## LangChain 0.2.7 爆出 11 项安全漏洞，最高严重性达 9.3 分
LangChain 0.2.7 版本的核心依赖库 `langchain_core-0.2.43` 被曝存在 11 项安全漏洞，其中一项被评定为严重级别，CVSS 评分高达 9.3 分。该漏洞（CVE-2025-68664）目前尚无官方修复版本可用，且其利用成熟度尚未定义，为依赖此框架构建 LLM 应用的开发者带来了直接且紧迫的安全风险。另一项高危漏洞（CVE-2025-65106）评分也达到 8.2 分，同样缺乏修复方案。这些漏洞均属于传递性依赖，意味着即使开发者未直接引用 `langchain_core`，只要安装了 `langchain-0.2.7`，其应用就可能暴露在攻击之下。

漏洞报告明确指出，所有已发现的漏洞目前均“无可用修复方案”。这意味着数以万计使用 LangChain 0.2.7 版本构建的 AI 应用、智能代理和自动化流程正面临潜在的攻击面。考虑到 LangChain 在 AI 应用开发领域的广泛采用，其供应链安全风险的影响范围可能极为广泛。开发团队在等待官方补丁的同时，必须评估其应用的数据流和外部接口，以缓解潜在的远程代码执行或数据泄露风险。

此次事件将 LangChain 项目及其维护团队置于严格的安全审查之下。作为 AI 开发栈的关键基础设施，其依赖管理的透明度和响应速度面临考验。对于金融、医疗或处理敏感数据的行业应用而言，继续使用存在未修复高危漏洞的版本可能违反合规要求。这起事件也向整个 AI 开源生态发出警示：随着 AI 组件被深度集成，其底层依赖的安全性问题正成为整个应用链中最薄弱的环节。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: AI安全, 供应链漏洞, 开源风险, LLM框架, CVE
- **Credibility**: unverified
- **Published**: 2026-03-27 22:27:16
- **ID**: 38441
- **URL**: https://whisperx.ai/en/intel/38441