LangChain 0.2.7 爆出 9 项漏洞，最高严重性达 9.3 分，核心依赖被标记为“不可达”

LangChain 0.2.7 版本的核心依赖库 `langchain_core-0.2.43` 被曝存在一个 CVSS 评分高达 9.3 分的严重漏洞（CVE-2025-68664），且该漏洞被安全扫描工具标记为“不可达”（Unreachable）。这意味着依赖此版本的应用程序可能暴露在严重的安全风险之下，而自动化的修复路径目前可能受阻。此次扫描共发现 9 项安全漏洞，其中还包括一项 CVSS 8.2 分的高危漏洞（CVE-2025-65106），凸显了该版本依赖链的脆弱性。

漏洞报告明确指出，这些发现源自对 `langchain-0.2.7-py3-none-any.whl` 软件包的扫描。最关键的 CVE-2025-68664 漏洞存在于其传递性依赖 `langchain_core-0.2.43` 中，目前尚无明确的修复版本（Fixed in: N/A），且没有可用的直接修复方案（Remediation Available: ❌）。虽然其利用成熟度（Exploit Maturity）和利用概率（EPSS）目前评估较低，但极高的基础评分意味着一旦被利用，潜在影响巨大。

对于依赖 LangChain 构建 LLM 应用的企业和开发者而言，这一系列漏洞构成了直接的安全债务。特别是核心库的“不可达”状态，可能意味着在复杂的依赖树中，标准的安全更新工具难以自动定位和修补此缺陷，需要人工介入审查依赖关系。这增加了维护成本和安全响应延迟的风险。在 AI 应用安全日益受到关注的背景下，此类在主流开发框架中发现的高危漏洞，可能促使更多组织重新评估其 AI 技术栈的安全性，并对开源依赖的供应链安全进行更严格的审查。