模型框架漏洞

开源大模型LangChain披露了一个严重级别的序列化注入漏洞（CVE-2025-68664），这一漏洞由Cyata Security的安全研究员Yarden Porat发现，在序列化/反序列化流程中存在”lc”键转义缺失，攻击者可通过提示词注入等手段导致环境变量泄露、任意对象实例化乃至远程代码执行。该漏洞影响LangChain Core 0.3.81版本前及1.0.0-1.2.5版本范围内的全部部署，官方已在12月24日发布补丁版本1.2.5及0.3.81，并同步收紧默认安全策略。