LangChain CVE-2025-68664: Hvernig PII lekur í gegnum RAG-leiðsluna þína
Uppfært fyrir 2026.
Kritískt galli fannst í LangChain seint árið 2025. CVE-númerið er CVE-2025-68664. CVSS-skori er 9,3 (Kritískt).
Það miðar að raðgreiningakóða LangChain.
Hvað CVE-2025-68664 gerir
LangChain hefur tvær raðgreiningaföll: dumps() og dumpd(). Þær breyta Python-hlutum í texta.
Gallinn er í lokunarmestvinnslu.
Þegar LangChain raðgreinir callable, fangar hún lokun-samhengið.
Árásarmaður sem stýrir LLM-svarinu getur kveikt á dumps(). Fallið les síðan umhverfisbreytur frá Python-ferlinu.
Niðurstaðan er gagnaútsetning. API-lyklar, gagnagrunns-strengir, JWT-leyndarmál og AWS-skilríki geta birst í líkansúttak.
Árásarmaður sem sprautar texta inn í RAG-upprunaskjal getur lesið framleiðslu-leyndarmál þín.
Snertar útgáfur: LangChain fyrir 0.3.22 (Python). Útgáfa 0.3.22 hefur lagfæringuna.
PyPI-gögn sýna víðtæka notkun á eldri útgáfum í gegnum mars 2026.
Hvernig PII lekur í RAG-leiðslum
CVE-2025-68664 er dramatískt. En það er bara eitt tilvik af víðara vandamáli.
Gögn leka í gegnum RAG-leiðslur með reglulegu millibili. Enginn árásarmaður er þörf á.
Hér er dæmigerð RAG-uppsetning í fyrirtækjum.
Í fyrsta lagi, inntaka. Þú sér um skjöl fyrirtækis í vektorgeymslu. Hugsaðu þér stuðningsmiðar, tölvupósta viðskiptavina, samninga og mannauðsfærslur.
Algengar vektorgeymsluir eru Pinecone, Weaviate og pgvector.
Næst, leit. Notandi spyr spurningu. Kerfið sækir fimm viðeigastu brotana úr geymslunni.
Síðan, myndun. Þessir bitar fara til LLM — GPT-4o, Claude eða Gemini — sem samhengi.
Skref tvö er vandamálið. Sóttir bitar geyma hvað sem upprunaskjölin geymdu. Þar með talið:
- Nöfn viðskiptavina, netföng og símanúmer
- Samningsgildi, reikningsnúmer og skattauðkenni
- Launagögn starfsmanna og þjálfunarskoðunarnótur
- Sjúklinga-nöfn í klínískum nótum
- Þjóðarauðkenni í innflytjendaskrám
Þessi gögn fara til LLM eins og þau eru. Þau geta birst í líkansúttak.
Þau eru skráð af LLM-veitunni. Þau sitja í samtalasögu þinni. Þau flæða yfir í eftirlitsstafla þinn.
Engin árás er þörf. Þetta er hvernig RAG virkar í hönnun. Hönnunin skapar raunverulega persónuverndaáhættu.
68 leyndarmálsmynstrar í gagnageymslu fyrirtækja
Öryggistauki rekur 68 þekktar leyndarmálsmynstrar. Þær birtast oftar en teymi ætla.
Hér eru algengustu þær.
- AWS Access Key IDs (
AKIA...) - OpenAI API-lyklar (
sk-...) - Anthropic API-lyklar (
sk-ant-...) - Gagnagrunns-URIs (
postgresql://notandi:lykilord@hýsill/gagnagrunnur) - JWT-tókar (base64-kóðaðir hausar)
- GitHub Personal Access Tokens
- Stripe leynilyklar (
sk_live_...) - SendGrid API-lyklar
- Twilio reiknings-SIDs og auðkenningartókar
- Einkalykilsblokkar í PEM
Stuðningsmiðar gæti geymt API-lykil viðskiptavinar frá kembisettu.
Samningur gæti innihaldið gagnagrunns-skilríki frá tæknilegu afhendingarlotu.
Stillingarskrá sem óvart var vísað í getur afhjúpað heila leyndarmálsgeymslu.
Þegar þessar skrár fara inn í vektorgeymslu án hreinsunar, getur sérhver fyrirspurn sent leyndarmálin til LLM.
