Home Fondamenti Storia dell'AI Reti Neurali Backpropagation Architetture Token Modelli AI Case Studies Tecniche RAG RAG Avanzato GraphRAG MCP Orchestrazione LangChain LangGraph Prompt Engineering Usare l'AI ChipsBot News
HomeNews › 7000 Server Langflow Attaccati. Hanno Gli Stessi B...

7000 Server Langflow Attaccati. Hanno Gli Stessi Buco Di LangGraph E LangChain

VentureBeat AI 20 giugno 2026

Un server per agenti AI non è un firewall. E' un insieme di codice per lo stato, la persistenza e l'interazione. Ma quando quel codice non è sicuro, è una porta aperta per chiunque sappia usarla. Negli ultimi mesi, tre dei framework per agenti AI più diffusi – LangGraph, LangFlow e LangChain – sono stati trovati con gravi buchi di sicurezza che permetterebbero ad un attaccante di ottenere un accesso completo a chiavi API, credenziali di database e token di gestione dati. Questi problemi non sono nuovi: SQL injection, deserializzazione non sicura e traverso di percorsi, ma sono dentro infrastrutture che crescono velocemente in aziende e startup.

Secondo Check Point Research, LangGraph è vulnerabile a iniezioni SQL a cause di un problema nel controllo SQLite per la persistenza delle informazioni di stato. Queste vengono utilizzate da centinaia di migliaia di utenti, e per un attaccante basta un filtro malformato per scatenare danni gravi. Quando le chiavi o le credenziali non sono protette per l'accesso remoto, e i dati di esecuzione non vengono verificati correttamente, è un invito a violare.

Sicurezza Trascurata in un'Era di AI

L’uso della SQLite checkpointer di LangGraph, un'infrastruttura che gestisce lo stato esecutivo dei cosiddetti agenti AI, presenta alcuni exploit che, se sfruttati, permettono un accesso completo. La sua iniezione SQL consente a un utente malintenzionato di manipolare query sensibili a causa del mancato controllo sugli input. Il problema è stato identificato da un ricercatore di Check Point Research, Yarden Porat, che ha documentato un exploit in cui un filtro controllato dall'utente potrebbe essere modificato per eseguire codice dannoso.

LangGraph risponde con l’aggiornamento delle versioni del framework: la 1.0.10 per langgraph, la 3.0.1 per langgraph-checkpoint-sqlite e la 1.0.2 per langgraph-checkpoint-redis. I numeri CVSS (Common Vulnerability Scoring System) vanno da 6.5 a 7.3, segnalando gravi rischi per ogni sistema con queste componenti implementate in ambiente con accesso esterno.

LangFlow: Un Vettore Attivo di Attacchi

LangFlow è già sotto attacco attivo. Nel 2026, un exploit su LangFlow ha permesso agli hacker di caricare file maliziosi in una directory critica del sistema attraverso l’endpoint POST /api/v2/files. L’assenza di protezioni contro la traverso di directory (es. ../../etc/cron.d/) e la configurazione di default con login automatico non richiede alcun credenziale al momento dell'accesso.

Il exploit ha interessato oltre 7.000 server esposti in rete pubblica, con il maggior numero ubicato in Nord America. La vulnerabilità, assegnata il CVE-2026-5027 con una valutazione CVSS 8.8, ha rappresentato un serio problema di sicurezza. La patch per LangFlow è stata rilasciata ad aprile 2026, ma gli exploit sono aumentati a giugno. CISA l'ha aggiunta a una lista di vulnerabilità sfruttate, ma molti si sono trovati indifesi per due mesi con l'implementazione di default.

Le conseguenze

    • Il file caricato può eseguire comandi arbitrari tramite il sistema operativo
    • La compromissione del sistema apre a accesso completo a chiavi, database e API interne
    • La vulnerabilità non richiede credenziali di accesso
    • I team di sicurezza dovranno valutare l’intera catena di importazione di framework

LangChain-Core e il Problema di Lettura dei Prompt

Il problema con LangChain-Core non è l’AI in sé, ma il modo in cui i prompt vengono caricati. L’API per il caricamento dei prompt ha un bug che permette la traverso di percorsi. Un attaccante può costringere il sistema a leggere file sensibili in qualsiasi cartella accessibile, inclusi i file .env che contengono chiavi API come OPENAIAPIKEY. Questo bug, con il CVE 2026-34070, è stato combinato con un exploit di deserializzazione (CVE-2025-68664) per ottenere informazioni critiche.

LangChain-Core è il fondamento di molte applicazioni AI enterprise e, per questo, il rischio associato ad un suo malfunzionamento è molto alto. Gli sviluppatori devono correggere entrambi gli exploit: il problema di traverso deve venire corretto in langchain-core 1.2.22 e 0.3.86, mentre il problema di deserializzazione in 1.2.5 e 0.3.81.

La Lezione per la Sicurezza

    • Digitalizzare le patch non appena rilasciate, non aspettare di vederle in una lista ufficiale
    • Evitare di usare le configurazioni di default non sicure
    • Controllare gli input che arrivano da esterno, specialmente quelli gestiti da framework
    • Aggiornare costantemente le dipendenze

La Necessità di Un Nuovo Modello di Sicurezza

Merritt Baer, Chief Security Officer di Enkrypt AI, spiega che questi exploit sono un chiaro segnale che i tradizionali strumenti di sicurezza – WAF, EDR, e scanner – non riescono a rilevare i framework malicii o vulnerabili importati. La vulnerabilità è nel codice che i team non controllano direttamente. Quando la catena di dipendenze non è monitorata, un attaccante può agire all’interno del sistema come se fosse un processo legittimo.

Il Rischio di Insecurity by Design

    • Ci sono state scelte di progettazione che hanno introdotto default inadeguati ai framework
    • Questi default, come l’autologin di LangFlow o il caricamento non controllato in LangChain, non sono mai aggiornati
    • Un singolo exploit in un framework importato compromette l'intera infrastruttura

Il Futuro Dopo Gli Scoperti di Sicurezza

Assaf Keren, Chief Security Officer di Qualtrics, ha sottolineato che questi incidenti dimostrano non solo una falla tecnica ma anche una mancanza nel modo in cui le aziende gestiscono i rischi del software terzi. Gli strumenti non vengono visti come risorse a rischio, ma solo come strumenti di supporto. Quando un team usa un tool non monitora mai la sua struttura interna, e quando l’attacco colpisce, i danni sono spesso irreversibili.

Per risolvere il problema, gli sviluppatori e i CISO devono iniziare a trattare ogni framework come un componente critico. Quando si importa uno strumento, si deve considerare se i suoi default sono sicuri, se i dati sono controllati in modo corretto, e se l’esposizione a internet presenta rischi. Questo non significa abbandonare queste tecnologie AI, ma implementarle con una governance rigorosa e un’attenzione costante alla catena di fiducia che circonda ogni modulo.

Leggi l'articolo originale →
← Torna alle news