LangChain 0.1.20 爆出 12 项漏洞，最高严重性达 9.8 分

LangChain 0.1.20 版本的核心依赖库中发现了 12 个安全漏洞，其中最高严重性评分为 9.8 分（CVSS v3.1），属于关键级别。这些漏洞直接存在于 `langchain-community` 和 `langchain-core` 等核心组件中，意味着任何使用该版本构建的 LLM 应用都可能面临直接攻击路径。漏洞详情显示，CVE-2024-8309 的 CVSS 评分高达 9.8，而 CVE-2025-68664 的评分也达到 9.3，两者均被标记为“关键”级别。

此次漏洞报告源自对 `pyproject.toml` 依赖文件的扫描，受影响库的路径位于虚拟环境的 `site-packages` 目录下。具体而言，`langchain_community-0.0.38` 和 `langchain_core-0.1.53` 这两个直接依赖包是漏洞源头。尽管部分漏洞的利用成熟度（Exploit Maturity）尚未定义，且 EPSS（漏洞利用预测评分系统）分数显示当前大规模利用概率较低（CVE-2024-8309 为 3.0%），但极高的基础严重性评分意味着一旦出现利用方法，风险将急剧上升。

对于依赖 LangChain 框架进行 AI 应用开发的团队和组织而言，这是一个明确的安全警报。报告指出，修复版本已经可用（例如 `langchain-community` 需升级至 0.3.0，`langchain-core` 需升级至 0.3.81），且存在可用的修复方案。未及时升级可能导致基于大语言模型的应用程序、智能体或工作流面临严重的未授权访问、数据泄露或系统破坏风险。开发者和安全团队需立即审查其依赖链并执行升级。