Þær gætu náð til endanotandans einnig.
Lagaðu þetta: Nafnlæktu fyrir innblæstinn
Rétt aðferðin gerir nafnlægar skjöl áður en þær eru teknar í bita og innblásnar.
Þetta skref er nauðsynlegt fyrir hvert kerfi sem meðhöndlar gögn viðskiptavina.
Hér er Python-dæmi með anonym.legal API:
import requests
import os
ANONYM_API_KEY = os.environ["ANONYM_API_KEY"]
ANONYM_BASE_URL = "https://anonym.legal/api"
def anonymize_before_embedding(text: str) -> tuple[str, dict]:
"""Nafnlæktu PII áður en innblástur."""
response = requests.post(
f"{ANONYM_BASE_URL}/presidio/anonymize",
json={
"text": text,
"language": "en",
"anonymizers": {
"DEFAULT": {"type": "replace", "new_value": "[REDACTED]"},
"PERSON": {"type": "mask", "masking_char": "*", "chars_to_mask": 4, "from_end": False},
"EMAIL_ADDRESS": {"type": "replace", "new_value": "[EMAIL]"},
"PHONE_NUMBER": {"type": "replace", "new_value": "[PHONE]"},
"CRYPTO": {"type": "replace", "new_value": "[SECRET]"},
"URL": {"type": "keep"},
}
},
headers={"Authorization": f"Bearer {ANONYM_API_KEY}"}
)
result = response.json()
return result["text"], result.get("items", [])
def build_rag_index(documents: list[str], vectorstore):
"""Byggdu RAG-skrársafn með hreinum skjölum eingöngu."""
anonymized_docs = []
for doc in documents:
clean_text, entities = anonymize_before_embedding(doc)
anonymized_docs.append(clean_text)
print(f"Fjarlægðar {len(entities)} PII-einingar úr skjali")
vectorstore.add_texts(anonymized_docs)
anonym.legal API nær yfir 285+ einingategundir. Nöfn, netföng, símanúmer, þjóðarauðkenni, API-lyklar og gagnagrunns-URIs eru öll gripin.
Ekkert viðkvæmt nær í vektorgeymslu. Svo ekkert viðkvæmt getur lekið til notenda.
Sjá þróaraleiðbeiningar fyrir LangChain og LlamaIndex uppsetningarmynstrar.
Lagaðu CVE-2025-68664 strax
Ef þú keyrir LangChain fyrir 0.3.22, uppfærðu núna:
pip install "langchain>=0.3.22" "langchain-core>=0.3.22"
Eftir að hafa patchað skaltu athuga keðjuuppsetningunar þínar eftir innspýtingaráhættu. Hér eru þrjú skref til að taka.
Í fyrsta lagi, villtu sótta bita. Gerðu þetta áður en þeir ná til LLM.
Hreinsaðu efni sem passar við innspýtingarmynstrar eins og hunsa fyrri leiðbeiningar, kerfi: eða <INST>.
Í öðru lagi, nafnlæktu fyrir innblæstinn. Þetta þrengir árásarfletinn.
Ef innspýting á sér stað, eru viðkvæmu gögnin ekki til staðar til að draga út.
Í þriðja lagi, takmarkaðu heimildir keðjunnar. LangChain-keðjur ættu ekki að lesa umhverfisbreytur umfram það sem þær þurfa.
Notaðu þjónustureikninginn með lágmarks umfangi.
Stærðfræðin er einföld
CVSS-skori er 9,3. Lagfæringin er eitt API-kall á skjal.
Samsetning CVE-2025-68664 og almennrar RAG-gagnaáhættu er raunveruleg ábyrgð.
Lausnin er skýr: nafnlæktu við inntöku, ekki við fyrirspurnartíma.
Skoðaðu öryggi og reglufylgni yfirlit fyrir RAG-kröfur í fyrirtækjum.
Heimildir
- NVD CVE-2025-68664, CVSS 9.3, LangChain raðgreiningargalli
- LangChain öryggislýsing, langchain-ai/langchain GitHub, 2025
- OWASP LLM Top 10: LLM01 Skipanainnspýting, LLM06 Viðkvæmar upplýsingar afhjúpast
- anonym.legal einingategundaskjöl — 285+ studdar einingategundir