LangChain曝关键漏洞,数百万AI应用面临攻击风险
2024-7-26 11:14:18 Author: www.freebuf.com(查看原文) 阅读量:5 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。

面向初学者的 5 个最佳 Langchain 教程:学习 Langchain 的综合指南

近日,来自Palo Alto Networks的研究人员详细描述了LangChain中的两个重大安全漏洞。

这些漏洞被识别为CVE-2023-46229和CVE-2023-44467,它们有可能允许攻击者执行任意代码和访问敏感数据。鉴于有一百多万名开发者依赖LangChain,这一发现给众多AI驱动的应用程序带来了重大安全风险。

CVE-2023-46229:服务器端请求伪造(SSRF)

在LangChain 0.0.317之前的版本中,存在一个通过精心设计的站点地图实现的SSRF漏洞。利用该漏洞,攻击者可以从内网获取敏感信息,并可能绕过访问控制。Palo Alto Networks在2023年10月13日发现了这一问题,并立即通知了LangChain团队。该漏洞已在版本0.0.317中通过拉取请求langchain#11925得到修复。

CVE-2023-44467:LangChain实验中的严重提示注入

CVE-2023-44467是一个严重提示注入漏洞,影响0.0.306之前的LangChain实验版本。LangChain实验是一个专为研究和试验而设计的Python库,包含可能被恶意提示利用的集成。这个漏洞影响了PALChain功能,这是一个通过程序辅助语言模型(PAL)增强语言模型生成代码解决方案的能力的功能。

该漏洞允许攻击者利用PALChain的处理能力进行提示注入,使他们能够执行有害的命令或代码。这种利用可能导致未经授权的访问或操纵,带来重大的安全风险。Palo Alto Networks在2023年9月1日识别出这一问题,并及时通知了LangChain开发团队,后者在第二天在LangChain实验PyPI页面上发布了警告。

随着对大型语言模型(LLM)应用需求的增加,LangChain的受欢迎程度在最近几个月急剧上升。其丰富的预构建组件和集成库使其成为开发者的首选工具。然而,这种广泛的应用也意味着这些漏洞的潜在影响被放大。

Palo Alto Networks的研究人员强烈建议使用LangChain的开发者和组织将LangChain更新到最新的修补版本,以确保应用安全。

参考来源:https://securityonline.info/critical-flaws-in-langchain-expose-millions-of-ai-apps-to-attack/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/407063.html
如有侵权请联系:admin#unsafe.sh