Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd., empresa global en soluciones de ciberseguridad, ha descubierto una cadena de vulnerabilidades críticas en LangGraph. Este entorno de código abierto, creado por los desarrolladores de LangChain, es una de las plataformas más adoptadas a nivel global para construir flujos de trabajo avanzados, persistentes y controlables de agentes de IA basados en modelos de lenguaje (LLM).

Con cerca de 46,5 millones de descargas registradas el mes pasado, LangGraph está integrado en multitud de entornos de producción corporativos, automatizando desde la atención al cliente hasta procesos internos críticos de negocio. La investigación ha demostrado cómo un único fallo en una interfaz de programación de aplicaciones (API) puede otorgar a un atacante el control total de la infraestructura de IA de una empresa.

A diferencia de los chatbots convencionales, los agentes de IA necesitan recordar sus acciones a lo largo de múltiples pasos de ejecución. LangGraph gestiona esta función mediante un componente persistente denominado checkpointer, que guarda el estado de ejecución en cada etapa para poder recuperarlo más adelante.

Los analistas han descubierto que la función get_state_history(), responsable de recuperar el historial de memoria del agente, contenía una vulnerabilidad de inyección SQL en su parámetro de filtrado. Aunque un fallo de este tipo ya es lo suficientemente grave, los investigadores lograron encadenarlo con una segunda vulnerabilidad en el mecanismo que utiliza LangGraph para deserializar los datos guardados. Al combinar ambos fallos en una sola acción, el atacante puede manipular qué datos devuelve la base de datos y forzar la ejecución remota de código malicioso (Remote Code Execution o RCE) en el servidor central.

El impacto de este ataque en un servidor propio de LangGraph va mucho más allá de un incidente aislado. Debido a que estos sistemas están conectados a las raíces operativas de la empresa, cualquier ciberdelincuente que logre vulnerar el servidor conseguirá, de inmediato, un pase de acceso directo a:

• Claves API de los modelos de lenguaje (LLM): secretos y llaves de acceso que el atacante puede utilizar o explotar de manera directa facturando los costes a la víctima.
• Historial completo de conversaciones: acceso a cada interacción previa, instrucciones (prompts) y respuestas procesadas por el agente.
• Datos corporativos interconectados: registros de sistemas CRM, plataformas de soporte técnico, detalles de facturación e información personal de clientes (PII) que la IA haya tocado.
• Punto de apoyo en la red interna: el atacante puede heredar los privilegios de acceso que tenía el agente de IA para pivotar hacia otros sistemas internos de la empresa.

A diferencia del clásico engaño por inyección de prompts, que se limita a una sola conversación, este fallo abre las puertas del servidor. Esto significa que el atacante no solo puede revisar todo el pasado del sistema, sino también tomar el control de sus decisiones futuras, manipulando al asistente de IA para difundir noticias falsas, suplantar canales oficiales o realizar operaciones no autorizadas.

El equipo de Check Point Research mantuvo una comunicación directa y privada con los responsables de LangChain para confirmar el problema y diseñar las defensas oportunas. Gracias a ello, se identificaron tres fallos críticos de seguridad (CVE) que la plataforma ya ha subsanado por completo en sus actualizaciones:

• CVE-2025-67644 (Inyección SQLite): corregido en langgraph-checkpoint-sqlite versión 3.0.1 o posterior.
• CVE-2026-28277 (RCE por deserialización msgpack): resuelto en langgraph versión 1.0.10 o posterior.
• CVE-2026-27022 (Inyección Redis): solucionado en langgraph-checkpoint-redis versión 1.0.2 o posterior.

Los analistas recalcan que estas vulnerabilidades afectan únicamente a los equipos que realizan despliegues autohospedados (self-hosted) utilizando los motores de persistencia de SQLite o Redis. La plataforma gestionada en la nube de LangChain (LangSmith Deployment) utiliza PostgreSQL y no se encuentra afectada por este vector de ataque.

“Esta investigación demuestra un patrón más amplio dentro de la industria: las clases de vulnerabilidades clásicas, como una inyección SQL, se vuelven significativamente más peligrosas cuando aparecen dentro de arquitecturas de agentes de IA que manejan altos niveles de acceso y confianza corporativa”, advierten desde Check Point Research.