自社のLangflowが既に侵害されているか、どう判断すればよいですか?

VulnCheckはCanaryで`/etc/cron.d/`等に書き込まれたテストファイルを観測しています。1.9.0未満のバージョンを使い、オートログインが有効、かつインターネット(特に7860番ポート)に露出していた場合は侵害想定で調査するのが安全です。

LangGraphを使っていますが、SaaS版のLangSmithなら影響は受けますか?

LangSmithをPostgreSQLバックエンドで運用していればCVE-2025-67644(SQLiteチェックポインタのSQLi)の露出は解消されます。ただしmsgpackデコーダのCVE-2026-28277などは別経路のため、`langgraph 1.0.10`等への更新は別途必要です。

LangChain-coreの認証情報漏洩はどこまで深刻ですか?

CVE-2026-34070はレガシーな`load_prompt()`APIで`.env`を読まれる脆弱性で、OPENAI_API_KEYやANTHROPIC_API_KEYが盗まれます。`langchain-core 1.2.22`または`0.3.86`への更新と、デシリアライゼーション欠陥CVE-2025-68664対策の`1.2.5`/`0.3.81`適用が必要です。

LangGraph・Langflow・LangChainに連鎖する脆弱性、AIエージェント基盤に潜む「古典的バグ」の事業リスク

Check Point、Tenable、Cyeraが、月間5000万ダウンロードのLangGraphを含む主要AIエージェントフレームワーク3種にRCEや認証情報窃取につながる脆弱性を相次いで報告。Langflowはすでに約7,000台の露出インスタンスが実攻撃にさらされています。

何が起きたか

Check Point Research、Tenable、VulnCheck、Cyeraの各社が、LangGraph、Langflow、LangChain-coreに対して相次いで脆弱性を報告しました。いずれもSQLインジェクション、パス・トラバーサル、安全でないデシリアライゼーションといった「古典的なAppSecバグ」で、AI固有の新種ではありません。

LangGraphでは、SQLiteチェックポインタのget_state_history()周辺でフィルタキーがSQLに直接埋め込まれていたSQLi(CVE-2025-67644、CVSS 7.3)を起点に、Check Pointが完全なリモートコード実行までチェーンさせています。さらにmsgpackチェックポイントデコーダの欠陥(CVE-2026-28277、CVSS 6.8)はPythonオブジェクトを再構築する際に任意モジュールの関数を呼び出せ、Redisチェックポインタ経由のRCE(CVE-2026-27022、CVSS 6.5)も確認されました。修正はlanggraph-checkpoint-sqlite 3.0.1、langgraph 1.0.10、langgraph-checkpoint-redis 1.0.2に含まれます。

Langflow(CVE-2026-5027、CVSS 8.8)はPOST /api/v2/filesに渡したファイル名がサニタイズされずに書き込まれるパス・トラバーサルで、/etc/cron.d/にcronジョブを置けばシェルを取得できます。Langflowは既定でオートログインが有効なため、露出していれば認証なしで悪用可能です。

なぜ重要か

Langflowの修正版1.9.0は4月15日にリリース済みですが、Censysによると約7,000台のインスタンスが依然インターネットに露出し、その多くが北米にあります。VulnCheckのCaitlin Condon氏は6月9日に実際の悪用を確認しており、6月8日には同社の悪用脆弱性リストにも追加されました。Langflowの実攻撃確認はこれで今年3件目で、5月にCISAのKEVカタログ入りしたCVE-2025-34291はイラン国家支援グループMuddyWaterが武器化しています。

LangChain-coreではload_prompt()が設定辞書のパスを無検証で読み込むCVE-2026-34070(CVSS 7.5)が、.env内のOPENAI_API_KEYやANTHROPIC_API_KEYを流出させます。Cyeraはこれをデシリアライゼーション欠陥CVE-2025-68664(CVSS 9.3)と組み合わせる手法も示しました。

古典バグが「AIスタック」で再燃する構図

LangGraphのチェックポインタは月間5,000万ダウンロード超。エージェント実装の標準部品に古典バグが混入すれば、影響は単一アプリではなくスタック全体に波及します。CrowdStrikeのGeorge Kurtz氏は「エージェントはエンドポイント上で動き、ファイルにアクセスしAPIを呼びデータを動かす」と指摘。同社のAI検知レスポンス事業は第1四半期に前四半期比250%超伸び、6月17日にはAWS上のエージェント・LLM・MCPトラフィックへランタイム保護を拡張しました。

💼 事業会社視点：これは自社にどう効くか

国内事業会社が今やるべきこと

PoCを本番に近づけたSaaS・受託開発企業がもっとも危ない。 Langflowはノーコードでエージェントを組める手軽さから、国内SIerや事業会社の社内ハッカソン発プロジェクトで「とりあえず社内ネットに立てた」運用が珍しくありません。既定オートログインのまま社内VPNの裏に置いた程度では、ひとたびVPNが破られればcron経由で即シェルを取られます。情シス部門は今週中に7860番ポートと/api/v2/filesの社内露出をShodan/Censys的に棚卸しすべきです。

LangChain/LangGraphを採用済みのSaaSベンダーは顧客通知の準備を。 月5,000万DLという普及度は、自社プロダクトに無自覚に組み込まれている可能性が高いことを意味します。チェックポインタにSQLiteやRedisを使うセルフホスト構成なら影響直撃で、LangSmith+PostgreSQL構成への移行が現実的な短期対策です。受託開発でLangChainを納品した案件は、契約上の脆弱性対応義務(保守範囲外でも善管注意義務が問われやすい)を踏まえ、顧客向けに修正バージョン明記の通知を出すのが安全策です。

経営層が押さえるべき論点は「AIリスク=新種」という思い込みを捨てること。 Merritt Baer氏の指摘通り、現場ではこれは「従来型セキュリティの失敗」として顕在化します。CISO配下のAppSec予算を、生成AIガバナンス委員会とは別枠で確保し直すべき局面です。

LangGraph・Langflow・LangChainに連鎖する脆弱性、AIエージェント基盤に潜む「古典的バグ」の事業リスク

何が起きたか

なぜ重要か

古典バグが「AIスタック」で再燃する構図

💼 事業会社視点：これは自社にどう効くか

国内事業会社が今やるべきこと

関連リンク

よくある質問

LangGraph・Langflow・LangChainに連鎖する脆弱性、AIエージェント基盤に潜む「古典的バグ」の事業リスク

何が起きたか

なぜ重要か

古典バグが「AIスタック」で再燃する構図

💼 事業会社視点：これは自社にどう効くか

国内事業会社が今やるべきこと

関連リンク

よくある質問

関連記事

自律型AIエージェントの「知らぬ間のマルウェア取得」をJFrogと連携して防ぐ——NanoCo AIがセキュリティ統合を発表

AIエージェントは「バックドア」になるか？SignalのWhittaker氏がCopilotに突きつけた疑問

MCPの本質は「認証ゲートウェイ」か？Sean Lynchの指摘から見えるModel Context Protocolの再定義