LangGraph adlı açık kaynak yapay zeka (YZ) framework’ünde, kritik bir güvenlik açığı zinciri keşfedildi. Bu açık, özellikle kendi sunucularında LangGraph kullananları etkiliyor ve uzaktan kod çalıştırma (RCE) imkanı sunabiliyor.
Saldırının Genel Çerçevesi
LangGraph, LangChain tarafından geliştirilen, çoklu ajanlı ve durum bilgisi taşıyan karmaşık yapay zeka uygulamalarının oluşturulmasını sağlayan bir framework. Ancak yapılan incelemelerde, sistemin veri işleme ve yönetim yöntemlerinde ciddi zafiyetler saptandı. Bu zafiyetler, SQL enjeksiyonu ve güvensiz msgpack serileştirme açığı gibi klasik güvenlik sorunlarından oluşuyor. Bu sayede saldırganlar, kontrol ettikleri veriler üzerinde manipülasyon yaparak sunucuda zararlı kodları çalıştırabiliyor.
Hangi Sistemler Risk Altında?
Risk, SQLite veya Redis tabanlı checkpoint (durum kaydetme) mekanizmasını kullanan ve kullanıcı kontrollü filtre girişlerine izin veren kendi sunucular üzerinde çalışan LangGraph kurulumlarında ortaya çıkıyor. Ancak LangChain’in yönetilen platformları (örneğin LangSmith Deployment) bu açıktan etkilenmiyor.
Belirlenen açıklar arasında CVE-2025-67644 kodlu SQL enjeksiyonu, CVE-2026-28277 adlı Msgpack serileştirme açığı ve CVE-2026-27022 kodlu Redis sorgu enjeksiyonu bulunuyor. Bu zafiyetlerden en kritik olanı, SQL enjeksiyonu ile manipüle edilen sorgu sonuçlarına zararlı checkpoint verisi enjekte edilmesi. Ardından uygulama bu zararlı veriyi güvenli olmayan şekilde serileştirmeden çıkarıyor ve saldırganın kodunu çalıştırmasına zemin hazırlıyor.
Saldırı Zinciri ve Teknik Detaylar
Teknik inceleme, saldırının temelinde get_state_history() endpoint’inin olduğunu ortaya koyuyor. Bu fonksiyon, geçmiş checkpoint kayıtlarını metadata filtreleriyle sunuyor. Saldırgan önce SQL enjeksiyonu yoluyla sorgu sonuçlarına kötü amaçlı bir checkpoint satırı ekliyor. Bu satırda, zararlı komut içeren serileştirilmiş veri bulunuyor. Uygulama bu veriyi deserialize ederken, msgpack açığından yararlanılarak saldırganın kodu çalıştırılıyor. Böylece sunucu üzerinde tam kontrol sağlanıyor.
LangGraph geliştiricileri, CVE-2026-28277 açığını post-exploitation (sisteme giriş sonrası) bir zafiyet olarak tanımlıyor. Yani başarılı istismar için saldırganın checkpoint verisini değiştirme yetkisi olması gerekiyor. Standart barındırılan (hosted) sistemlerde böyle bir yetki verilmediği için risk sınırlı kalıyor.
Siber Güvenlik Ekipleri İçin Alınabilecek Önlemler
Bu tür bir saldırı zincirinin varlığı, klasik SQL enjeksiyonu gibi zafiyetlerin yapay zeka tabanlı sistemlerde ne kadar tehlikeli hale gelebileceğini göstermesi açısından önemli. Çünkü AI ajanları, genellikle yüksek erişim ve güven ortamına sahip oluyor. Bu nedenle aşağıdaki temel koruma adımları kritik:
- LangGraph sunucularında en güncel yamaların uygulanması
- Self-hosted kurulumlarda mutlaka kimlik doğrulama mekanizmalarının aktif edilmesi
- Uzun ömürlü statik gizli anahtarların kullanımından kaçınılması
- Ağ segmentasyonu ile sunucu erişimlerinin sınırlandırılması
- YZ ajanlarının ayrıcalıklı kimlikler olarak ele alınması ve en az ayrıcalık prensibinin (PoLP) uygulanması
Kurumsal Ortamlarda Olası Senaryo
Örneğin bir finans kurumunun dahili yapay zeka uygulaması, SQLite checkpoint sistemiyle çalışıyorsa, saldırganlar dışarıdan SQL enjeksiyonu yaparak checkpoint verisini manipüle edebilir. Ardından bu zararlı veri, uygulama tarafından deserialize edildiğinde, kurumun kritik altyapısında kod çalıştırılabilir. Bu da veri sızıntısı, yetkisiz erişim veya sistemlerin işleyişinin bozulmasına yol açabilir. Dolayısıyla bulut güvenliği ve ağ segmentasyonu gibi önlemlerle bu riskler azaltılabilir.
Teknik Özet
- Kullanılan zafiyetler: SQL enjeksiyonu (CVE-2025-67644), msgpack güvensiz serileştirme (CVE-2026-28277), Redis sorgu enjeksiyonu (CVE-2026-27022)
- Saldırı zinciri: SQL enjeksiyonu ile zararlı checkpoint verisi enjekte edilmesi, uygulamanın bu veriyi deserialize etmesi, uzaktan kod çalıştırılması
- Hedef sistemler: LangGraph’un self-hosted SQLite ve Redis checkpoint kullanan sürümleri
- Temel savunma: Güncel yamaların uygulanması, kimlik doğrulama, ağ segmentasyonu, PoLP
Bu gelişmeler, yapay zeka altyapılarında klasik güvenlik önlemlerinin ne kadar kritik olduğunu bir kez daha gösteriyor. Özellikle fidye yazılımı saldırıları ve içerden tehditler karşısında, olay müdahale (incident response) ve kimlik erişim yönetimi (IAM) politikalarının güçlendirilmesi gerekiyor. E-posta güvenliği ve ağ segmentasyonu gibi temel siber hijyen uygulamaları da göz ardı edilmemeli.