La vulnerabilidad podía derivar en la exposición de claves API, información de clientes y credenciales corporativas sensibles.

Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha descubierto una cadena de vulnerabilidades críticas en LangGraph. Este entorno de código abierto, creado por los desarrolladores de LangChain, es una de las plataformas más adoptadas a nivel global para construir flujos de trabajo avanzados, persistentes y controlables de agentes de IA basados en modelos de lenguaje (LLM).

Con cerca de 46,5 millones de descargas registradas el mes pasado, LangGraph está integrado en multitud de entornos de producción corporativos, automatizando desde la atención al cliente hasta procesos internos críticos de negocio. La investigación ha demostrado cómo un único fallo en una interfaz de programación de aplicaciones (API) puede otorgar a un atacante el control total de la infraestructura de IA de una empresa.

A diferencia de los chatbots convencionales, los agentes de IA necesitan recordar sus acciones a lo largo de múltiples pasos de ejecución. LangGraph gestiona esta función mediante un componente persistente denominado checkpointer, que guarda el estado de ejecución en cada etapa para poder recuperarlo más adelante.

Los analistas han descubierto que la función get_state_history, responsable de recuperar el historial de memoria del agente, contenía una vulnerabilidad de inyección SQL en su parámetro de filtrado. Aunque un fallo de este tipo ya es lo suficientemente grave, los investigadores lograron encadenarlo con una segunda vulnerabilidad en el mecanismo que utiliza LangGraph para deserializar los datos guardados. Al combinar ambos fallos en una sola acción, el atacante puede manipular qué datos devuelve la base de datos y forzar la ejecución remota de código malicioso (Remote Code Execution o RCE) en el servidor central.

El impacto de este ataque en un servidor propio de LangGraph va mucho más allá de un incidente aislado. Debido a que estos sistemas están conectados a las raíces operativas de la empresa, cualquier ciberdelincuente que logre vulnerar el servidor conseguirá, de inmediato, un pase de acceso directo a:

Claves API de los modelos de lenguaje (LLM): secretos y llaves de acceso que el atacante puede utilizar o explotar de manera directa facturando los costes a la víctima.

Historial completo de conversaciones: acceso a cada interacción previa, instrucciones (prompts) y respuestas procesadas por el agente.

Datos corporativos interconectados: registros de sistemas CRM, plataformas de soporte técnico, detalles de facturación e información personal de clientes (PII) que la IA haya tocado.

Punto de apoyo en la red interna: el atacante puede heredar los privilegios de acceso que tenía el agente de IA para pivotar hacia otros sistemas internos de la empresa.

A diferencia del clásico engaño por inyección de prompts, que se limita a una sola conversación, este fallo abre las puertas del servidor. Esto significa que el atacante no solo puede revisar todo el pasado del sistema, sino también tomar el control de sus decisiones futuras, manipulando al asistente de IA para difundir noticias falsas, suplantar canales oficiales o realizar operaciones no autorizadas.

El equipo de Check Point Research mantuvo una comunicación directa y privada con los responsables de LangChain para confirmar el problema y diseñar las defensas oportunas. Gracias a ello, se identificaron tres fallos críticos de seguridad (CVE) que la plataforma ya ha subsanado por completo en sus actualizaciones:

CVE-2025-67644 (Inyección SQLite): corregido en langgraph-checkpoint-sqlite versión 3.0.1 o posterior.

CVE-2026-28277 (RCE por deserialización msgpack): resuelto en langgraph versión 1.0.10 o posterior.

CVE-2026-27022 (Inyección Redis): solucionado en langgraph-checkpoint-redis versión 1.0.2 o posterior.

Los analistas recalcan que estas vulnerabilidades afectan únicamente a los equipos que realizan despliegues autohospedados (self-hosted) utilizando los motores de persistencia de SQLite o Redis. La plataforma gestionada en la nube de LangChain (LangSmith Deployment) utiliza PostgreSQL y no se encuentra afectada por este vector de ataque.

"Esta investigación demuestra un patrón más amplio dentro de la industria: las clases de vulnerabilidades clásicas, como una inyección SQL, se vuelven significativamente más peligrosas cuando aparecen dentro de arquitecturas de agentes de IA que manejan altos niveles de acceso y confianza corporativa", advierten desde Check Point Research.

Para mitigar riesgos emergentes en el despliegue de sistemas de IA, Check Point Software recomienda aplicar las siguientes medidas de defensa proactiva:

Actualizar de inmediato: las organizaciones que ejecuten versiones afectadas de LangGraph deben aplicar los parches prioritariamente.

Implementar autenticación y segmentación de red: dado que las versiones autohospedadas de LangGraph no incluyen autenticación integrada de fábrica, es importante colocar un proxy inverso o una pasarela de API (API Gateway) por delante y tratar el entorno como un servicio estrictamente interno para reducir el área de exposición.

Tratar a los agentes de IA como identidades privilegiadas: al manejar credenciales de software SaaS, APIs internas y bases de datos, un entorno de ejecución de IA comprometido debe gestionarse con la misma gravedad que el robo de una cuenta de administrador con privilegios elevados.

Aplicar el principio de mínimo privilegio: restringir el alcance de acceso de las credenciales del agente informático para contener el impacto en caso de brecha de seguridad. Las capacidades de AI Agent Security de Check Point Software están diseñadas específicamente bajo este modelo para vigilar el comportamiento y el riesgo de movimiento lateral en estos entornos.

Realizar simulaciones de ataque basadas en el encadenamiento (AI Red Teaming): los fallos individuales suelen detectarse, pero las cadenas complejas de vulnerabilidades pasan desapercibidas. Evaluar el ecosistema de IA emulando el razonamiento de un adversario real es vital para sacar a la luz los riesgos emergentes antes de que se conviertan en incidentes reales.