Sicherheitsforscher haben die Tage LangGrinch öffentlich gemacht. Es ist eine kritische Schwachstelle (CVE-2025-68664) im Code der LangChain-Umgebung entdeckt worden. Diese Schwachstelle im Framework zur AI-Entwicklung gefährdet die "Geheimnisse" von KI-Agenten bei deren Entwicklung und im Produktiveinsatz.
LangChain bietet die Engineering-Plattform und Open-Source-Frameworks, mit denen Entwickler angeblich zuverlässige KI-Agenten erstellen, testen und bereitstellen können. LangChain wird laut deren Referenzliste von Klarna, LinkedIn und weiteren Firmen eingesetzt. Zum 26. Dezember 2025 bin ich in nachfolgendem Tweet darauf gestoßen, dass es im Core von LangChain eine als "LangGrinch" bezeichnete Schwachstelle gibt.
Silicon Angle hat im Beitrag Critical 'LangGrinch' vulnerability in langchain-core puts AI agent secrets at risk auf die Erkenntnisse der Sicherheitsforscher von Cyata Security Ltd. hingewiesen. Diese geben an, dass die, einen CVSS-Score von 9,3 aufweisende, kritische Sicherheitslücke CVE-2025-68664 im LangChain-core die Geheimnisse von KI-Agenten gefährdet. Das werfe ernsthafte Sicherheitsbedenken in KI-Produktionsumgebungen auf.
Die Schwachstelle CVE-2025-68664
Laut Beschreibung von CVE-2025-68664 steckt die Schwachstelle im LangChain-Core, und zwar im Framework zum Erstellen von Agenten und LLM-gestützten Anwendungen. Vor den Versionen 0.3.81 und 1.2.5 besteht in den Funktionen dumps() und dumpd() von LangChain eine Schwachstelle hinsichtlich der Serialisierung.
Die Funktionen führen bei der Serialisierung von Freiform-Wörterbüchern kein Escape von Wörterbüchern mit „lc"-Schlüsseln durch. Der Schlüssel „lc" wird intern von LangChain verwendet, um serialisierte Objekte zu markieren. Wenn benutzergesteuerte Daten diese Schlüsselstruktur enthalten, werden sie bei der Deserialisierung als legitimes LangChain-Objekt behandelt und nicht als einfache Benutzerdaten. Dieses Problem wurde in den Versionen 0.3.81 und 1.2.5 behoben.
LangChain heftig im Einsatz
Der LangChain-core bildet das Herzstück des agentenbasierten KI-Ökosystems und dient als zentrale Abhängigkeit für unzählige Frameworks und Anwendungen. Laut Cydata weisen öffentliche Paket-Download-Tracker für langchain-core insgesamt etwa 847 Millionen Downloads aus, davon mehrere Millionen in den letzten 30 Tagen. Das umfassendere LangChain-Paket wird monatlich etwa 98 Millionen Mal heruntergeladen. Dies verdeutlicht, wie tief die anfällige Komponente in modernen KI-Workflows verankert ist.
Geheimnisse von KI-Agenten abfragbar
Wird die Schwachstelle ausgenutzt, kann ein Angreifer eine vollständige Exfiltration von Umgebungsvariablen über ausgehende HTTP-Anfragen durchführen. Die Offenlegung kann Anmeldedaten von Cloud-Anbietern, Datenbank- und RAG-Verbindungszeichenfolgen, Geheimnisse von Vektordatenbanken und Schlüssel für Anwendungsprogrammierschnittstellen großer Sprachmodelle umfassen, heißt es.
Die Forscher von Cyata haben gleich 12 verschiedene erreichbare Exploit-Flows identifiziert. Das zeigt, das routinemäßige Agent-Operationen wie das Speichern, Streamen und Rekonstruieren strukturierter Daten unbeabsichtigt einen Angriffspfad öffnen kann.
MVP: 2013 – 2016
