LangChain 0.2.7 爆出 11 项安全漏洞，最高严重性达 9.3 分

一个广泛使用的 AI 应用开发框架被发现存在严重安全缺陷。在 GitHub 仓库 `Yuliya65/AutoPrompt` 的依赖扫描中，其使用的 `langchain-0.2.7-py3-none-any.whl` 库被检出 11 个安全漏洞，其中最高严重性评分（CVSS）高达 9.3 分。这一发现直接暴露了基于该版本构建的 LLM 应用链可能面临被攻击的风险。

漏洞详情显示，该问题库的路径位于 `/tmp/ws-ua_20260309120528_NCWYTV/python_KWDIRO/202603091205291/env/lib/python3.9/site-packages/langchain-0.2.7.dist-info`，由项目的 `requirements.txt` 文件引入。LangChain 是一个用于通过可组合性构建大语言模型（LLM）应用程序的流行框架，其 0.2.7 版本中的这些漏洞可能涉及代码执行、权限提升或数据泄露等关键风险。目前，漏洞的具体类型和利用方式尚未在公开摘要中详细说明，但 9.3 的严重性评分已属于“严重”级别。

此次发现对依赖 LangChain 0.2.7 版本的开发者和企业项目构成了直接的安全压力。由于 LangChain 被广泛应用于构建 AI 代理、自动化工作流和智能应用，其底层框架的漏洞可能导致上游应用面临供应链攻击。项目维护者需要立即审查依赖，升级至安全版本。这一事件也再次凸显了在快速发展的 AI 工具生态中，第三方库的安全审计与依赖管理已成为不可忽视的薄弱环节。