LangChain CVE-2025-68664: Cara PII Bocor melalui Pipeline RAG Anda
Diperbarui untuk 2026.
Sebuah kerentanan kritis ditemukan di LangChain pada akhir 2025. CVE-nya adalah CVE-2025-68664. Skor CVSS-nya adalah 9,3 (Kritis).
Ini memengaruhi kode serialisasi LangChain.
Apa yang Dilakukan CVE-2025-68664
LangChain memiliki dua fungsi serialisasi: dumps() dan dumpd(). Keduanya mengonversi objek Python menjadi teks.
Kerentanannya ada pada penanganan closure.
Ketika LangChain menserialisasi callable, ia menangkap konteks closure.
Penyerang yang mengendalikan respons LLM dapat memicu dumps(). Fungsi ini kemudian membaca variabel lingkungan dari proses Python.
Hasilnya adalah eksposur data. Kunci API, string database, rahasia JWT, dan kredensial AWS dapat muncul dalam output model.
Penyerang yang menyuntikkan teks ke dalam dokumen sumber RAG dapat membaca rahasia produksi Anda.
Versi yang terpengaruh: LangChain di bawah 0.3.22 (Python). Versi 0.3.22 mengandung perbaikannya.
Data PyPI menunjukkan penggunaan versi lama yang meluas hingga Maret 2026.
Cara PII Bocor dalam Pipeline RAG
CVE-2025-68664 memang dramatis. Tetapi ini hanya satu contoh dari masalah yang lebih luas.
Data bocor secara rutin melalui pipeline RAG. Tidak diperlukan penyerang.
Berikut adalah pengaturan RAG enterprise standar.
Pertama, injeksi. Anda mengindeks dokumen perusahaan ke dalam penyimpanan vektor. Bayangkan tiket dukungan, email pelanggan, kontrak, dan catatan SDM.
Penyimpanan vektor umum adalah Pinecone, Weaviate, dan pgvector.
Kemudian, pengambilan. Pengguna mengajukan pertanyaan. Sistem mengambil lima cuplikan paling relevan dari penyimpanan.
Lalu, generasi. Cuplikan itu dikirim ke LLM — GPT-4o, Claude, atau Gemini — sebagai konteks.
Langkah kedua adalah masalahnya. Cuplikan yang diambil berisi apa yang ada dalam dokumen sumber. Termasuk:
- Nama pelanggan, alamat email, dan nomor telepon
- Nilai kontrak, nomor akun, dan pengenal pajak
- Data gaji karyawan dan catatan penilaian kinerja
- Nama pasien dalam catatan klinis
- Nomor ID nasional dalam file imigrasi
Data itu dikirim ke LLM apa adanya. Data dapat muncul dalam output model.
Data dicatat oleh penyedia LLM. Data ada di riwayat percakapan Anda. Data mengalir ke sistem observabilitas Anda.
Tidak diperlukan serangan. Begitulah cara kerja RAG by design. Desain itu menciptakan risiko privasi nyata.
68 Pola Rahasia dalam Penyimpanan Dokumen Enterprise
Alat keamanan melacak 68 pola rahasia yang diketahui. Pola-pola itu muncul lebih sering dari yang diperkirakan tim.
Berikut yang paling umum.
- AWS Access Key IDs (
AKIA...) - Kunci API OpenAI (
sk-...) - Kunci API Anthropic (
sk-ant-...) - URI database (
postgresql://user:password@host/db) - Token JWT (header terenkode base64)
- GitHub Personal Access Tokens
- Kunci rahasia Stripe (
sk_live_...) - Kunci API SendGrid
- SID akun Twilio dan token auth
- Blok PEM kunci privat
Tiket dukungan mungkin mengandung kunci API pelanggan dari sesi debug.
Kontrak mungkin mengandung kredensial database dari serah terima teknis.
File konfigurasi yang tidak sengaja terindeks dapat mengekspos seluruh penyimpanan rahasia.
Ketika file-file ini dimasukkan ke penyimpanan vektor tanpa pembersihan, setiap query dapat mengirim rahasia ke LLM.
