dan 1.3.3 (v1) berisi jalur kode runtime yang mendeserialisasi input run, output run, atau muatan lain yang dikontrol aplikasi menggunakan daftar izin objek yang terlalu luas. Jalur-jalur ini memanggil load() dengan pengaturan deserialisasi permisif, yang berpotensi memungkinkan eksekusi kode sewenang-wenang jika penyerang dapat mempengaruhi data yang mengalir melalui agent run — termasuk melalui injeksi prompt, respons alat MCP, atau hasil pengambilan RAG yang masuk ke dalam keadaan run terserialisasi.
Vektor serangan
Penyerang yang dapat mempengaruhi data input atau output run LangChain (misalnya melalui injeksi prompt ke dalam respons alat agent, konten dokumen RAG berbahaya, atau respons server MCP yang dikompromikan) dapat memicu jalur deserialisasi yang tidak aman, mencapai eksekusi kode dalam proses host. Tidak ada autentikasi yang diperlukan jika agent menangani data eksternal yang tidak dipercaya.
Sistem yang terdampak
Versi LangChain 0.x sebelum 0.3.85 dan 1.x sebelum 1.3.3. Tersebar luas di seluruh pipeline AI agentic perusahaan, aplikasi RAG, dan kerangka kerja penggunaan alat LLM.
Mitigasi
Tingkatkan ke langchain >= 0.3.85 (cabang v0) atau >= 1.3.3 (cabang v1) segera. Audit semua pipeline agent LangChain yang memproses data eksternal yang tidak dipercaya (input pengguna, konten web, pengambilan dokumen, respons alat) untuk jalur eksploitasi potensial. Tinjau penggunaan load() dengan pengaturan deserialisasi permisif dalam integrasi kustom.