多智能体系统安全：当 LangChain 出问题时

作者：Maya，Evvo Labs 内容负责人 | 2026-06-11 | 支柱 2：AI 与 LLM 安全

60 秒速读

如果您正在 LangChain 或 LangGraph 上构建 LLM 应用（这个框架承载了估计大多数生产环境下的智能体 AI 部署），那么您的技术栈暴露在一系列已公开的关键 CVE 之下，这些漏洞可以将提示词注入转化为远程代码执行、环境变量泄露和数据库接管。在 2026 年春季的六周窗口内，研究人员披露了 LangChain（CVE-2025-68664，CVSS 9.3；CVE-2026-34070，CVSS 7.5）、LangGraph（CVE-2025-67644，CVSS 7.3；CVE-2025-64439）、Microsoft Semantic Kernel、PraisonAI 和 FlowiseAI 中的关键漏洞。其中多个漏洞与间接提示词注入相链接，实现了从”用户输入一个提示词”到”攻击者控制主机”的升级。这些漏洞已修复。但是让它们变得危险的架构模式——智能体信任对等智能体的消息、智能体执行 LLM 生成的代码、共享状态缺乏溯源——并未消失。

本文是一份技术深度复盘文章。它涵盖了已披露的 CVE、它们所启用的新攻击模式（尤其是跨多智能体管道的攻击模式），以及在生产环境中运行智能体 AI 的防御者本季度需要做的事情。

1. 为什么 LangChain 比应有的影响更大

LangChain 及其有状态伴侣 LangGraph 支撑了智能体 AI 市场不成比例的份额。当 Cyera Research 在 2026 年 3 月 27 日发布 “LangDrained” 协调披露时，受影响的不是一个应用程序——而是构建在这些框架之上的每一个智能体部署。这是一种 基础设施风险的集中，在传统软件中，这种集中度的风险将以整个操作系统或容器运行时为单位来衡量。在智能体 AI 中，它以一个 Python 包为单位来衡量。

Microsoft 自身对 CVE-2025-68664（LangChain 核心序列化缺陷，也称为 “LangGrinch”）的案例研究指出：“该漏洞暴露了在重度依赖结构化元数据交换的智能体生态系统中，与不安全反序列化相关的风险。” 同一份公告建议的控制措施与您对受损 CI/CD 流水线的建议相同——立即打补丁、审计暴露面、隔离信任。

教训是：智能体 AI 中的框架风险现在已成为董事会层面的关注点，而非开发人员关注点。

2. 2026 年春季披露集群

披露的模式本身就是故事。Cyera、Cyata、Invariant Labs、Trend Micro ZDI、Microsoft 和 云安全联盟 的研究人员在六周时间窗口内，针对智能体框架产生了一连串几乎不间断的关键披露。下表是每个发布 LangChain 智能体的团队必须知道的最低限度：

|—|—|—|—|—|

| CVE-2025-68664 “LangGrinch” | langchain-core | 9.3 | 序列化注入 → RCE、环境变量泄露 | >=0.3.81 / >=1.2.5 |

| CVE-2026-34070 | langchain-core（提示加载） | 7.5 | 路径遍历 | >=1.2.22 |

| CVE-2025-67644 | langgraph-checkpoint-sqlite | 7.3 | 检查点存储中的 SQL 注入 | >=3.0.1 |

| CVE-2025-64439 | langgraph-checkpoint | 高 | 通过反序列化检查点的 RCE | >=3.0 |

| CVE-2026-41488 | langchain-openai | 中 | 图像 token 计数中的 SSRF（TOCTOU/DNS 重新绑定） | >=1.1.14 |

| CVE-2026-41481 | langchain-text-splitters | 6.5 | HTML 分割器中的重定向 SSRF | >=1.1.2 |

| CVE-2026-41264 | FlowiseAI | 高 | 通过 CSV Agent LLM 代码执行进行认证 RCE | >=3.1.0 |

| CVE-2026-25592 / -26030 | Microsoft Semantic Kernel | 关键 | 提示词注入 → 主机 RCE | 已修复（KB） |

贯穿所有这些的模式： 提示词注入不再仅仅是内容过滤问题。它是实现代码执行、文件读取和数据库接管结果的 初始访问向量。CSA 对该集群的分析明确指出：“提示词注入作为初始访问向量，能够在多个 CVE 中实现更严重漏洞的下游利用，而非仅仅作为独立风险运作。”

这与 2010 年代经典 Web 漏洞链的形态相同——XSS → SSRF → 云元数据泄露 → 凭据窃取 → 横向移动。在 2026 年，提示词注入已经在新的智能体杀伤链中接管了 XSS 的角色。

3. CVE-2025-68664（LangGrinch）的剖析——一个提示词如何成为代码

LangChain 使用自定义序列化格式在组件之间维护状态。为了区分 数据 和 可信的 LangChain 对象，框架使用了一个保留的字典键：lc。在反序列化期间，任何包含 lc 的字典都被解释为已经是序列化好的 LangChain 对象，而不是用户输入。

漏洞所在：dumps() 和 dumpd() 函数在处理 用户控制的字典 时，未能正确转义或中和 lc 键。如果攻击者能够将包含 lc 的字典注入到稍后被反序列化的数据流中，框架将重建一个恶意对象——实例化从 langchain-core 和 langchain-community 可达的任意类。

在使用 Jinja2 提示模板 的配置中，该类实例化路径会到达模板引擎，并实现 任意代码执行。

在打补丁之前的真实部署中，这被用来：

• **提取环境变量**——每一个 API 密钥、数据库凭据、云服务令牌、配置密钥。
• 在对象重建期间 **实例化非预期的类**，创建攻击者控制的、编排器视为可信的内部对象。
• 在使用 Jinja2 模板的配置中实现 **主机级 RCE**。

披露说明在补丁发布之前，几家公司遭受了 客户数据外泄和加密挖矿 行为。这不是理论上的 CVSS 9.3——它是一个有具名受害者的 CVSS 9.3。

4. 多智能体乘数效应

单智能体 LangChain 部署已经够糟糕了。多智能体 LangGraph 部署 是一个根本不同的安全问题。

LangGraph 专门设计用于支持 有状态的多智能体工作流，其中专业化的智能体协作、委派任务并相互传递信息。这种架构创造了 单智能体部署中不存在的横向移动路径。CSA 在 2026 年 5 月的 “Living Off the Agent”（LOTA）研究报告记录了这种模式：

1. 受感染的权限较低的智能体向权限较高的对等智能体发送消息。
2. 权限较高的智能体将该消息视为可信的操作指令（因为目前没有智能体间认证或消息完整性验证的现行标准）。
3. 权限较高的智能体执行嵌入的指令——外泄数据、升级权限或将凭据转发给攻击者的下游智能体。

OWASP 智能体应用 Top 10（2026）将这一确切模式提升为 ASI03：身份与权限滥用 和 ASI07：不安全的智能体间通信。随附的检测规则（ATR-2026-00074：跨智能体权限升级）将其定义为：“攻击者利用多智能体架构，让受感染或低权限的智能体转发凭据、承担更高权限智能体的角色，或通过直接的智能体间消息绕过编排器控制。”

真实世界的例子：ServiceNow Now Assist（2025 年 11 月）。 AppOmni 的研究人员披露了 ServiceNow Now Assist 平台中的二阶提示词注入漏洞：低权限用户可以在服务案例描述中嵌入指令。当权限较高的智能体处理该案例时，它会导出敏感的案例文件并升级账户权限——无需任何底层基础设施的入侵。纯粹的智能体间信任利用。

由 redteams.ai 形式化的广义级联模式：

1. 攻击者毒化一个网页
2. 研究智能体抓取该网页 → 受感染
3. 研究智能体将摘要发送给分析智能体 → 传播
4. 分析智能体向数据库智能体查询数据 → 横向移动
5. 数据库智能体将敏感数据返回给分析智能体
6. 分析智能体将敏感数据包含在最终报告中
7. 报告发送给用户，其中嵌入了外泄的数据

冲击半径随着链条中智能体的增加而扩大，因为每个智能体都将其自身的工具、权限和数据源添加到受感染的操作中。

---

5. 2026 年攻击面地图

以下是防御者需要对照其技术栈进行映射的操作分类。每个项目都是有据可查的攻击类别，不是推测。

5.1 间接提示词注入（IPI）——初始访问

基线。ACL 2024 的学术基准 INJECAGENT 显示，基于提示工程的 GPT-4 智能体有 24% 的时间易受间接提示词注入攻击，使用强化的”黑客提示”后上升到 47%。2026 年 3 月由 UK AISI 和 US CAISI 组织的、跨 13 个前沿模型、有 464 名参与者提交 272,000 次攻击尝试的大规模公共竞赛发现，所有模型都存在漏洞，攻击成功率从 0.5%（Claude Opus 4.5）到 8.5%（Gemini 2.5 Pro）不等——而且关键的是，8,648 次成功攻击在最终面向用户的响应中隐藏了入侵痕迹，使受害者意识不到已被操控。

5.2 工具滥用——权限边界

OWASP ASI02 和 Microsoft 风格的工具滥用。INJECAGENT 基准还显示，基于 RAG 的系统对间接注入驱动的外泄的 平均检测时间为 47 天。ToolHijacker（arXiv 2504.19793）展示了一种基于优化的攻击，通过将恶意工具描述注入到工具库中来 操纵智能体的工具选择过程——使智能体为合法用户任务 选择 攻击者的工具。

5.3 内存投毒——持久性

OWASP ASI06。LangChain 的 ConversationBufferMemory 和 VectorStoreRetrieverMemory 存储历史上下文，用于智能体决策的连续性。攻击者通过向检索系统注入误导性上下文来操纵此内存，导致智能体做出持续错误的决策——批准欺诈交易、对安全警报进行错误分类。CSA 在 2026 年 1 月的 Promptware Kill Chain 分析了 36 项真实世界研究，识别出 21 个跨四个或更多阶段的攻击，其中内存投毒作为持久化层。

5.4 通过 MCP 进行工具投毒——供应链

模型上下文协议（MCP） 已成为将 AI 助手连接到外部工具和数据的事实标准。工具投毒攻击（Invariant Labs 于 2025 年 4 月首次公开披露）将对抗性指令 嵌入到智能体模型读取但人类用户无法轻松检查的工具描述和元数据中。AdapTools（arXiv 2602.20720）展示了使用自适应隐身工具选择可实现 2.13× 的攻击成功率提升。Log-To-Leak（ICLR 2026 投稿）表明，智能体可以被胁迫调用 恶意日志记录工具 来外泄用户查询、工具响应和智能体回复——而不会降低任务性能。

5.5 通过 LLM 生成代码实现 RCE——皇冠上的宝石

将提示词注入转化为主机入侵的模式。多个 2026 年 CVE 遵循相同的形态：智能体拥有一个 执行 LLM 生成代码 的工具（通过 PALChain 的 Python、CSV Agent、沙箱化 REPL），而沙箱缺失。CVE-2025-68664 通过 Jinja2 模板实例化是最普遍的情况。Palo Alto 的 Unit 42 “Zealot” 研究（2026 年 5 月）展示了一个多智能体系统执行 四阶段攻击链——从初始 SSRF 利用到 BigQuery 数据外泄——从单个初始提示开始，在各个阶段之间无需任何人工干预。

5.6 级联故障（OWASP ASI08）——乘数效应

当多个 LLM 智能体协作时，单个智能体输入流中的注入会在网络中传播。“链式入侵” 模式（Lee & Tiwari 2024）显示了对抗性提示通过正常消息传递隐蔽地扩散。hackingBuddyGPT 研究表明，由 GPT-4-turbo 驱动的智能体可以通过迭代 LLM 推理在测试系统上 33–83% 的时间 成功提升权限——无需预构建的权限升级技术知识库。

---

6. 生产智能体 AI 的防御堆栈

防御智能体 AI 不是单一控制。它是一个分层系统。OWASP、CSA 和 Microsoft 趋同于大致相同的五层模型。

第 1 层——补丁管理和 SBOM 卫生

这是不可商榷的。每个在生产中运行 LangChain 的团队必须：

• 使用 `langchain-core >= 1.2.22`（或 0.3.x 分支 >= `0.3.81`）。
• 使用 `langgraph-checkpoint >= 3.0` 和 `langgraph-checkpoint-sqlite >= 3.0.1`。
• 使用 `langchain-openai >= 1.1.14` 和 `langchain-text-splitters >= 1.1.2`。
• 维护智能体技术栈的 **机器可读 SBOM**，以便 CVE 能传播到您现有的漏洞管理工作流中。
• 如使用，将 FlowiseAI 升级到 `>= 3.1.0`，Microsoft Semantic Kernel 升级到最新版本。

第 2 层——输入验证和溯源

• 将到达 LLM 的每个输入视为不可信，**包括从您自己的向量存储、知识库或工具响应中检索到的数据**。
• 在 **智能体边界处**（而非模型边界处）应用输入净化。模型不能成为安全边界。
• 实施 **每工具白名单**，仅包含所需的最小参数集。不要给智能体 `python_eval`、`subprocess` 或无限制的 `requests` 访问权限。
• 在多智能体系统中对 **智能体间消息的溯源** 进行加密签名或证明。CSA LOTA 报告明确指出：*”主要的保护因素不是架构拓扑，而是消息溯源控制。”*

第 3 层——工具沙箱化

• 在 **封闭式沙箱**（gVisor、Firecracker 或远程临时容器）中执行 LLM 生成的代码，无法访问内部服务的网络。
• 应用 **每工具超时、网络隔离和资源预算**。可以永久阻塞或打开任意 TCP 连接的工具就是成为跳板的工具。
• 禁用任何在无沙箱化的情况下评估 LLM 生成代码的工具。这正是 `CVE-2026-41264`（Flowise CSV Agent）和 `CVE-2025-68664`（PALChain + Jinja2）所利用的。

第 4 层——行为监控和异常检测

• 以结构化格式记录每个智能体工具调用、每个智能体间消息和每个状态转换。CSA LLM 编排杀伤链说明建议在 *所有* 访问内部系统、数据库或云 API 的智能体工作流中对 *所有* 智能体工具调用进行结构化记录——在 30 到 90 天内。
• 在工具调用级别应用 **异常检测**：API 使用量激增、意外的工具链、以前从未使用过该工具的智能体突然使用该工具。这些是 OWASP ASI02 的检测信号。
• 将智能体行为与 **已知攻击签名**（例如 `agentthreatrule.org` 的 ATR-2026 规则集）进行交叉引用，检测凭据转发、角色承担和权限升级请求。

第 5 层——针对高后果操作的人工介入

• 对任何具有 **不可逆或外部可见影响** 的操作要求明确的人工确认——外发通信、记录删除、访问控制列表更改、财务事务、生产部署。
• 采用 **新加坡 PDPC 智能体 AI 模型治理框架**（2026 年 1 月）作为基线：为智能体行为定义明确的边界，为智能体故障指定负责方，并在智能体系统内嵌入技术保障。

检测工程加分项

• 实施 **基于潜在空间的检测**（例如 ICON 框架，arXiv 2602.20708），在该框架中模型对注入的 token 表现出 *”注意力坍缩”*。ICON 实现了 **0.4% 的攻击成功率，相对于过度拒绝基线有 >50% 的任务效用增益**——而且关键的是，它可以跨模型系列进行泛化。

---

7. 这对您的路线图意味着什么

如果您在 2026 年发布智能体 AI，本季度应该有三个方面需要改变：

首先，将框架 CVE 视为生产事件，而非待办事项。 “LangDrained” 披露集群是一个为期六周的事件，将依赖项更新变成了安全事件。您对”具有 CVSS > 9.0 框架的关键 CVE”的 MTTR 需要以小时为单位衡量，而不是以周为单位。

其次，对智能体拓扑进行威胁建模，而不仅仅是对智能体本身。 映射每个智能体、每个工具、每个智能体间消息路径和每个共享内存存储。将每个面视为 需要显式访问控制的信任边界。CSA 的 LOTA 研究结论是：“主要的保护因素不是架构拓扑，而是消息溯源控制”——这意味着正确的问题不是”拓扑是去中心化的吗？”，而是”我能证明是哪个智能体发送了这条消息？”

第三，在合规曲线之前行动。 新加坡 PDPC 智能体 AI MGAF、欧盟 AI 法案的高风险义务（2026 年 8 月 2 日完全合规）和新的 OWASP 智能体 AI Top 10 正在趋同于同一组技术要求：有限自主权、人工问责、技术控制和审计跟踪。现在为此设计比在 2027 年改造更便宜。

---

结语

已披露的 CVE 已修复。让它们变得危险的架构模式——智能体信任对等智能体的消息、智能体执行 LLM 生成的代码、共享状态缺乏溯源、工具描述作为指令面——不是 bug。它们是 LangChain 和 LangGraph 设计方式的固有属性。在 2026 年，防御智能体 AI 不是等待神奇 LLM 防火墙的出现。它是将保护 2010 年代 Web 技术栈的相同分层安全工程——补丁、输入验证、沙箱化、监控和人工介入——应用于新的智能体攻击面。

这些框架不会消失。漏洞会继续出现。在这个十年剩余的时间里，首先构建防御堆栈的团队将拥有生产智能体市场。

---

需要对您的 LangChain 或 LangGraph 部署进行实操评估？联系 Evvo Labs — 我们提供智能体 AI 安全服务，涵盖框架加固、多智能体信任边界设计、MCP 攻击面映射和针对间接提示词注入的检测工程。PromptDome 是我们的运行时防护盾，可防御间接提示词注入、智能体间注入和工具描述投毒——可在一小时内部署在任何 LangChain / LangGraph / MCP 技术栈前。