Check Point Research ha divulgato il 10 giugno 2026 una catena di vulnerabilità in LangGraph che trasforma il meccanismo di persistenza degli agenti AI in un vettore di esecuzione codice remota. La scoperta colpisce i deployment self-hosted con backend SQLite o Redis: un attaccante può passare da una singola chiamata API al controllo completo del server. Con quasi 46,5 milioni di download mensili, il perimetro di esposizione è vasto e concentrato su infrastrutture enterprise che gestiscono dati sensibili e chiavi API di modelli linguistici.
La ricerca ridefinisce il rischio per l'AI agentica. Non più attacchi limitati alla sessione, come il prompt injection, ma compromissione persistente dell'infrastruttura che ospina l'agente. La memoria che rende l'agente "intelligente" diventa il suo punto di rottura.
- La catena unisce SQL injection in
get_state_history()e deserialization msgpack per eseguire codice arbitrario sul server LangGraph - LangGraph registra quasi 46,5 milioni di download mensili: la superficie d'attacco copre migliaia di ambienti self-hosted enterprise
- Tre CVE assegnate: CVE-2025-67644 (SQLite injection), CVE-2026-28277 (msgpack deserialization/RCE), CVE-2026-27022 (Redis injection)
- La piattaforma gestita LangChain con PostgreSQL non è vulnerabile; solo i deployment autogestiti con SQLite o Redis sono a rischio
Il meccanismo: quando la persistenza diventa esecuzione
LangGraph gestisce lo stato degli agenti AI attraverso un componente chiamato checkpointer, un livello di persistenza che salva lo stato di esecuzione a ogni passo per recuperarlo in seguito. Questa architettura, fondamentale per l'agenticità, introduce un confine di fiducia difettoso: i dati persistiti vengono trattati come input interno affidabile, non come potenziale vettore d'attacco.
La funzione get_state_history(), che recupera i checkpoint storici dell'agente, contiene una vulnerabilità di SQL injection nel parametro filter. Secondo Check Point Research, questa fall permette a un attaccante di manipolare quali dati di checkpoint vengono restituiti dal database. La seconda componente è una vulnerabilità di deserialization nel formato msgpack: quando LangGraph elabora i dati restituiti, un payload controllato dall'attaccante viene eseguito come codice sul server.
Nessuna delle due falle, isolata, racconta l'intera storia. Insieme creano un percorso chiaro da una singola chiamata API alla compromissione completa del server. La catena sfrutta un'assunzione architetturale errata: che lo stato persistito di un agente AI sia sempre attendibile.
Le CVE e le versioni corrette
La ricerca di Check Point ha ottenuto tre identificatori CVE. Secondo Express Computer, le vulnerabilità sono CVE-2025-67644 per l'SQL injection nel backend SQLite, CVE-2026-28277 per la deserialization msgpack che porta a RCE, e CVE-2026-27022 per l'iniezione nel backend Redis. Secondo il dossier, il record NVD per CVE-2025-68664 — una vulnerabilità di deserialization nel core LangChain con vettore CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N e punteggio 9,3 CRITICAL — è collegato ma non identificato testualmente come la stessa falla della catena LangGraph.
Le versioni che correggono le vulnerabilità, documentate da Check Point Research, sono: langgraph-checkpoint-sqlite 3.0.1 o successiva, langgraph 1.0.10 o successiva, e langgraph-checkpoint-redis 1.0.2 o successiva. La fonte specifica che LangChain ha collaborato attraverso un processo di divulgazione coordinata.
Il vettore CVSS 9,3 CRITICAL di CVE-2025-68664, con accesso di rete richiesto nessuno, privilegi nessuno, interazione utente nessuna e impatto su risorse oltre il target di sicurezza, indica una severità massima per la componente di deserialization. I punteggi esatti per CVE-2025-67644 e CVE-2026-28277 non sono presenti nel dossier estratto.
L'impatto enterprise: oltre il server LangGraph
"Full code execution on a LangGraph server is not a contained incident. These servers hold the keys to everything the agent touches." — Check Point Research
La compromissione di un server LangGraph self-hosted espone chiavi API dei modelli linguistici, cronologia completa delle conversazioni, sistemi CRM e database aziendali collegati, e un punto d'appoggio nella rete per movimento laterale. Check Point Research sottolinea esplicitamente che l'impatto trascende il singolo server: gli agenti AI sono progettati per integrarsi con sistemi enterprise, e la loro compromissione si propaga attraverso queste connessioni.
Il profilo di rischio differisce qualitativamente dal prompt injection. Quest'ultimo è limitato alla sessione corrente e termina con la conversazione. La catena SQL injection + deserialization offre accesso persistente all'infrastruttura, con potenziale di escalation di privilegi all'interno dell'ambiente che ospita l'agente. La fonte non documenta exploitation attiva osservata nel campo.
Perché è importante
Il dossier estratto non specifica misure correttive operative dettagliate oltre l'aggiornamento alle versioni patchate. Check Point Research nota che LangGraph self-hosted viene distribuito senza autenticazione integrata, un aspetto architetturale che espone direttamente i deployment non protetti da proxy inverso o API gateway a reti non attendibili. La fonte non quantifica il numero di ambienti effettivamente esposti né fornisce una timeline completa tra scoperta e rilascio delle patch.
La natura esatta dei dati compromissibili non è dettagliata oltre le categorie generali (chiavi API, cronologia, sistemi collegati). Il brief non elenca controlli specifici di monitoraggio post-patch né procedure di verifica della compromissione passata. La fonte non chiarisce inoltre se CVE-2026-28277 e CVE-2025-68664 rappresentino falle distinte della stessa classe di deserialization o assegnazioni duplicate del medesimo difetto.
La lezione architetturale: la memoria come perimetro
Questa ricerca sposta il fuoco della sicurezza AI dagli input utente all'infrastruttura di stato. Gli agenti agentici richiedono persistenza per funzionare; quella persistenza introduce nuovi confini di fiducia che i tradizionali modelli di threat modeling non coprono. La combinazione di SQL injection — classe di vulnerabilità consolidata — con deserialization in un formato binario come msgpack dimostra come tecniche mature si ripropongano con effetti amplificati in architetture AI-native.
Il mercato dei framework agentici è in espansione rapida. LangGraph, con i suoi quasi 46,5 milioni di download mensili secondo Check Point, rappresenta un campione significativo ma non unico di questa tendenza. La questione centrale è se i team che deployano questi framework valutino lo stato persistito come dato non attendibile, o continuino a trattarlo come confine interno implicitamente sicuro.
La divulgazione coordinata con il team LangChain suggerisce maturità nel processo, ma la distribuzione self-hosted senza autenticazione di default rimane un'architettura che scarica il perimetro di sicurezza sull'operatore. La prossima generazione di framework agentici dovrà invertire questa assunzione: la memoria dell'agente è un input esterno, non un dato interno.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.darkreading.com/vulnerabilities-threats/complex-cloud-integrations-small-errors-compromises
- https://nvd.nist.gov/vuln/detail/CVE-2025-68664
- https://letsdatascience.com/news/researchers-find-critical-vulnerabilities-in-langgraph-b381bea1
- https://www.expresscomputer.in/news/check-point-finds-vulnerability-chain-in-langgraph/135892/
- https://cxotoday.com/media-coverage/when-your-ai-agents-memory-becomes-a-security-liability/
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments