Mit der LangChain Sicherheitslücke gerät ausgerechnet die Software ins Visier, die im Mittelstand gerade erst in den Produktivbetrieb wandert. Das Open-Source-Framework verbindet KI-Modelle mit Werkzeugen und Datenquellen und sitzt damit als Klebeschicht zwischen Prompt, Tooling und Datenbank. Genau diese Schicht lässt sich über manipulierte Eingaben angreifen, wie die offengelegte Schwachstelle CVE-2026-44843 zeigt.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze
- CVE-2026-44843 betrifft eine unsichere Deserialisierung in LangChain, bewertet vom BSI mit einem CVSS-Score von 8,2.
- Verwundbar sind alle Versionen vor 0.3.85 sowie alle Versionen ab 1.0.0 vor 1.3.3, unter Linux, UNIX und Windows.
- Die Releases 0.3.85 und 1.3.3 schließen die Lücke und beheben zusätzlich einen verwandten Bypass bei der Erkennung von Geheimnissen.
- Betroffen sind nur Anwendungen, die unvalidierte strukturierte Eingaben direkt an LangChain weiterreichen.
Wo genau sitzt die Schwachstelle?
Der Kern liegt in älteren Laufzeitpfaden. Diese verarbeiten Ein- und Ausgaben von Agenten-Läufen und rufen dabei intern eine Deserialisierungs-Funktion mit einer zu breiten Objekt-Allowlist auf, konkret mit der Einstellung allowed_objects=“all“. Das erlaubt zwar keine beliebige Python-Objekt-Deserialisierung, lässt aber jedes LangChain-serialisierbare Objekt wiederbeleben. Damit kann ein Angreifer über präparierte Konstruktor-Wörterbücher Klassen mit untrusted Argumenten instanziieren.
Die Vorbedingung grenzt das Risiko ein. Verwundbar ist eine Anwendung nur, wenn sie unvertrauenswürdige strukturierte Eingaben wie JSON annimmt, diese nicht vorab in ein festes Schema überführt und verschachtelte Strukturen unverändert an LangChain durchreicht. Wer Nutzereingaben vorher auf einen reinen String oder ein Nachrichtenfeld festzurrt, ist der Lücke kaum ausgesetzt. Begleitend behebt das Update einen Bypass in der Geheimnis-Markierung, über den sich attacker-kontrollierte Wörterbücher der Maskierung entziehen konnten.
Warum trifft das den Mittelstand jetzt?
Der Zeitpunkt ist heikel. KI-Orchestrierungs-Frameworks gehen in vielen Unternehmen gerade erst vom Experiment in den Regelbetrieb über. Damit wird nicht nur das Sprachmodell zum Angriffsvektor, sondern auch die Software, die Prompts, Werkzeuge und Datenquellen verbindet. Wer LangChain in servernahen Pfaden einsetzt, sollte die Meldung ernst nehmen.
Die Einordnung passt zu einem Muster, das DrWeb seit Wochen beobachtet. Schon das Browserspiel rund um die Permission Fatigue bei KI-Agenten zeigte, wie reflexhaft Teams Freigaben durchwinken. Und die drei still gepatchten Lücken in Microsoft 365 Copilot machten deutlich, dass die KI-Werkzeugkette eine eigene Angriffsfläche bildet, die klassische Application-Security-Konzepte nicht abdecken.
Die Sicherheitsdebatte dreht sich um das Modell, doch der Bruch passiert in der Verkabelung dahinter. Wer Nutzereingaben ungeprüft an sein KI-Framework reicht, hat die Tür schon offen gelassen.
— Markus Seyfferth, Chefredakteur Dr. Web
Was sollten betroffene Teams jetzt tun?
Aktualisieren Sie LangChain auf Version 0.3.85 oder 1.3.3, je nach eingesetztem Zweig. Prüfen Sie anschließend, an welchen Stellen Ihre Anwendung externe strukturierte Eingaben verarbeitet, und führen Sie diese vor jedem LangChain-Aufruf in ein festes, inertes Schema über. Eine saubere Eingabe-Validierung wirkt hier als zweite Verteidigungslinie, selbst nach dem Patch.
Die technischen Details und die genauen Versionsgrenzen dokumentiert das offizielle GitHub Security Advisory. Für die strukturelle Einordnung in eine Gesamtstrategie liefert unser Cybersecurity-Grundlagen-Ratgeber die passenden Stellhebel, und der LLMs-Ratgeber ordnet ein, welche Modelle und Frameworks für welchen Anwendungsfall taugen.
Mehr Newshunger?
