Una nuova ondata di attacchi sta colpendo le infrastrutture basate su Langflow, una delle piattaforme open source più diffuse per la costruzione di agenti AI, workflow LLM e pipeline RAG. Le analisi condotte da ricercatori di sicurezza hanno evidenziato come migliaia di istanze esposte su Internet risultino vulnerabili a tecniche che consentono l’esecuzione remota di codice, l’accesso a dati sensibili e la compromissione completa dei server che ospitano applicazioni basate sull’intelligenza artificiale.
Uno degli aspetti più rilevanti emersi dalle indagini riguarda la velocità con cui gli attaccanti sono riusciti a sfruttare le vulnerabilità dopo la loro divulgazione pubblica. Nel caso di Langflow, alcuni gruppi hanno iniziato a effettuare scansioni automatiche e tentativi di compromissione nel giro di poche ore dalla pubblicazione dei dettagli tecnici, prendendo di mira endpoint esposti che permettevano l’esecuzione di codice Python arbitrario direttamente all’interno dei workflow dell’applicazione.
Le criticità non riguardano esclusivamente Langflow. Le verifiche effettuate sui framework correlati LangGraph e LangChain hanno portato all’identificazione di ulteriori vulnerabilità che interessano componenti fondamentali dell’ecosistema degli agenti AI. Tra i problemi individuati figurano vulnerabilità di SQL injection nei sistemi di checkpoint utilizzati per memorizzare lo stato degli agenti, difetti di deserializzazione che possono consentire l’esecuzione di codice non autorizzato e meccanismi di accesso ai file che permettono la lettura di dati presenti sul filesystem del server.
Il problema è particolarmente delicato perché questi framework occupano una posizione centrale nelle moderne applicazioni AI. LangChain gestisce il collegamento tra modelli linguistici, strumenti esterni, basi documentali e API aziendali. LangGraph coordina workflow multi-step e agenti persistenti, mentre Langflow fornisce un’interfaccia visuale per costruire e distribuire tali sistemi. Una vulnerabilità presente in questi livelli infrastrutturali può quindi trasformarsi in un punto di accesso privilegiato verso database, archivi documentali, credenziali API, chiavi cloud e dati aziendali elaborati dagli agenti.
I ricercatori hanno evidenziato come alcune delle vulnerabilità permettano l’esfiltrazione di segreti di ambiente, la lettura della cronologia delle conversazioni degli agenti e la manipolazione dei checkpoint utilizzati per mantenere il contesto operativo tra una sessione e l’altra. In determinati scenari, la concatenazione di più difetti consente di passare da una semplice richiesta HTTP malevola fino all’esecuzione remota di codice sul server, ottenendo il controllo completo dell’istanza compromessa.
L’episodio evidenzia come il nuovo perimetro di sicurezza dell’intelligenza artificiale non sia rappresentato esclusivamente dai modelli linguistici, ma anche dai framework di orchestrazione che collegano modelli, memoria, strumenti e sorgenti dati. Con la diffusione crescente degli agenti autonomi, questi componenti stanno assumendo un ruolo paragonabile a quello dei tradizionali application server, diventando obiettivi prioritari per gli attaccanti interessati ad accedere alle informazioni gestite dai sistemi AI aziendali.