漏洞  ·  2026-07-05

ForceInjection AI-fundermentals LangChain 内存回忆处理器 — 使用弱/可预测值

漏洞Low 影响GlobalCVE-2026-14630
一个单一作者的示例/参考存储库演示了基于 LangChain 的代理客户服务内存系统,在其对话历史回忆函数中包含弱值漏洞,允许潜在的跨会话内存泄露。发布于 NVD 2026 年 7 月 4 日,CVSS 3.1(低)。
说明了常见的现实世界代理内存设计缺陷(可预测的对话/会话 ID),可能将一个用户的 LLM 对话历史泄露给另一个用户;由于这是演示/参考存储库而非广泛部署的生产框架,影响范围很窄。
08_agentic_system/memory/langchain/code/smart_customer_service.py 中基于 LangChain 的内存回忆处理器中的 get_conversation_history 函数在检索存储的对话历史时使用弱/可预测的标识符,可能允许攻击者访问另一用户的对话内存。
ForceInjection AI-fundermentals 2.0/3.0(smart_customer_service.py LangChain 内存示例)
使用密码学强的、不可预测的会话/对话标识符;查阅参考的提交以了解供应商的补救方法。
GitHub commit - ForceInjection/AI-fundamentalsNVD - CVE-2026-14630
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →