何が起きたか
Langroid の SQLChatAgent には、防御多層の _validate_query レイヤーが搭載されており、その _DANGEROUS_SQL_PATTERNS 正規表現ブロックリストは危険な SQL プリミティブを特定の関数名で列挙しますが、リストが不完全またはバイパス可能であり、LLM 生成 SQL が基礎となるデータベース エンジンの危険な関数 (例: ファイル読み取り/書き込み、コマンド実行拡張) に到達することを許可します。
なぜ重要か
これは同じ週に開示されたより重大な Neo4jChatAgent サイファー インジェクション欠陥 (CVE-2026-55615) への先駆けとなる欠陥クラスで、LLM to クエリ エージェント設計で LLM 生成クエリのブロックリスト ベースのサニタイズは プロンプト インジェクションに対して十分に堅牢ではないという Langroid の体系的なパターンを確認しています。
攻撃経路
プロンプト インジェクションにより、LLM は不完全な正規表現ブロックリストで対象とされない危険なデータベース関数を使用する SQL を生成します。
影響を受けるシステム
Langroid (pip パッケージ) SQLChatAgent < 0.64.0
緩和策
Langroid ≥0.64.0 にアップグレードします。