LangGraph における深刻な脆弱性チェーン:リモート・コード実行とサーバの完全制御

Critical Vulnerability Chain in LangGraph Allows Attackers to Gain Full Server Control

2026/06/12 CyberSecurityNews — 人気のオープンソース AI エージェント・フレームワーク LangGraph において、攻撃者によるサーバの完全な制御を許すリモート・コード実行 (RCE) の脆弱性チェーンが発見された。この問題は、Check Point Research により特定されたものであり、機密データやワークフローを管理する AI 駆動型システムに取り込まれると、危険性が大幅に増大する可能性があるという。

LangGraph は、LLM を用いて多段階プロセスを管理する、ステートフル AI エージェントの構築に広く利用されており、月間約 4,650 万ダウンロードを記録し、企業の自動化/カスタマーサポート・システム/社内業務アプリケーションなどの、数千の本番環境にデプロイされている。

LangGraph の脆弱性チェーン

この脆弱性チェーンは、AI エージェントの実行状態を保存/取得する LangGraph のチェックポイント機構に起因している。LangGraph の SQLite チェックポインタは、エージェントの状態/チェックポイント/メタデータを保存する構成となっている。

LangGraph's SQLite checkpointer stores agent state, checkpoints, and metadata(source : checkpoint )
LangGraph’s SQLite checkpointer stores agent state, checkpoints, and metadata (source: Checkpoint )

Check Point の研究者が確認したのは、get_state_history() 関数の filter パラメータに SQL インジェクションの脆弱性が存在し、攻撃者によるデータベース・クエリの操作が可能であることだ。SQL インジェクション単体でも深刻な問題であるが、安全でない msgpack デシリアライズに関する 2 つ目の欠陥と組み合わさることで、リスクは極めて深刻となる。

これらの脆弱性を連鎖させる攻撃者は、悪意のデータをシステムに注入し、デシリアライズ時に実行できる。その結果として、サーバ上で完全なリモート・コード実行が成立する。この攻撃経路が示すのは、AI フレームワークのコア・コンポーネントに存在する複数の Medium レベルの脆弱性が組み合わさることで、深刻な侵害へと発展する状況である。

この脆弱性チェーンには、3 件の CVE が割り当てられている。

  • CVE-2025-67644:チェックポインタ・コンポーネントにおける SQLite インジェクションの脆弱性。
  • CVE-2026-28277:msgpack デシリアライズを介したリモート・コード実行 (RCE) の脆弱性。
  • CVE-2026-27022:代替チェックポインタ・バックエンドにおける Redis インジェクションの脆弱性。

この脆弱性群が影響を及ぼすのは、ユーザー制御入力を伴う SQLite または Redis チェックポインタを使用するセルフホスト型のデプロイメントである。なお、LangChain のマネージド・プラットフォームである LangSmith は影響を受けない。

Attack chain (source :checkpoint )
Attack chain (source: Checkpoint )

一連の脆弱性の悪用に成功した攻撃者は、AI エージェントが管理する機密資産にアクセス可能となる。これには、LLM API キー/顧客データ/会話履歴/CRM や内部 API などの外部システムに接続された認証情報が含まれる。さらに、侵害されたサーバは内部ネットワークへの追加攻撃の中継点として機能し、脅威範囲を大幅に拡大させる可能性がある。

すべての脆弱性は修正済みであり、ユーザーには直ちにアップグレードすることが強く推奨される。安全なバージョンには、langgraph-checkpoint-sqlite 3.0.1 以降/langgraph 1.0.10 以降/langgraph-checkpoint-redis 1.0.2 以降が含まれる。

今回の発見は、AI セキュリティにおける懸念の高まりを裏付けるものである。システム内での高権限アカウントが、機密データへの広範なアクセスを持ち、さらに SQL インジェクションのような従来型の脆弱性が存在する場合に、きわめて深刻な影響が生じ得ることを示している。

AI システムの開発に携わる上で、今回の問題の原因を正しく知ることはとても大切です。この深刻な脆弱性は、LangGraph のチェックポイント機構において、データベースクエリを操作できてしまう SQL インジェクションの欠陥に起因します。さらに、安全ではない msgpack デシリアライズの欠陥が組み合わさることで、悪意のあるデータが実行される状態になっていました。ご利用のチームは、ご注意ください。よろしけれれば、LangGraph での検索結果も、ご参照ください。