Check Point Research ha identificado una cadena de vulnerabilidades críticas en LangGraph, una plataforma de código abierto ampliamente utilizada para desarrollar agentes de inteligencia artificial basados en grandes modelos de lenguaje (LLM). Según los investigadores, la combinación de estos fallos podría permitir a un atacante tomar el control de entornos de IA corporativos y ejecutar código de forma remota.
LangGraph, desarrollado por el ecosistema de LangChain, se utiliza para crear flujos de trabajo persistentes de agentes de IA capaces de mantener contexto y memoria a lo largo de distintas tareas. La plataforma registró cerca de 46,5 millones de descargas durante el último mes y está presente en numerosos entornos empresariales, donde automatiza procesos que van desde la atención al cliente hasta operaciones internas de negocio.
La investigación de Check Point se centra en una vulnerabilidad de inyección SQL localizada en una función encargada de recuperar el historial de ejecución de los agentes. Los investigadores comprobaron que este fallo podía combinarse con una segunda vulnerabilidad relacionada con la deserialización de datos almacenados. El resultado era la posibilidad de manipular la información devuelta por la base de datos y lograr la ejecución remota de código en el servidor que aloja la plataforma.
Acceso a datos, credenciales y sistemas internos
El impacto potencial va más allá de la propia aplicación de IA. Según Check Point, un atacante que lograra comprometer el servidor podría acceder a claves API utilizadas por los modelos de lenguaje, historiales completos de conversaciones, información procedente de sistemas corporativos conectados y credenciales con acceso a otros recursos internos de la organización.
Los investigadores advierten además de que este escenario difiere de los ataques basados en inyección de prompts. Mientras estos suelen limitarse a una interacción concreta con el modelo, la cadena de vulnerabilidades detectada permitiría comprometer el servidor y alterar el comportamiento futuro de los agentes de IA, incluida la posibilidad de manipular respuestas o ejecutar acciones no autorizadas.
Tras comunicar los hallazgos a los responsables de LangChain, se corrigieron tres vulnerabilidades identificadas como CVE-2025-67644, CVE-2026-28277 y CVE-2026-27022 mediante actualizaciones de los distintos componentes afectados. Los problemas impactan únicamente a despliegues autogestionados que utilizan SQLite o Redis como sistemas de persistencia. La plataforma gestionada en la nube de LangChain no se ve afectada por este vector de ataque.
Un riesgo creciente en los entornos de agentes de IA
Para Check Point, el hallazgo refleja una tendencia que empieza a repetirse en los entornos de inteligencia artificial. Como señalan los investigadores, vulnerabilidades tradicionales como las inyecciones SQL pueden adquirir una dimensión mucho más crítica cuando afectan a agentes de IA que operan con elevados niveles de acceso y confianza dentro de la organización.
Entre las recomendaciones de la compañía figuran la actualización inmediata de las versiones afectadas, la implementación de mecanismos adicionales de autenticación y segmentación de red, la aplicación del principio de mínimo privilegio y la realización de ejercicios de simulación de ataques orientados específicamente a entornos de IA. El objetivo es reducir el riesgo de que una vulnerabilidad aislada pueda convertirse en una vía de acceso a sistemas y datos corporativos críticos.
