2026: tre framework AI sotto attacco, stesse falle critiche

Tre dei framework più diffusi per gli agenti AI condividono una vulnerabilità strutturale che trasforma semplici bug in porte di accesso verso i vostri server. Non è teoria: LangGraph, Langflow e LangChain-core hanno tutte ceduto a varianti dello stesso difetto, permettendo a un attaccante di leggere credenziali, eseguire codice arbitrario e prendere il controllo dei sistemi in cui questi strumenti girano.

La cronologia è impietosa. Le patch sono arrivate tra aprile e maggio. Gli attacchi sono iniziati a giugno. Nel mezzo: due mesi di esposizione per migliaia di istanze lasciate scoperte.

LangGraph: SQL injection che diventa esecuzione di codice

LangGraph occupa una posizione critica negli stack di AI in produzione. Fornisce memoria agli agenti attraverso i checkpointer, il livello di persistenza che salva lo stato di esecuzione. Il framework supera i 50 milioni di download mensili. Yarden Porat di Check Point Research ha identificato tre vulnerabilità nella sua architettura, due delle quali concatenate a RCE completa.

CVE-2025-67644 (CVSS 7.3) è una SQL injection nel checkpointer SQLite. La funzione che costruisce la clausola WHERE per le ricerche di checkpoint inserisce direttamente le chiavi controllate dall’utente nella query senza parametrizzazione né escape. Non colpisce ogni distribuzione, ma dove colpisce è grave.

L’esposizione si manifesta quando un’organizzazione self-hosting LangGraph su SQLite o Redis permette input non fidato di raggiungere endpoint come get_state_history(). Un attaccante che controlla i parametri di filtro può scrivere una riga contraffatta direttamente nella tabella dei checkpoint.

Poi entra in gioco CVE-2026-28277 (CVSS 6.8). Il decoder msgpack di LangGraph ricostruisce oggetti Python dai dati memorizzati, permettendo di importare moduli e chiamare funzioni con argomenti forniti dall’attaccante. Questo step richiede accesso in scrittura al checkpoint store, proprio quello che la SQL injection concede da remoto. LangGraph carica la riga contraffatta come checkpoint legittimo, il decoder esegue la funzione specificata—incluso os.system—e il codice si esegue sotto l’identità del server dell’agente.

Un terzo problema, CVE-2026-27022 (CVSS 6.5), raggiunge lo stesso obiettivo attraverso il checkpointer Redis. Nessuno sfruttamento confermato in the wild fino a questo momento, ma una proof-of-concept funzionante è pubblica nella disclosure di Check Point. Le correzioni richiedono update di versione: langgraph-checkpoint-sqlite a 3.0.1, langgraph a 1.0.10, langgraph-checkpoint-redis a 1.0.2.

Langflow e LangChain: path traversal verso il controllo completo

Langflow è già sotto attacco attivo. CVE-2026-5027 (CVSS 8.8) è una path traversal nell’endpoint POST /api/v2/files, che prende il filename direttamente dai dati del form e lo scrive su disco senza sanitizzazione. Un attaccante inserisce sequenze di traversal nel nome del file e lo deposita ovunque: ad esempio in /etc/cron.d/ come job schedulato.

Poiché Langflow arriva con auto-login abilitato nella configurazione di default, un’istanza esposta non richiede credenziali. Una singola richiesta non autenticata raggiunge l’endpoint, e al prossimo run del cron shell aperta.

Caitlin Condon di VulnCheck ha confermato lo sfruttamento il 9 giugno: i sensori hanno osservato attacchi che leveravano con successo la path traversal per scrivere file sui sistemi vittime. Censys ha mappato circa 7.000 istanze esposte su internet, la maggior parte in Nord America. È la terza falla in Langflow a subire sfruttamento attivo quest’anno, dopo CVE-2025-34291, che il gruppo Iranian MuddyWater ha armato e che CISA ha incluso nel suo catalogo di vulnerabilità note in maggio. CVE-2026-5027 è stata corretta nella versione 1.9.0, rilasciata il 15 aprile.

LangChain-core ha divulgato CVE-2026-34070 (CVSS 7.5), una path traversal nel legacy prompt-loader che permette letture arbitrarie di file. Chi controlla i percorsi caricati dalla funzione può leggere credenziali, certificati e segreti direttamente dal disco.

Ecco i vettori d’attacco comuni nelle tre vulnerabilità:

• Path traversal—sequenze ../ che escono dalle directory previste
• Input non validato nei parametri critici (filename, filter keys, file paths)
• Deserializzazione non sicura o importazione di moduli dinamica
• Configurazioni di default insicure (auto-login attivo)
• Nessun confine di sicurezza tra il framework importato e il sistema host

La cronologia rivela un pattern ricorrente. La patch per CVE-2026-5027 è arrivata il 15 aprile. Gli attacchi hanno iniziato a giugno. VulnCheck ha confermato i primi hit in the wild l’8 giugno. Tra aprile e giugno: quasi due mesi di finestra scoperta. Per team che monitorano i cataloghi federali piuttosto che i disclosure pubblici, la lezione è senza sfumature—il conteggio della patch inizia alla disclosure, non alla voce in un catalogo governativo.

Questi framework sono entrati in produzione più velocemente di quanto siano stati secured. Memorizzano lo stato degli agenti, accettano upload di file, caricano configurazioni di prompt e mantengono credenziali verso database, CRM e API interne. Gli strumenti che monitorano il traffico guardano i bordi. Gli strumenti sugli endpoint osservano i processi. Nessuno dei due è stato concepito per trattare un framework importato come un confine di sicurezza degno di protezione, e questo punto cieco è precisamente dove tutti e tre i framework vivono, allargandosi ogni settimana man mano che questi strumenti finiscono in produzione.

Chi gestisce distribuzioni di questi framework dovrebbe iniziare dalla versione patch, ma il vero collo di bottiglia rimane il tempo tra il rilascio della correzione e il deployment effettivo. Migliaia di istanze sono rimaste aperte per settimane. Senza automazione aggressiva negli aggiornamenti, il resto seguirà lo stesso schema.

Ripreso da: VentureBeat