技術的な説明
0.3.85 (v0) および 1.3.3 (v1) より前のLangChainバージョンには、過度に広いオブジェクト許可リストを使用してrun入力、run出力、またはその他のアプリケーション制御ペイロードを逆シリアライゼーションするランタイムコードパスが含まれています。これらのパスは寛容な逆シリアライゼーション設定でload()を呼び出すため、攻撃者がプロンプトインジェクション、MCPツールレスポンス、またはシリアライゼーされたrun状態に流入するRAG検索結果を含むエージェント実行を通じて流れるデータに影響を与える場合、任意のコード実行が可能になる可能性があります。
攻撃経路
LangChain run入力または出力データに影響を与える可能性のある攻撃者(例:エージェントのツールレスポンスへのプロンプトインジェクション、悪意のあるRAGドキュメントコンテンツ、または侵害されたMCPサーバーレスポンス)は、安全でない逆シリアライゼーションパスをトリガーし、ホストプロセス内でのコード実行を実現する可能性があります。エージェントが信頼されていない外部データを処理する場合、認証は不要です。
影響を受けるシステム
0.3.85以前のLangChainバージョン0.xおよび1.3.3以前のバージョン1.x。エンタープライズエージェントAIパイプライン、RAGアプリケーション、およびLLMツール使用フレームワーク全体に広く展開されています。
緩和策
langchain >= 0.3.85 (v0ブランチ) または >= 1.3.3 (v1ブランチ) に直ちにアップグレードしてください。信頼されていない外部データ(ユーザー入力、Webコンテンツ、ドキュメント検索、ツールレスポンス)を処理するすべてのLangChainエージェントパイプラインを潜在的な悪用経路について監査してください。カスタム統合における寛容な逆シリアライゼーション設定でのload()の使用を確認してください。