A falha de segurança do LangGraph acendeu um alerta importante para desenvolvedores, equipes de engenharia de IA e profissionais de segurança. Pesquisadores da Check Point Research identificaram uma cadeia de vulnerabilidades capaz de transformar falhas aparentemente comuns em um cenário de execução remota de código (RCE), comprometendo agentes de inteligência artificial executados em ambientes auto-hospedados.
O caso chama atenção porque o LangGraph, projeto amplamente utilizado dentro do ecossistema LangChain, tornou-se uma das principais plataformas para construção de aplicações baseadas em agentes autônomos e sistemas multiagentes. Com a crescente adoção dessas arquiteturas em ambientes corporativos, qualquer vulnerabilidade capaz de comprometer a infraestrutura representa um risco significativo.
Neste artigo, vamos analisar as três vulnerabilidades corrigidas recentemente, entender como a cadeia de ataque funcionava e apresentar as medidas mais importantes para proteger ambientes afetados. Também veremos por que a combinação entre injeção de SQL e desserialização insegura pode se tornar especialmente perigosa em sistemas de IA que operam com privilégios elevados.
As três vulnerabilidades encontradas no LangGraph
As falhas afetam principalmente implementações auto-hospedadas do LangGraph que utilizam mecanismos específicos de armazenamento de estado baseados em SQLite ou Redis.
Segundo os pesquisadores, os ambientes em nuvem gerenciados através do LangSmith não foram impactados pelo problema. O foco está nos administradores e desenvolvedores que mantêm suas próprias instâncias da plataforma.
A descoberta evidencia como uma vulnerabilidade no LangGraph pode impactar diretamente aplicações que armazenam contexto, histórico de execução e checkpoints de agentes inteligentes.
CVE-2025-67644: Injeção de SQL no checkpoint SQLite
A vulnerabilidade CVE-2025-67644 foi identificada no componente responsável pelo gerenciamento de checkpoints utilizando SQLite.
O problema permitia a ocorrência de injeção de SQL, uma das categorias mais antigas e conhecidas de vulnerabilidades em aplicações. Mesmo sendo amplamente documentada há décadas, ela continua aparecendo em projetos modernos quando validações adequadas não são implementadas.
No cenário analisado pela Check Point, um atacante poderia manipular parâmetros específicos enviados para consultas relacionadas ao histórico de estados dos agentes. Isso possibilitava inserir dados maliciosos diretamente no banco de dados utilizado pelo sistema.
O perigo não estava apenas na modificação de registros. O verdadeiro risco surgia quando esses dados eram posteriormente processados por outros componentes da aplicação.
CVE-2026-28277 e CVE-2026-27022: Desserialização e Redis
As vulnerabilidades CVE-2026-28277 e CVE-2026-27022 envolvem problemas relacionados à desserialização insegura, especialmente em cenários que utilizam Redis para armazenamento e recuperação de estados.
A desserialização ocorre quando dados armazenados são convertidos novamente em objetos utilizáveis pela aplicação. Quando esse processo não é tratado de forma segura, informações manipuladas por invasores podem resultar na execução de comandos inesperados.
Esse tipo de falha é particularmente perigoso porque transforma dados aparentemente inofensivos em instruções capazes de influenciar diretamente o comportamento do software.
Quando combinadas com a vulnerabilidade anterior, essas falhas criavam um caminho viável para comprometimento completo do servidor.
Como funcionava a perigosa cadeia de ataque para RCE
O aspecto mais preocupante da falha de segurança do LangGraph não era uma vulnerabilidade isolada, mas sim a possibilidade de encadear múltiplos problemas em um único ataque.
De forma simplificada, o processo acontecia em várias etapas.
Primeiro, o atacante explorava a CVE-2025-67644 para realizar uma injeção de SQL no mecanismo de checkpoint baseado em SQLite.
Em seguida, utilizando o endpoint get_state_history(), era possível inserir ou manipular dados armazenados no histórico de estados da aplicação.
Esses dados eram cuidadosamente preparados para conter objetos ou cargas úteis maliciosas que seriam processadas posteriormente pelo sistema.
Quando a aplicação recuperava essas informações e iniciava o processo de desserialização, as vulnerabilidades CVE-2026-28277 e CVE-2026-27022 entravam em ação.
Nesse momento, o conteúdo controlado pelo invasor deixava de ser apenas um registro armazenado e passava a ser interpretado pelo ambiente de execução.
O resultado potencial era a obtenção de execução remota de código (RCE), permitindo que o atacante executasse comandos diretamente no servidor comprometido.
Em muitos ambientes de IA, esse cenário é ainda mais crítico porque agentes autônomos frequentemente operam com acesso a APIs, bancos de dados, sistemas internos e recursos corporativos sensíveis.
Isso significa que uma exploração bem-sucedida poderia resultar não apenas no comprometimento da aplicação, mas também em movimentação lateral dentro da infraestrutura, acesso a credenciais e exposição de dados confidenciais.
A descoberta demonstra como vulnerabilidades tradicionais podem ganhar novos impactos quando inseridas em arquiteturas modernas de inteligência artificial.
Como proteger seus agentes de IA auto-hospedados da falha de segurança do LangGraph
A principal lição deste incidente é que aplicações de IA não estão imunes aos mesmos problemas de segurança encontrados em sistemas convencionais.
Na prática, vulnerabilidades clássicas como injeção de SQL e desserialização insegura podem se tornar ainda mais perigosas quando agentes possuem acesso privilegiado a ferramentas, bancos de dados e serviços corporativos.
Por isso, a mitigação deve ser tratada como prioridade.
O primeiro passo é atualizar imediatamente o LangGraph para versões que contenham as correções disponibilizadas pelos mantenedores do projeto.
Também é fundamental revisar dependências relacionadas e verificar se existem ambientes de desenvolvimento, homologação ou produção executando versões vulneráveis.
Outra recomendação essencial é aplicar rigorosamente o Princípio do Menor Privilégio (PoLP). Agentes de IA devem possuir apenas os acessos estritamente necessários para executar suas funções.
A segmentação de rede também reduz significativamente os impactos de uma eventual invasão. Servidores responsáveis pelos agentes não devem possuir acesso irrestrito a recursos críticos da organização.
Da mesma forma, mecanismos de autenticação forte, controle de acesso baseado em funções e monitoramento contínuo ajudam a detectar atividades suspeitas antes que um incidente se transforme em comprometimento completo.
Por fim, organizações que utilizam arquiteturas multiagentes devem incluir avaliações periódicas de segurança em seus ciclos de desenvolvimento, especialmente em componentes responsáveis pelo armazenamento de estado, memória e histórico de execução.
A recente falha de segurança do LangGraph reforça que a evolução da inteligência artificial não elimina os riscos tradicionais da segurança da informação. Pelo contrário, ela amplia o impacto potencial dessas vulnerabilidades quando agentes passam a atuar de forma autônoma e integrada a sistemas críticos.
