Les techniques clés de l'agent AI présentent des défauts critiques… émettant une alerte « LangGrinch » de LangChain

Une vulnérabilité de sécurité grave a été découverte dans la bibliothèque “LangChain Core”, qui joue un rôle central dans l’exploitation des agents IA. Ce problème a été nommé “LangGrinch” et permet à un attaquant de voler des informations sensibles au sein du système IA. Cette vulnérabilité, susceptible de saper à long terme la sécurité de nombreuses applications IA, sonne l’alarme pour l’ensemble du secteur.

La startup de sécurité IA Cyata Security a publié cette vulnérabilité, référencée sous le numéro CVE-2025-68664, et lui a attribué une note de risque élevée de (CVSS)9.3 selon le système de notation des vulnérabilités courantes. Le problème réside dans le fait que les fonctions auxiliaires internes contenues dans LangChain Core, lors de la sérialisation et de la désérialisation, peuvent mal interpréter les entrées utilisateur comme des objets de confiance. Un attaquant utilisant la technique de “prompt injection” peut manipuler la sortie structurée générée par l’agent, en insérant des clés de marqueur interne, qui seront ensuite traitées comme des objets de confiance.

LangChain Core joue un rôle central dans de nombreux frameworks d’agents IA, avec des dizaines de millions de téléchargements au cours des 30 derniers jours. Les statistiques globales indiquent que ses téléchargements cumulés ont dépassé 847 millions. En tenant compte des applications connectées à l’écosystème LangChain dans son ensemble, les experts estiment que l’impact de cette vulnérabilité sera très étendu.

Yarden Porat, chercheur en sécurité chez Cyata, explique : “Ce qui rend cette vulnérabilité particulièrement préoccupante, c’est qu’elle ne concerne pas simplement un problème de désérialisation, mais qu’elle se produit directement dans le processus de sérialisation lui-même. Le stockage, la transmission en flux ou la récupération ultérieure de données structurées générées par des prompts IA exposent une nouvelle surface d’attaque.” Cyata confirme qu’à partir d’un seul prompt, il existe 12 chemins d’attaque précis pouvant conduire à différents scénarios.

Une fois l’attaque lancée, elle peut entraîner une fuite d’informations sensibles via une requête HTTP à distance, comprenant des identifiants cloud, des URL d’accès à des bases de données, des informations sur des bases de vecteurs, des clés API LLM, etc. Ce qui est particulièrement grave, c’est que cette vulnérabilité réside dans une faille structurelle propre à LangChain Core, sans nécessiter d’outils tiers ou d’intégrations externes. Cyata met en garde contre ce qu’elle qualifie de “menace présente dans la couche pipeline de l’écosystème”.

Un correctif de sécurité pour cette vulnérabilité a été publié avec les versions 1.2.5 et 0.3.81 de LangChain Core. Avant de rendre cette vulnérabilité publique, Cyata a informé en amont l’équipe de gestion de LangChain, qui aurait non seulement réagi immédiatement, mais aussi pris des mesures pour renforcer la sécurité à long terme.

Shahar Tal, co-fondateur et CEO de Cyata, souligne : “Alors que les systèmes IA sont déployés à grande échelle dans l’industrie, la question de savoir quelles permissions ils doivent avoir devient une problématique de sécurité plus cruciale que l’exécution du code elle-même. Dans une architecture basée sur l’identification par agent, la minimisation des permissions et du rayon d’impact doivent être des éléments fondamentaux de la conception.”

Cet incident pourrait devenir une occasion pour l’industrie IA (dont le focus se déplace progressivement de l’intervention humaine vers l’automatisation basée sur des agents) de réfléchir aux principes fondamentaux de la sécurité.