LangChain 0.2.7 爆出 11 项安全漏洞，最高严重性达 9.3 分

一个广泛使用的 AI 应用开发框架被发现存在严重安全风险。在 GitHub 仓库 `rsoreq-mend/AutoPrompt` 的依赖扫描中，其使用的 `langchain-0.2.7-py3-none-any.whl` 库被检测出 11 个安全漏洞，其中最高严重性评分（CVSS）高达 9.3 分。该漏洞库的路径指向 `/requirements.txt` 文件，表明这是一个被项目直接依赖的核心组件。

LangChain 是一个用于通过组合性构建大型语言模型（LLM）应用程序的流行 Python 框架。此次发现的漏洞包位于该仓库 HEAD 提交 `e9fb81a` 的构建环境中。具体路径为 `/tmp/ws-ua_20260326114308_SYVZTN/python_XYNHUT/202603261143091/env/lib/python3.9/site-packages/langchain-0.2.7.dist-info`。这意味着任何使用此特定版本 LangChain 的项目都可能将自身暴露于这些高危漏洞之下。

这一发现对依赖 LangChain 进行快速原型开发和部署的 AI 应用生态构成了直接威胁。鉴于 LangChain 在连接 LLM、工具和记忆体方面的核心作用，这些漏洞可能被利用来发起供应链攻击、数据泄露或权限提升。开发团队需要立即审查其依赖项，将 LangChain 升级至已修复的安全版本，并重新评估其 AI 应用栈的整体安全性。