LangGraph-feil kan gi full kontroll over selvhostede AI-agenter

LangGraph er blitt et av de viktigste rammeverkene for selskaper som bygger AI-agenter med hukommelse, arbeidsflyt og flere steg. Nå har Check Point Research publisert detaljer om tre rettede sårbarheter i checkpointer-laget, altså delen som lagrer agentens tilstand mellom kall. To av feilene kan ifølge selskapet kjedes fra SQL-injeksjon til fjernkjøring av kode i selvhostede miljøer.

Det gjør saken mer alvorlig enn en vanlig bibliotekfeil. Agentrammeverk får ofte tilgang til interne API-er, databaser, filsystem, utviklerverktøy og hemmeligheter. Når persistence-laget kan manipuleres, er det ikke bare chatloggen som står på spill. Angriperen kan i verste fall få kodekjøring i samme runtime som agenten og dermed tilgang til det agenten selv kan nå.

Check Point peker på tre CVE-er. CVE-2025-67644 ligger i SQLite-checkpointeren i langgraph-checkpoint-sqlite før versjon 3.0.1. Feilen handler om hvordan metadata-filter bygges inn i SQL-spørringer. En angriper som kan styre filter-nøkler kan manipulere spørringen. CVE-2026-28277 ligger i LangGraph før versjon 1.0.10 og gjelder usikker msgpack-deserialisering når checkpoint-data lastes. CVE-2026-27022 gjelder RediSearch query injection i @langchain/langgraph-checkpoint-redis før versjon 1.0.1.

Den mest kritiske kjeden er kombinasjonen av SQLite-injeksjonen og deserialiseringsfeilen. Check Point beskriver et scenario der en applikasjon eksponerer get_state_history() med bruker-kontrollert filter. Da kan angriperen bruke SQL-injeksjonen til å få applikasjonen til å hente en falsk checkpoint-rad. Den raden kan inneholde angriperstyrt serialisert data. Når systemet deserialiserer checkpointen, kan koden kjøres i serverens prosess.

LangChain sier ifølge The Hacker News at den usikre deserialiseringen forutsetter at angriperen kan tukle med checkpoint-laget, og at vanlige hostede konfigurasjoner er designet for å hindre dette. Det er et viktig forbehold. Feilen treffer ikke LangSmith Deployment, tidligere LangGraph Platform, som bruker PostgreSQL. Risikoen ligger først og fremst hos team som selvhoster LangGraph med SQLite eller Redis og samtidig lar eksterne brukere påvirke filter eller state-historikk.

For norske teknologiledere er poenget likevel klart: agentplattformer må behandles som privilegerte systemer, ikke som ufarlige prompt-lag. Det er fristende å sette en intern agent foran Jira, Git, CRM, dokumentlager eller datavarehus og anta at risikoen ligger i modellen. Denne saken viser at klassiske webfeil fortsatt er nok. SQL-injeksjon, deserialisering og svake grenser rundt metadata blir farligere når de ligger i en agent som allerede har fått tillit.

Det praktiske tiltaket er først og fremst patching. Check Point ber brukere oppdatere til langgraph-checkpoint-sqlite 3.0.1 eller nyere, langgraph 1.0.10 eller nyere og langgraph-checkpoint-redis 1.0.2 eller nyere. Det bør inn i normal sårbarhetsstyring med samme tempo som andre komponenter i produksjonsstakken. Ikke la agentbiblioteker ligge utenfor SCA, SBOM og patch-SLA fordi de ble tatt inn av et innovasjonsteam.

Deretter må arkitekturen strammes inn. Selvhostede agentservere bør ha autentisering foran state- og historikkendepunkter. Checkpointer-databaser bør ikke ligge på samme tillitsnivå som resten av plattformen. Agent-runtimes bør kjøre med korte, roterte credentials og lavest mulig rettighet. Nettverkstilgang bør segmenteres slik at kodekjøring i agenten ikke automatisk gir vei videre til produksjonsdatabaser, CI/CD eller secrets managers.

Dette er også en anskaffelsessak. Når leverandører tilbyr agentplattformer, bør CIO og CISO spørre konkret hvordan agentens state lagres, hvilke backends som støttes, hvordan brukerinput når persistence-laget, og om runtime-secrets kan eksponeres ved RCE. Spør også om managed-versjonen har andre sikkerhetsegenskaper enn selvhostet variant. I denne saken er nettopp skillet mellom LangSmith Deployment og selvhostede oppsett sentralt.

Saken bør ikke leses som at LangGraph er uegnet. Den bør leses som en varsellampe for hele agentbølgen. Når agentrammeverk blir produksjonsinfrastruktur, må de inn i samme regime som API-gatewayer, CI/CD-systemer og integrasjonsplattformer. AI-agenten er ikke bare en brukerflate. Den er en ny privilegert arbeidsflate.

Kilder og medier

• Primærkilde: Check Point Research, "From SQLi to RCE - Exploiting LangGraph’s Checkpointer", https://research.checkpoint.com/2026/from-sqli-to-rce-exploiting-langgraphs-checkpointer/
• Sekundærkilde: The Hacker News, "LangGraph Flaw Chain Exposes Self-Hosted AI Agents to Remote Code Execution", https://thehackernews.com/2026/06/langgraph-flaw-chain-exposes-self.html
• Thumbnail: OpenAI Image 2 / hogby.ai