كشف إطارا LangChain و LangGraph عن ثغرات أمنية خطيرة تهدد البيانات الحساسة
تم اكتشاف ثلاث ثغرات أمنية عالية الخطورة في إطار العمل المفتوح المصدر LangChain، وLangGraph، والتي تسمح للمهاجمين بسرقة ملفات سرية، مفاتيح API، وسجلات المحادثات. تُعد هذه الثغرات، التي تشمل مشكلات في تجاوز المسارات، تسرب البيانات عند التسلسل، وحقن SQL، خطرة جدًا لأنها تمكن المهاجمين من الوصول إلى معلومات حساسة على الأنظمة المصابة.
ما هو LangChain وLangGraph؟
يُستخدم إطار LangChain بشكل واسع من قبل المطورين لبناء تطبيقات تعتمد على النماذج اللغوية الكبيرة (LLM)، حيث يربط النماذج بمصادر بيانات وأدوات متعددة. يعتبر أداة شعبية لبناء روبوتات الدردشة والمساعدين الافتراضيين. أما LangGraph، فهو يعتمد على LangChain ويهدف إلى تصميم وكلاء ذكاء اصطناعي يتبعون سير عمل منظم ومتسلسل، باستخدام الرسوم البيانية للتحكم في انتقال المهام بين المراحل المختلفة، مما يتيح التعامل مع عمليات معقدة ومتعددة الخطوات.
إحصائيات الاستخدام تظهر أن هذين المشروعين تم تحميلهما أكثر من 60 مليون مرة أسبوعيًا عبر منصة PyPI، مما يعكس شعبيتهما الكبيرة بين مجتمع المطورين.
الثغرات المكتشفة وكيفية تصحيحها
تم إصلاح ثلاثة ثغرات أمنية رئيسية في هذه المشاريع:
1. CVE-2026-34070 (تقييم خطورة 7.5 من 10) – ثغرة في LangChain تسمح بالوصول غير المصرح به للملفات عبر تجاوز المسارات.
2. CVE-2025-68664 (تقييم خطورة 9.3 من 10) – خلل في تسريب البيانات عند التسلسل، يمكن أن يكشف عن مفاتيح API وأسرار البيئة.
3. CVE-2025-67644 (تقييم خطورة 7.3 من 10) – ثغرة في تنفيذ استعلامات SQL في إطار LangGraph تسمح بالتلاعب في استعلامات قواعد البيانات.
وفقًا للباحث الأمني فلاديمير توكاريف من شركة Cyera، فإن استغلال أي من هذه الثغرات يمكن أن يؤدي إلى قراءة ملفات حساسة، سرقة الأسرار، أو استرجاع سجلات المحادثات المرتبطة بعمليات ذات حساسية عالية.
كيفية حماية أنظمتك
لتأمين مشاريعك، ينصح بشدة بترقية LangChain إلى الإصدار 1.2.22 على الأقل، وLangGraph إلى الإصدار 3.0.1. بالإضافة إلى ذلك، يُشدد على ضرورة مراجعة إعدادات التكوين، خاصة تلك التي تتعلق بتحميل البيانات من مصادر غير موثوقة، وتجنب تفعيل خيار secrets_from_env=True عند التعامل مع بيانات غير موثوقة.
كما يُنصح بمعاملة جميع مخرجات النماذج اللغوية الكبيرة على أنها “مدخلات غير موثوقة”، نظراً لاحتمالية تأثير عمليات حقن الأوامر على النتائج. ويجب التأكد من صحة المفاتيح والبيانات الوصفية قبل تمريرها إلى استعلامات التحقق أو عمليات التصفية.
الخلاصة
بينما تعتبر هذه الثغرات تهديدات خطيرة، فإن الإجراءات السريعة لتحديث الأنظمة وتطبيق التصحيحات يمكن أن تقلل بشكل كبير من المخاطر. ومع التدقيق المستمر في التكوينات، وتوخي الحذر عند التعامل مع مدخلات المستخدم، يمكن للمطورين حماية تطبيقاتهم وبيانات الشركات من محاولات الاختراق المحتملة.