LangChain: Kritische Sicherheitslücke bedroht Millionen KI-Agenten

Eine schwerwiegende Schwachstelle im Fundament moderner Künstlicher Intelligenz versetzt die Entwicklungsbranche in Alarmbereitschaft. Die als „LangGrinch“ bekannte Lücke (CVE-2025-68664) im zentralen langchain-core ermöglicht Angreifern, sensible Zugangsdaten zu stehlen und Schadcode auszuführen. Betroffen sind Millionen von KI-Anwendungen weltweit.

So funktioniert der „LangGrinch“-Angriff

Sicherheitsforscher von Cyata Security haben die Schwachstelle diese Woche detailliert offengelegt. Der Fehler liegt in den Serialisierungsfunktionen des weit verbreiteten LangChain-Frameworks. Diese Funktionen wandeln Daten von KI-Agenten in speicherbare Formate um.

Das Problem: Das System unterscheidet nicht zuverlässig zwischen vertrauenswürdigen Systemobjekten und nutzergesteuerten Daten. Durch speziell manipulierte Eingabeaufforderungen – sogenannte Prompt Injections – kann ein Angreifer das System dazu bringen, fremde Daten als privilegiertes Objekt zu behandeln.

Die „LangGrinch“-Sicherheitslücke zeigt, wie schnell KI‑Komponenten zur Angriffsfläche werden können. Ein kostenloser Leitfaden zur Cyber‑Security erklärt aktuelle Bedrohungen (inkl. KI‑spezifische Schwachstellen), pragmatische Schutzmaßnahmen, Prioritäten für kleine und mittlere IT‑Teams sowie praxisnahe Checklisten und Compliance‑Hinweise. Ideal für Entwickler und IT‑Verantwortliche, die Secrets, Abhängigkeiten und Agent‑Sicherheit sofort verbessern wollen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

„Die Gefahr ist besonders hoch, weil die Lücke im Serialisierungspfad liegt“, erklärt Entdecker Yarden Porat. Das bedeutet: Schon das routinemäßige Protokollieren oder Speichern eines Agentenzustands kann die Schwachstelle auslösen – eine Standardoperation in fast jeder produktiven KI-Umgebung.

Vom Chatbot zur Systemübernahme

Die Folgen von CVE-2025-68664 sind für Unternehmen gravierend. Die Ausnutzung der Lücke kann zu mehreren Szenarien führen:

1. Diebstahl sensibler Daten: Angreifer können Umgebungsvariablen auslesen und so API-Schlüssel, Datenbank-Zugänge und Cloud-Geheimnisse erbeuten.
2. Ausführung von Schadcode: In bestimmten Konfigurationen ermöglicht die Lücke die Ausführung beliebigen Codes auf dem betroffenen Server.
3. Plattformübergreifendes Risiko: Eine parallele Schwachstelle (CVE-2025-68665) in LangChain.js zeigt, dass das Problem sowohl Python- als auch Node.js-Ökosysteme betrifft.

Die Reichweite ist enorm: langchain-core verzeichnet Hunderte Millionen Downloads und bildet das Rückgrat für alles von Kundenservice-Chatbots bis hin zu autonomen Geschäftsprozessen.

Dringende Gegenmaßnahmen sind erforderlich

Die Maintainer von LangChain haben bereits Notfall-Patches veröffentlicht. Entwicklungsteams müssen ihre Pakete umgehend auf langchain-core Version 0.3.81 oder 1.2.5 aktualisieren.

Die Korrekturen umfassen:
* Sichere Serialisierung: Die anfälligen Funktionen maskieren nun den reservierten "lc"-Schlüssel in nutzergenerierten Inhalten korrekt.
* Sicherere Standardeinstellungen: Das automatische Laden von Geheimnissen aus der Umgebung ist nun standardmäßig deaktiviert.
* Eingeschränkte Template-Engine: Die Ausführung von Jinja2-Vorlagen wird standardmäßig blockiert.

Sicherheitsunternehmen passen bereits ihre Scan-Tools an, um gefährdete LangChain-Instanzen zu identifizieren. Unternehmen sollten ihre Abhängigkeiten sofort überprüfen, da langchain-core oft indirekt über andere KI-Tools installiert wird.

Ein Weckruf für die KI-Sicherheit

Der Fund von „LangGrinch“ markiert einen Wendepunkt für die Sicherheit sogenannter Agentic AI – also Systeme, die eigenständig Aktionen basierend auf KI-Entscheidungen ausführen.

„Das ist ein Weckruf für die KI-Lieferkette“, kommentiert ein Bericht von SiliconANGLE. Die Schwachstelle unterstreicht ein bekanntes Muster: Während KI-Frameworks Komplexität abstrahieren, um die Entwicklung zu beschleunigen, verschleiern sie oft kritische Datenverarbeitungsmechanismen, die Angreifer ausnutzen können.

Der Vorfall ähnelt bekannten „Object Injection“-Schwachstellen in traditionellen Web-Frameworks, überträgt sie aber auf das neue Paradigma des probabilistischen Rechnens. Hier kann der „Angreifer“ nicht nur ein externer Hacker sein, sondern potenziell das Sprachmodell selbst, das via Prompt Injection zum unfreiwilligen Komplizen wird.

Was bedeutet das für die Zukunft?

Sicherheitsteams stehen unter Zeitdruck, ihre Systeme zu patchen, bevor Proof-of-Concept-Exploits weit verbreitet sind. Die Enthüllung dürfte die Einführung von „KI-Firewalls“ und strengeren Eingabevalidierungen zwischen Sprachmodellen und Backend-Infrastruktur beschleunigen.

Für 2026 prognostizieren Experten eine verstärkte Prüfung, wie KI-Frameworks Serialisierung und Zustandsverwaltung handhaben. Die Leichtigkeit, mit der eine Texteingabe Backend-Infrastruktur kompromittieren kann, zeigt: Die Grenze zwischen „Daten“ und „Code“ ist in aktuellen KI-Architekturen gefährlich verschwommen.

Die Botschaft an Entwicklungsteams ist klar: Überprüfen Sie Ihre Abhängigkeiten, aktualisieren Sie Ihre Kernbibliotheken – und gehen Sie davon aus, dass alle von einem Sprachmodell generierten Daten potenziell feindselig sein können.

PS: Angriffe wie LangGrinch treiben nicht nur Notfall-Patching voran, sie forcieren auch neue Sicherheitsstandards für KI‑Systeme. Im kostenlosen E‑Book finden Sie kompakte Priorisierungs-Checks, konkrete Sofortmaßnahmen zum Schutz von Secrets, Empfehlungen fürs Notfall‑Patching und praxisnahe Hinweise, wie Sie Serialisierungswege härten. Kostenloser Download, geeignet für Entwickler und IT‑Teams, die schnell handeln müssen. E-Book: Cyber Security Awareness Trends gratis anfordern