LangChain LangSmith SDK反序列化漏洞CVE-2024-45134分析

漏洞概述 漏洞标题: Public prompt pull deserializes untrusted manifests without trust boundary warning 漏洞编号: GHSA-3644-q5cj-c5c7 发布时间: 3 weeks ago 发布者: eyartsev 严重程度: High (7.1 / 10) CVSS v3 基础指标: Attack vector: Network Attack complexity: Low Privileges required: None User interaction: Required Scope: Unchanged Confidentiality: High Integrity: Low Availability: None CVE ID: CVE-2024-45134 受影响版本: langchain-classic = 1.0.7 langchain >= 0.3.30 langsmith >= 0.8.0 langsmith (npm) >= 0.6.0 描述 LangSmith SDK 的提示拉取方法（Python 中的 / ，JSTS 中的 / ）从 LangSmith Hub 获取并反序列化提示对象和模型配置。这些提示可能包含序列化的 LangChain 对象和模型配置，影响运行时行为。当通过 标识符拉取公共提示时，提示内容由外部方控制，但 SDK 的旧版本未能区分提示是来自调用者自己的组织还是外部方。 提示清单可以有意配置具有自定义 base URL、默认标头、模型名称或其他构造函数参数的模型。这些是受支持的功能，但也意味着提示内容应被视为可执行配置，而不仅仅是纯文本。提示还可以包含序列化的 LangChain Runnable 或 PromptTemplate 对象，带有攻击者控制的构造函数参数或秘密引用，如果启用了 ，则在反序列化时读取环境变量。 当满足以下条件时，应用程序会暴露： 应用程序调用 或 （Python）或 / （JSTS）并带有公共 提示标识符。 提示由未受信任或受损的账户发布或修改。 应用程序使用拉取的提示而不进行独立验证。 仅从自己组织拉取提示（仅通过名称引用，没有 前缀）的应用程序不受上述公共提示信任边界问题的影响。然而，同组织提示仍可能带来风险。如果攻击者获得组织的写访问权限（例如，通过泄露的 或受损的团队成员账户），他们可以推送恶意提示，而不会发出任何额外警告。 影响 发布恶意提示到 LangSmith Hub 的攻击者可能能够影响通过 拉取提示的应用程序。如果提示清单到达 SDK 的反序列化路径，SDK 将实例化引用的 LangChain 对象，并使用攻击者提供的构造函数参数，而不是将清单视为内联数据。 现实影响包括： 服务器端请求伪造（SSRF）、出站请求重定向和 LLM 流量的拦截，如果提示清单配置了带有攻击者控制的 、 或等效端点设置参数的 LLM 客户端。在典型部署中，重定向请求可能包括提示清单、系统提示、检索上下文、模型参数、提供程序凭据或其他秘密，并可能向攻击者控制的端点披露。 提示注入或行为操纵，如果提示嵌入攻击者控制的系统消息、提示模板或模型参数，这些参数会改变应用程序的行为。 额外的反序列化风险，当传递 时，因为这扩展了允许对合作伙伴集成类进行反序列化。这不是默认设置，但它确实增加了从调用者组织外部拉取提示时的风险。 修复方案 LangSmith SDK 现在默认阻止通过 拉取公共提示。调用者必须通过传递 （Python）或 （JSTS）来显式选择加入。此标志仅在审查和信任提示内容后设置，而不仅仅是发布账户。 升级到 LangSmith SDK Python >= 0.8.0 或 JSTS >= 0.6.0。 提示拉取方法的指导 提示拉取方法（Python 中的 / ，JSTS 中的 / ）应仅用于受信任的提示。不要通过 从不受信任或未审查的来源拉取提示，而不理解提示内容将被反序列化，并可能影响运行时行为。 当拉取包括模型配置的提示时（Python 中的 ，JSTS 中的 ），反序列化允许扩展以包括合作伙伴集成类。由于这不是默认设置，并且通常对第三方提示不必要，因此从组织外部来源拉取提示时，请偏好默认值（ ）。 避免传递 （Python）或在拉取不受信任提示时设置此参数。此参数允许提示清单在反序列化期间读取环境变量。仅在从自己组织的受信任提示中使用它。 同组织提示 从调用者自己的组织拉取的提示（仅通过名称引用，没有 前缀）不受新 标志的影响，但它们并非完全安全。如果攻击者获得组织的写访问权限（例如，通过泄露的 或受损的团队成员账户），他们可以推送恶意提示，这些提示重定向 LLM 流量到攻击者控制的基础设施，并可能披露附加到这些请求的任何凭据。 同组织提示的安全遵循共享责任模型。LangSmith SDK 强制执行公共提示的信任边界，从外部账户拉取，但它不能防止对受损凭据或账户中提示的恶意修改。保护 API 密钥、管理团队成员账户以及在部署到生产之前审查提示内容是组织的责任。组织应将提示视为可执行配置，并在它们应用到应用程序代码时应用相同的安全和审计实践。 致谢 首次报告由 @MoaaZ-ox 报告。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

LangChain LangSmith SDK反序列化漏洞CVE-2024-45134分析

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

LangChain LangSmith SDK反序列化漏洞CVE-2024-45134分析

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！