Miggo Securityの研究者らは、企業がそれらの大規模言語モデル(LLM)を監視およびデバッグするために使用する主要なAI可観測性プラットフォームであるLangSmithの重大な脆弱性(CVE-2026-25750)を発見しました。
LangSmithは毎日ほぼ10億件のイベントを処理し、企業のAIデータの中心的なハブとなっています。新たに明らかになったこの欠陥は、認証されたユーザーをトークン窃盗と完全なアカウント乗っ取りにさらしました。
プラットフォームはアプリケーションロジックとデータの交点に位置しているため、侵害されたアカウントは内部SQLクエリ、顧客記録、独自ソースコードを含む非常に機密性の高い情報を漏らす可能性があります。
LangSmith Studioには、開発者がbaseUrlパラメータを使用してターゲットバックエンドAPIを指定できる柔軟なAPI設定機能が含まれています。
パッチの前は、アプリケーションはこの入力を暗黙的に信頼し、宛先ドメインを検証できませんでした。
既にLangSmithにログインしているユーザーは、攻撃者が管理するウェブサイトにアクセスするだけで、または無意識のうちに悪意のあるJavaScriptを実行するだけで侵害される可能性があります。
攻撃者のサイトは、悪意のあるベースURLを指す細工されたLangSmith URLを秘密裏にロードします。
正規のサーバーと通信する代わりに、被害者のブラウザはアクティブなセッション認証情報を攻撃者のドメインに直接送信するように騙されます。
攻撃者がセッショントークンをインターセプトすると、被害者になりすまし、LangSmithアカウントを乗っ取るための5分間のウィンドウがあります。
これにより、攻撃者は組織のコアAIロジックへの深刻なレベルのアクセス権を得られます。成功した悪用により、攻撃者はいくつかの重大なアクション実行が可能になります。
ターゲットドメインは、ユーザーのアカウント設定で信頼できるオリジンとして明示的に事前設定する必要があり、不正なベースURLの攻撃を完全に無効化します。
2026年1月7日に公開されたLangChainの公式セキュリティアドバイザリは、野生でアクティブな悪用が観察されていないことを確認しました。
環境を保護するために、組織はデプロイメントステータスを確認する必要があります。
翻訳元: https://cyberpress.org/critical-langsmith-vulnerability/