LangChain 0.1.11 爆出 21 项漏洞，最高严重性达 9.8 分，关键依赖无修复方案

LangChain 0.1.11 版本的核心依赖库中发现了 21 个安全漏洞，其中包含多个 CVSS 评分高达 9.8 和 9.3 的“严重”级别漏洞。这些漏洞存在于构建 LLM 应用的关键组件中，目前尚无官方修复补丁可用，为依赖该框架的 AI 应用引入了重大安全风险。

漏洞扫描报告显示，最危险的漏洞 CVE-2024-8309（CVSS 9.8）存在于 `langchain_community-0.0.26` 库中。另一个严重漏洞 CVE-2025-68664（CVSS 9.3）则位于 `langchain_core-0.1.29` 库内。此外，高严重性漏洞 CVE-2025-66418（CVSS 8.6）也通过 `urllib3` 库被间接引入。所有这些漏洞均被标记为“传递性依赖”漏洞，且“修复可用性”一栏显示为“否”，意味着上游库尚未发布安全更新。

这一发现将 LangChain 生态系统的安全状况置于严格审视之下。作为广泛使用的 AI 应用开发框架，其核心库中存在未修复的严重漏洞，可能使大量基于 LangChain 构建的生产系统面临潜在攻击面。开发团队目前面临直接压力，需要评估风险并寻找临时缓解措施，因为等待官方修复可能意味着长时间暴露在风险之中。该事件也凸显了 AI 工具链快速迭代过程中，供应链安全管理的潜在短板。