취약점  ·  2026-07-05

ForceInjection AI-fundermentals LangChain Memory Recall Handler — 약한/예측 가능한 값 사용

취약점Low 영향도GlobalCVE-2026-14630
LangChain 기반 agentic 고객 서비스 메모리 시스템을 시연하는 단일 저자 예제/참고 저장소에는 대화 기록 회상 함수에 약한 값 취약점이 포함되어 있으며, 잠재적으로 크로스 세션 메모리 공개를 허용합니다. 2026년 7월 4일 NVD에 발표, CVSS 3.1 (낮음).
일반적인 실제 agentic 메모리 설계 결함(예측 가능한 대화/세션 ID)을 시연하여 한 사용자의 LLM 대화 기록이 다른 사용자에게 유출될 수 있습니다. 이것이 광범위하게 배포된 프로덕션 프레임워크가 아닌 시연/참고 저장소이므로 영향 범위는 좁습니다.
LangChain 기반 메모리 회상 핸들러(08_agentic_system/memory/langchain/code/smart_customer_service.py)의 get_conversation_history 함수는 저장된 대화 기록을 검색할 때 약한/예측 가능한 식별자를 사용하여 공격자가 다른 사용자의 대화 메모리에 액세스할 수 있게 합니다.
ForceInjection AI-fundermentals 2.0/3.0 (smart_customer_service.py LangChain memory 예제)
암호화 강도가 높은 예측 불가능한 세션/대화 식별자를 사용하세요. 공급업체의 수정 방법에 대한 참고 커밋을 검토하세요.
GitHub commit - ForceInjection/AI-fundamentalsNVD - CVE-2026-14630
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →