LangflowでAIエージェントを構築している場合、これは警告です。約7,000の公開されたLangflowサーバーインスタンスが、LangChainおよびLangGraphフレームワーク全体で見られる脆弱性と類似のDNAを持つ複数の重要なリモートコード実行脆弱性を悪用して、現在攻撃の標的となっています。
状況は深刻であり、CISAは複数のLangflow CVEを既知の悪用脆弱性カタログに追加しました。
実際に何が悪用されているのか
Spotlightで最も最近の脆弱性は、Langflowのファイルアップロード機能に潜むパストラバーサルの欠陥であるCVE-2026-5027で、CVSSスコアは10点満点中8.8です。認証されていない攻撃者は、未検証のファイル名を含むPOSTリクエストを/api/v2/filesエンドポイントに送信することで、サーバーに任意のファイルを書き込むことができます。このファイル書き込み機能は、リモートコード実行およびシステム全体の乗っ取りへとつながります。
2026年3月に公開されたCVE-2026-33017は、プラットフォームのパブリックフロービルドエンドポイントを通じて認証なしのリモートコード実行を可能にしました。この脆弱性の攻撃コードは、公開から20時間以内に登場しました。
CVE-2025-3248は、1.3.0以前のLangflowに影響を与え、広範に悪用された結果、Flodrixボットネットの展開を引き起こしました。CISAは2025年5月にこの脆弱性をKEVカタログに追加し、連邦機関が束縛力のある運用指示に基づいてパッチを適用することが義務付けられました。
LangChainとLangGraphの接続
Langflowは、LangChainエコシステムを基盤として構築されたビジュアル開発ツールであり、LangGraphを含み、ステートフルなAIエージェントワークフローの構築を可能にします。2026年3月に公開されたLangChainおよびLangGraphの高深刻度脆弱性は、それぞれCVSSスコア9.3を有しています。LangChainとLangGraphは合計で週間6,000万回以上のダウンロードを記録しています。これらの脆弱性の累積的性質により、影響を受けるLangChainまたはLangGraphのバージョン上でLangflowを実行している組織は、複数の攻撃面に同時にさらされることになります。
なぜこれほど多くのサーバーが露出しているのか
約7,000の脆弱なLangflowインスタンスは主に北米に存在しています。大きな要因の一つはデフォルトの自動ログイン設定です。多くのデプロイメントは実験目的で構築され、その後、インターネットに公開されたエンドポイントで認証要件なしのまま稼働し続けています。
セキュリティ研究者が脆弱性の悪用までの時間を日単位ではなく時間単位で測定するようになった今、従来のパッチ適用サイクルでは対応が追い付いていません。週次または月次でのパッチ適用に依存している組織は、まるでドアを開け放しにしているようなものです。
これはAIインフラ市場にどのような意味を持つのか
本番環境でLangflowを実行している場合、直ちにパッチを適用し、自動ログインを無効化して、インスタンスへのネットワークアクセスを制限してください。
攻撃者がLangflowを特定的に急速に標的にし、新しいCVEを数時間以内に悪用するパターンは、脅威アクターがAI開発プラットフォームを高価値で低抵抗のターゲットと認識していることを示唆しています。これらのサーバーは、機密データパイプライン、大規模言語モデルのAPIキー、および本番データベースへの接続にアクセスできることが多くあります。
暴露された7,000のインスタンスは、使いやすさがセキュリティ意識を上回ったときに何が起こるかを示す一例であり、AIツールがセキュリティに詳れない開発者にとってより手に入りやすくなるにつれて、この差は広がり続けている。