Apa yang terjadi
Neo4jChatAgent Langroid meneruskan query Cypher yang LLM-generated langsung ke driver Neo4j tanpa validasi, tanpa allowlist tipe pernyataan, dan tanpa gerbang opt-out. Karena teks query dapat dipengaruhi oleh prompt injection (input pengguna langsung atau konten RAG-ingested tidak langsung), penyerang yang dapat mempengaruhi prompt dapat membaca atau menghancurkan semua data graph, dan — ketika prosedur APOC atau dbms.security diaktifkan — mencapai akses perintah OS dan filesystem pada server Neo4j. Kelas cacat yang sama seperti isu SQLChatAgent yang sebelumnya diperbaiki prompt-to-SQL-to-RCE (CVE-2026-50180) dalam versi 0.63.
Mengapa penting
Ini memperluas pola unsafe-code-generation yang diketahui (prompt-to-query-to-RCE) dari SQL ke database graph, berarti deployment Langroid apa pun yang mengintegrasikan Neo4j untuk chat/RAG terekspos terhadap penghancuran graph penuh melalui prompt injection, dengan jalur ke RCE tingkat host tergantung pada konfigurasi Neo4j — kerusakan framework agen keparahan tinggi, dapat diterapkan secara luas.
Vektor serangan
Prompt injection menyebabkan LLM menghasilkan query Cypher berbahaya yang diteruskan tanpa validasi ke driver Neo4j, memungkinkan penghancuran data dan, dengan APOC/dbms.security diaktifkan, eksekusi perintah OS
Sistem yang terdampak
Langroid (pip package) Neo4jChatAgent < 0.65.5
Mitigasi
Upgrade ke Langroid ≥0.65.5; nonaktifkan prosedur APOC/dbms.security pada instance Neo4j produksi yang digunakan oleh agen chat