Segundo uma das mais recentes investigações da Check Point Research que identificou uma cadeia crítica de vulnerabilidades no LangGraph.
Em causa está uma framework open source criada pelos responsáveis da LangChain e utilizada para desenvolver workflows complexos, stateful. Além disso, controláveis de agentes de inteligência artificial com recurso a LLMs.
Risco de exposição de agentes de IA a execução remota de código
Mais concretamente, com cerca de 46,5 milhões de downloads mensais, o LangGraph é uma das plataformas de agentes de IA mais adotadas a nível mundial.
Por isso, a investigação demonstra como uma falha aparentemente tradicional, uma injeção SQL, pode tornar se significativamente mais perigosa. Isto quando surge na infraestrutura que gere a memória, o estado e as permissões de agentes autónomos.
Principais conclusões da Check Point Research
| Tema | Impacto |
| Execução remota de código | Uma vulnerabilidade de injeção SQL na função get_state_history() pode ser encadeada com uma falha de desserialização msgpack, permitindo execução remota de código no servidor que aloja o LangGraph. |
| Raio de impacto alargado | Um servidor LangGraph comprometido pode expor tudo aquilo a que o agente tem acesso, incluindo chaves de API de LLMs, dados de clientes, credenciais de CRM, histórico de conversas e acesso à rede interna. |
| Ambientes afetados | A cadeia é explorável em implementações auto alojadas que utilizem checkpointers SQLite ou Redis com filtros controláveis pelo utilizador. A plataforma gerida LangSmith Deployment não é afetada por esta cadeia específica. |
| Correções disponíveis | Foram atribuídos três CVEs e as correções estão disponíveis em versões atualizadas. As organizações com versões afetadas devem atualizar de imediato. |
Quando a memória do agente se torna uma superfície de ataque
Em primeiro lugar, ao contrário de um chatbot simples, um agente de IA stateful precisa de recordar o que fez ao longo de várias etapas. Assim, no LangGraph, esta persistência é assegurada por um componente chamado checkpointer. Aqui responsável por guardar o estado de execução do agente em cada passo, para que possa ser recuperado posteriormente.
A Check Point Research concentrou a investigação precisamente neste componente, por estar diretamente integrado no fluxo de execução do agente.
Assim, a equipa descobriu que a função get_state_history(), usada para recuperar checkpoints históricos, continha uma vulnerabilidade de injeção SQL no parâmetro de filtro.
Isoladamente, esta falha já seria relevante. De facto, encadeada com uma segunda vulnerabilidade na forma como o LangGraph desserializa dados de checkpoint. Por isso, torna se um caminho para execução remota de código.
A cadeia que torna a falha crítica segundo a Check Point Research
Sucintamente, o elemento central desta investigação está na combinação de vulnerabilidades. Aliás, a injeção SQL permite a um atacante manipular os dados de checkpoint devolvidos pela base de dados.
Ademais, a vulnerabilidade de desserialização faz com que, quando o LangGraph processa esses dados, uma carga controlada pelo atacante possa ser executada como código no servidor.
Em conjunto, estas falhas criam um percurso claro entre uma chamada de API e o compromisso completo do servidor.
O que um atacante pode obter
A execução de código num servidor LangGraph não deve ser tratada como um incidente limitado à aplicação. Estes servidores podem concentrar credenciais, memória operacional e ligações a sistemas críticos. Na prática, um atacante pode aceder a chaves de API e segredos usados pelo agente, históricos completos de interação, dados de CRM, tickets de suporte, informação de faturação, dados pessoais de clientes e, em alguns casos, usar o servidor comprometido como ponto de entrada para outros sistemas internos.
Este cenário é diferente de uma injeção de prompt que afeta uma sessão isolada. Um servidor comprometido pode permitir a leitura de todas as conversas já processadas pelo agente e a alteração do seu comportamento futuro. O risco deixa de ser apenas técnico e passa a afetar operação, confiança, privacidade e continuidade de negócio.
Quem é afetado e que versões devem ser atualizadas
O LangGraph é uma framework e não um produto alojado. Isto significa que muitas equipas o executam dentro das suas próprias aplicações.
A cadeia de vulnerabilidades é explorável quando uma aplicação expõe a função get_state_history() com um parâmetro de filtro controlável pelo utilizador e utiliza SQLite ou Redis como backend de checkpointer.
A plataforma gerida da LangChain, LangSmith Deployment, utiliza PostgreSQL e não é afetada por esta cadeia específica.
| CVE | Componente | Versão corrigida mínima |
| CVE 2025 67644 | SQLite injection | langgraph checkpoint sqlite 3.0.1 ou posterior |
| CVE 2026 28277 | msgpack deserialization RCE | langgraph 1.0.10 ou posterior |
| CVE 2026 27022 | Redis injection | langgraph checkpoint redis 1.0.2 ou posterior |
As três vulnerabilidades foram corrigidas em versões atualizadas, mas a atualização não é automática. As equipas que executem versões anteriores devem aplicar as atualizações como prioridade imediata.
Como proteger ambientes de IA agentic
- Atualizar imediatamente todas as versões afetadas do LangGraph e dos respetivos checkpointers.
- Colocar autenticação à frente dos servidores LangGraph, com reverse proxy ou API gateway, e evitar exposição direta a redes não confiáveis.
- Tratar agentes de IA como identidades privilegiadas, uma vez que transportam credenciais, permissões e acesso a sistemas internos.
- Aplicar o princípio do menor privilégio a todas as credenciais usadas pelos agentes, reduzindo o impacto de uma eventual intrusão.
- Testar sistemas agentic com a mesma lógica de um atacante, através de exercícios de AI red teaming capazes de identificar cadeias de risco antes de serem exploradas.
- Evitar segredos estáticos de longa duração e reforçar segmentação de rede, monitorização e controlos de acesso.
Fica ainda mais conectado:
- Novo alerta da ANACOM: a chamada que deves desligar já!
- O teu iPhone vai ficar sem a nova Siri AI? Confirma aqui
- Bitcoin regista pior semana do ano com queda generalizada de cripto
