怎么做app和网站购物车经典小型建筑设计案例

怎么做app和网站购物车,经典小型建筑设计案例,中国外包公司排行榜,网页美工设计多少钱人工智能安全初创公司Cyata Security Ltd.今天发布报告#xff0c;详细介绍了最近在langchain-core中发现的一个严重漏洞。langchain-core是基于LangChain智能体背后的基础库#xff0c;在人工智能生产环境中被广泛使用。这个漏洞被追踪为CVE-2025-68664#xff0c;绰号详细介绍了最近在langchain-core中发现的一个严重漏洞。langchain-core是基于LangChain智能体背后的基础库在人工智能生产环境中被广泛使用。这个漏洞被追踪为CVE-2025-68664绰号LangGrinch通用漏洞评分系统得分为9.3分。该漏洞可能允许攻击者从受影响系统中窃取敏感机密信息在特定条件下甚至可能升级为远程代码执行。langchain-core位于智能体AI生态系统的核心是无数框架和应用程序的核心依赖项。据Cyata称公共包下载追踪器显示langchain-core的总下载量约为8.47亿次在过去30天内有数千万次下载。更广泛的LangChain包每月约有9800万次下载突显了这个存在漏洞的组件在现代AI工作流程中的深度嵌入程度。LangGrinch漏洞的成因LangGrinch漏洞源于langchain-core内置辅助函数中的序列化和反序列化注入漏洞。攻击者可以通过提示注入引导AI智能体生成包含LangChain内部标记键的精心构造的结构化输出来利用该漏洞。由于标记键在序列化过程中没有得到适当的转义处理数据后续可能被反序列化并被解释为可信的LangChain对象而不是不可信的用户输入。Cyata安全研究员Yarden Porat解释说这个发现的有趣之处在于漏洞存在于序列化路径中而不是反序列化路径中。在智能体框架中提示下游产生的结构化数据通常会被持久化、流式传输并在稍后重建。这创造了一个从单个提示就能触及的惊人大的攻击面。一旦漏洞被触发它可能导致通过出站HTTP请求完全泄露环境变量。暴露的信息可能包括云服务提供商凭证、数据库和检索增强生成RAG连接字符串、向量数据库机密以及大语言模型应用程序编程接口密钥。攻击路径和影响范围Cyata的研究人员识别出了12种不同的可达攻击流程突出了智能体的常规操作如持久化、流式传输和重建结构化数据如何无意中开启攻击路径。值得注意的是该漏洞存在于langchain-core本身不依赖于第三方工具、集成或连接器。Cyata强调这使得该缺陷特别危险因为它位于该公司所描述的生态系统管道层中被许多生产系统持续使用。补丁和修复建议现在langchain-core版本1.2.5和0.3.81中已经提供了补丁Cyata敦促组织立即更新。在公开详细信息之前Cyata向LangChain维护者进行了道德披露Cyata称赞他们采取了果断的修复措施和超越即时修复的安全加固步骤。Cyata联合创始人兼首席执行官Shahar Tal表示随着智能体投入生产安全问题从我们运行什么代码转变为这个系统最终行使什么有效权限。对于智能体身份你需要严格的默认设置、清晰的边界以及在出现问题时减少爆炸半径的能力。QAQ1LangGrinch漏洞是什么为什么如此严重ALangGrinch是langchain-core库中发现的一个严重安全漏洞编号为CVE-2025-68664安全评分高达9.3分。该漏洞可能允许攻击者窃取系统中的敏感机密信息包括云服务凭证、数据库连接字符串和API密钥在特定条件下甚至可能升级为远程代码执行。Q2LangGrinch漏洞的攻击原理是什么A该漏洞源于langchain-core序列化和反序列化功能中的注入漏洞。攻击者通过提示注入引导AI智能体生成包含LangChain内部标记键的恶意结构化输出。由于标记键未得到正确转义处理恶意数据被反序列化时会被系统误认为可信对象而不是用户输入。Q3如何防护LangGrinch漏洞A组织应立即将langchain-core更新到版本1.2.5或0.3.81这些版本已包含安全补丁。由于langchain-core是众多AI应用的核心依赖库拥有数亿次下载量因此及时更新对于保护AI智能体系统的安全至关重要。