Rahasia itu juga bisa mencapai pengguna akhir.
Solusi: Anonimkan Sebelum Embedding
Pendekatan yang tepat adalah mengaonimkan dokumen sebelum dipecah menjadi cuplikan dan di-embed.
Langkah ini diperlukan untuk sistem apa pun yang menangani data pelanggan.
Berikut contoh Python menggunakan API anonym.legal:
import requests
import os
ANONYM_API_KEY = os.environ["ANONYM_API_KEY"]
ANONYM_BASE_URL = "https://anonym.legal/api"
def anonymize_before_embedding(text: str) -> tuple[str, dict]:
"""Anonimkan PII sebelum embedding."""
response = requests.post(
f"{ANONYM_BASE_URL}/presidio/anonymize",
json={
"text": text,
"language": "en",
"anonymizers": {
"DEFAULT": {"type": "replace", "new_value": "[REDACTED]"},
"PERSON": {"type": "mask", "masking_char": "*", "chars_to_mask": 4, "from_end": False},
"EMAIL_ADDRESS": {"type": "replace", "new_value": "[EMAIL]"},
"PHONE_NUMBER": {"type": "replace", "new_value": "[PHONE]"},
"CRYPTO": {"type": "replace", "new_value": "[SECRET]"},
"URL": {"type": "keep"},
}
},
headers={"Authorization": f"Bearer {ANONYM_API_KEY}"}
)
result = response.json()
return result["text"], result.get("items", [])
def build_rag_index(documents: list[str], vectorstore):
"""Bangun indeks RAG hanya dengan dokumen yang bersih."""
anonymized_docs = []
for doc in documents:
clean_text, entities = anonymize_before_embedding(doc)
anonymized_docs.append(clean_text)
print(f"Menghapus {len(entities)} entitas PII dari dokumen")
vectorstore.add_texts(anonymized_docs)
API anonym.legal mencakup 285+ jenis entitas. Nama, email, nomor telepon, ID nasional, kunci API, dan URI database semuanya tertangkap.
Tidak ada yang sensitif mencapai penyimpanan vektor. Sehingga tidak ada yang sensitif dapat bocor ke pengguna.
Lihat panduan developer untuk pola pengaturan LangChain dan LlamaIndex.
Perbaiki CVE-2025-68664 Sekarang
Jika Anda menjalankan LangChain di bawah 0.3.22, perbarui sekarang:
pip install "langchain>=0.3.22" "langchain-core>=0.3.22"
Setelah patch, periksa konfigurasi chain Anda untuk risiko injeksi. Berikut tiga langkah yang harus diambil.
Pertama, validasi cuplikan yang diambil. Lakukan ini sebelum mencapai LLM.
Hapus konten yang cocok dengan pola injeksi seperti ignore previous instructions, system:, atau <INST>.
Kedua, anonimkan sebelum embedding. Ini mengurangi permukaan serangan.
Jika injeksi terjadi, data sensitif tidak ada untuk diekstrak.
Ketiga, batasi izin chain. Chain LangChain tidak boleh membaca variabel lingkungan di luar yang mereka butuhkan.
Gunakan akun layanan dengan cakupan minimal.
Matematikanya Sederhana
Skor CVSS adalah 9,3. Perbaikannya adalah satu pemanggilan API per dokumen.
Kombinasi CVE-2025-68664 dan risiko data RAG umum adalah kewajiban nyata.
Solusinya jelas: anonimkan saat injeksi, bukan saat waktu query.
Periksa halaman ikhtisar keamanan dan kepatuhan untuk persyaratan RAG enterprise.
Sumber
- NVD CVE-2025-68664, CVSS 9,3, kerentanan serialisasi LangChain
- Advisory keamanan LangChain, langchain-ai/langchain GitHub, 2025
- OWASP LLM Top 10: LLM01 Prompt Injection, LLM06 Sensitive Information Disclosure
- Dokumentasi anonym.legal tentang jenis entitas — 285+ jenis yang didukung