기술 설명
0.3.85(v0) 이전 LangChain 버전 및 1.3.3(v1) 이전 버전에는 과도하게 광범위한 객체 허용 목록을 사용하여 실행 입력, 실행 출력 또는 기타 애플리케이션 제어 페이로드를 역직렬화하는 런타임 코드 경로가 포함되어 있습니다. 이러한 경로는 허용 역직렬화 설정으로 load()를 호출하며, 공격자가 프롬프트 주입, MCP 도구 응답 또는 직렬화된 실행 상태로 유입되는 RAG 검색 결과를 포함하여 에이전트 실행을 통해 흐르는 데이터에 영향을 미칠 수 있는 경우 임의 코드 실행을 가능하게 할 수 있습니다.
공격 경로
LangChain 실행 입력 또는 출력 데이터에 영향을 미칠 수 있는 공격자(예: 에이전트의 도구 응답에 대한 프롬프트 주입, 악의적인 RAG 문서 콘텐츠 또는 손상된 MCP 서버 응답)는 안전하지 않은 역직렬화 경로를 트리거하여 호스트 프로세스 내에서 코드 실행을 달성할 수 있습니다. 에이전트가 신뢰할 수 없는 외부 데이터를 처리하는 경우 인증이 필요하지 않습니다.
영향받는 시스템
0.3.85 이전의 LangChain 0.x 버전 및 1.3.3 이전의 1.x 버전. 엔터프라이즈 에이전트형 AI 파이프라인, RAG 애플리케이션 및 LLM 도구 사용 프레임워크 전반에 광범위하게 배포됩니다.
완화 방안
즉시 langchain >= 0.3.85(v0 분기) 또는 >= 1.3.3(v1 분기)로 업그레이드하세요. 신뢰할 수 없는 외부 데이터(사용자 입력, 웹 콘텐츠, 문서 검색, 도구 응답)를 처리하는 모든 LangChain 에이전트 파이프라인을 잠재적 악용 경로에 대해 감사하세요. 사용자 정의 통합에서 허용 역직렬화 설정으로 load() 사용을 검토하세요.