3 Celah Kritis LangGraph Bisa Jadi Satu, Agen AI dengan 50 Juta Unduhan Terancam RCE

CLB.my.id - Framework agen AI LangChain yang diunduh lebih dari 50 juta kali per bulan ternyata punya tiga celah keamanan di lapisan penyimpanan datanya. Dua di antaranya bisa disambung menjadi satu rantai eksploitasi yang berujung pada Remote Code Execution (RCE), atau kemampuan menjalankan perintah dari jarak jauh di server korban.

Temuan ini dipublikasikan oleh Check Point Research pada Juni 2026. Para peneliti mengungkap bahwa kerentanan tersebut berada di komponen “checkpointer”, yaitu lapisan yang bertugas menyimpan dan memulihkan status eksekusi agen AI. Tanpa patch, tim developer yang melakukan self-hosting LangGraph dengan SQLite atau Redis berisiko kehilangan kendali atas server mereka.

Rantai Eksploitasi yang Mematikan

Celah pertama terdaftar sebagai CVE-2025-67644, sebuah SQL Injection di checkpointer SQLite. Masalahnya berasal dari fungsi _metadata_predicate yang membangun klausa SQL WHERE dengan cara memasukkan langsung kunci dari kamus filter yang dikontrol pengguna ke dalam string query. Ketika seorang penyerang mengirim kunci yang mengandung tanda kutip tunggal, ia bisa keluar dari jalur JSON dan menyuntikkan SQL sembarangan.

Penyuntikan SQL ini bukan sekadar manipulasi data biasa. Peneliti Check Point menunjukkan bahwa serangan ini menggunakan UNION SELECT untuk memasukkan baris palsu ke dalam hasil query. Kolom checkpoint pada baris tersebut berisi data serialisasi yang sudah diracun. Saat aplikasi mencoba mendeserialisasi data tersebut melalui self.serde.loads_typed(), pintu masuk ke tahap kedua terbuka lebar.

Celah kedua adalah CVE-2026-28277, sebuah kelemahan unsafe deserialization pada handler ekstensi MsgPack. Fungsi _msgpack_ext_hook secara tidak aman mengimpor dan menginstansiasi kelas Python arbitrer berdasarkan data yang tidak tepercaya. Jika penyerang mengontrol tuple yang dikirim ke fungsi ini, ia bisa memanggil fungsi seperti os.system() untuk menjalankan perintah operasional apa pun di server.

Celah ketiga, CVE-2026-27022, adalah SQL Injection serupa yang memengaruhi checkpointer Redis. Mekanisme kerjanya sama dengan celah pertama, tetapi menargetkan implementasi RediSearch sebagai ganti SQLite.

Siapa yang Terdancam?

LangChain, pengembang LangGraph, menyediakan dua opsi deployment. Pengguna layanan cloud terkelola LangSmith Deployment tidak terdampak karena menggunakan PostgreSQL yang tidak rentan terhadap serangan ini. Namun, tim yang melakukan self-hosting LangGraph dengan checkpointer SQLite atau rentan.

Persyaratan serangan cukup spesifik. Aplikasi harus mengekspos metode get_state_history() dengan parameter filter yang bisa dikontrol pengguna. Dalam skenario pengembangan agen AI yang terhubung ke berbagai tool dan API, kondisi ini tidak sulit dipenuhi.

Rantai serangan lengkapnya dimulai dari titik masuk di get_state_history(), melewati SQL Injection untuk menyuntikkan baris berisi payload berbahaya, kemudian memicu deserialisasi yang tidak aman untuk mengeksekusi kode secara remote. Prosesnya berantai dan otomatis begitu satu celah berhasil dieksploitasi.

Patch dan Mitigasi

LangChain merespons temuan ini dengan cepat. CVE-2025-67644 diperbaiki pada 10 Desember 2025 di langgraph-checkpoint-sqlite 3.0.1. CVE-2026-27022 ditambal pada 20 Februari 2026 di langgraph-checkpoint-redis 1.0.2. CVE-2026-28277 diselesaikan pada 5 Maret 2026 di langgraph-checkpoint 4.0.1.

Tim pengembang yang menggunakan LangGraph secara self-hosting disarankan untuk segera memperbarui ke versi langgraph-checkpoint-sqlite 3.0.1 atau lebih baru, langgraph 1.0.10 atau lebih baru, dan langgraph-checkpoint-redis 1.0.2 atau lebih baru.

Selain tiga celah utama tersebut, peneliti juga menemukan masalah SQL Injection tambahan di parameter LIMIT dan ttl pada checkpointer SQLite dan PostgreSQL. Masalah ini terjadi karena konkatenasi integer langsung ke query tanpa parameterisasi. LangChain telah memperbaikinya dengan prepared statements.

Konteks Lebih Luas

Temuan ini muncul di tengah tren adopsi agen AI yang sangat masif di kalangan enterprise. LangGraph, sebagai framework untuk membangun agen stateful dan multi-agen, menjadi fondasi bagi banyak aplikasi yang terhubung ke database, API, cloud, dan informasi bisnis sensitif. Ketika celah keamanan tradisional seperti SQL Injection dan unsafe deserialization menembus ekosistem agen AI, risikonya berlipat ganda karena agen-agen ini sering beroperasi dengan hak akses tinggi dan akses sistem yang luas.

Kombinasi SQL Injection dan deserialisasi tidak aman bukan hal baru di dunia keamanan siber. Namun ketika rantai serangan ini menargetkan framework yang mengeksekusi kode dengan konteks agen AI yang memiliki akses ke berbagai tool, dampaknya bisa jauh lebih destruktif dibandingkan aplikasi web tradisional.

Check Point Research menekankan bahwa rantai SQL Injection dan deserialisasi tidak aman ini menghadirkan risiko serius bagi deployment self-hosted LangGraph. Patching segera sangat dianjurkan bagi semua tim yang menjalankan komponen checkpointer yang terdampak.***