CEVIU Logo
Voltar
⚠️CEVIU Segurança da Informação

7.000 servidores Langflow sob ataque; LangGraph e LangChain têm as mesmas falhas

Aprofundamento CEVIU

Aprofundamento

Três frameworks de agentes de IA, LangGraph, Langflow e LangChain-core, viraram portas de entrada para ataques reais porque usam configurações padrão inseguras e tratam dados de entrada como confiáveis. O LangGraph permite execução remota de código ao carregar checkpoints em SQLite sem sanitização, permitindo que um atacante injete comandos Python via SQL injection. O Langflow, com login automático ativado por padrão, aceita uploads de arquivos sem validação de caminho, permitindo que um único request escreva um job cron em /etc/cron.d/ e abra uma shell sem autenticação. Já o LangChain-core lê arquivos de configuração de prompts sem bloquear caminhos absolutos, expondo chaves de API armazenadas em .env ou outros arquivos sensíveis. Nenhum desses bugs é novo, mas todos foram ignorados porque as equipes os consideraram ferramentas de desenvolvimento, não infraestrutura crítica.

A falha não está no código, mas na mentalidade: equipes de segurança ainda classificam esses frameworks como ‘ferramentas de prototipagem’ e não como componentes de produção com acesso a credenciais, bancos de dados e APIs internas. Isso cria uma brecha invisível para WAFs e EDRs, que não monitoram o comportamento interno de bibliotecas importadas. O que antes era um risco teórico agora é uma realidade: 7.000 instâncias do Langflow já estão sendo exploradas, e os atacantes estão usando as mesmas técnicas clássicas, path traversal, SQLi, deserialização insegura, contra a nova camada de infraestrutura de IA.

Por que isso importa

Esses ataques não são sobre IA avançada. São sobre infraestrutura mal configurada que agora executa decisões de negócio em tempo real. Um agente comprometido não apenas rouba chaves de API, ele as usa para alterar dados de CRM, disparar pagamentos, ou ajustar preços com base em entradas manipuladas. A consequência não é um vazamento de dados, mas uma decisão corporativa errada tomada por máquina, sem intervenção humana. Empresas que não mapeiam esses frameworks como ativos críticos correm o risco de ter um incidente de segurança que parecerá um erro de negócio. O custo não está na correção do patch, mas no tempo que leva para descobrir que o agente que gerou o relatório de vendas foi infectado há semanas.

Linha do tempo

  1. Langflow 1.9.0 é lançada, corrigindo a vulnerabilidade de path traversal no upload de arquivos

  2. VulnCheck confirma exploração em larga escala de CVE-2026-5027 em servidores expostos

  3. 7.000 servidores Langflow sob ataque; falhas em LangGraph e LangChain-core são vinculadas aos mesmos padrões de risco

Perguntas frequentes

Como sei se meu Langflow está exposto?

Verifique se sua instância está acessível pela internet sem autenticação e se a versão é anterior à 1.9.0. Use ferramentas como Censys ou Shodan para buscar endpoints em /api/v2/files. Se o servidor responde com um erro 404 em vez de bloquear a requisição, ele pode estar vulnerável. Mesmo que não esteja em produção, se foi usado para testes e deixado acessível, ele já é um alvo.

O patch resolve o problema por completo?

Não. O patch corrige a vulnerabilidade técnica, mas não muda o comportamento de configuração. Se você continuar usando login automático, ou permitir que usuários externos enviem arquivos, o risco persiste. O verdadeiro fix é desativar funcionalidades desnecessárias, aplicar regras de least privilege e monitorar o uso de arquivos e processos dentro do container onde o agente roda. Patch é o primeiro passo, não o último.

Por que meu WAF não bloqueou esse ataque?

Porque o ataque não vem como um payload malicioso visível. Ele usa o comportamento legítimo do framework: escrever um arquivo com nome malicioso, ou carregar um checkpoint com dados falsos. O WAF vê uma requisição POST normal, o EDR vê um processo Python executando uma função comum. Nenhum sistema de segurança tradicional é treinado para identificar abusos de lógica interna de bibliotecas de terceiros. Isso exige vigilância no nível do código e do container, não só na rede.

Quais outros frameworks de IA podem ter o mesmo problema?

Qualquer framework que armazene estado, carregue configurações de arquivo ou aceite uploads sem validação. Frameworks como LlamaIndex, AutoGen e Haystack já tiveram falhas semelhantes em versões antigas. A regra é simples: se o framework lê ou escreve arquivos, carrega dados de configuração ou usa serialização, ele é um alvo. Trate como infraestrutura crítica assim que for usado em produção, mesmo que pareça uma ferramenta de desenvolvimento.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
23 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Segurança da Informação
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser