Lỗ hổng trong LangSmith có thể làm lộ dữ liệu AI của doanh nghiệp

[WhiteHat Team]

Lỗ hổng trong nền tảng giám sát AI LangSmith vừa được các chuyên gia phát hiện. Lỗ hổng mang mã CVE-2026-25750 có thể cho phép kẻ tấn công đánh cắp token phiên đăng nhập và chiếm quyền tài khoản người dùng. Với vai trò là hệ thống trung tâm lưu trữ dữ liệu vận hành AI, việc khai thác thành công lỗ hổng này có thể khiến các thông tin nhạy cảm của doanh nghiệp như mã nguồn, truy vấn cơ sở dữ liệu hay dữ liệu khách hàng bị rò rỉ.
​

LangSmith là một nền tảng do LangChain phát triển, được thiết kế để giúp các tổ chức theo dõi và phân tích hoạt động của các hệ thống AI sử dụng mô hình ngôn ngữ lớn. AI LangSmith chính là công cụ được nhiều doanh nghiệp sử dụng để theo dõi, kiểm thử và phân tích hoạt động của các mô hình Large Language Models.

Trong môi trường doanh nghiệp, LangSmith thường được sử dụng để:​

• Theo dõi các truy vấn và phản hồi của AI​
• Kiểm thử hành vi của mô hình​
• Phân tích lỗi trong ứng dụng AI​
• Lưu trữ dữ liệu tương tác giữa người dùng và hệ thống​

Theo các nhà nghiên cứu, nền tảng này xử lý gần một tỷ sự kiện mỗi ngày, khiến nó trở thành một điểm trung tâm trong hệ thống dữ liệu AI của nhiều tổ chức. Vì vậy, bất kỳ lỗ hổng bảo mật nào tại đây cũng có thể gây ảnh hưởng lớn đến toàn bộ hạ tầng AI của doanh nghiệp.​

Lỗ hổng CVE-2026-25750 xuất phát từ cơ chế cấu hình API​

Lỗ hổng được phát hiện trong LangSmith Studio, giao diện cho phép nhà phát triển cấu hình API để kết nối các dịch vụ backend. Trong hệ thống này, nhà phát triển có thể chỉ định địa chỉ API thông qua tham số baseUrl - tức địa chỉ máy chủ mà ứng dụng sẽ gửi dữ liệu tới.

Trước khi được vá, LangSmith không kiểm tra đầy đủ tên miền của địa chỉ được cung cấp trong baseUrl. Điều này khiến ứng dụng vô tình tin tưởng mọi địa chỉ do người dùng nhập vào. Sự thiếu sót trong quá trình xác thực này đã mở ra khả năng cho kẻ tấn công chuyển hướng lưu lượng truy cập của người dùng sang máy chủ do chúng kiểm soát.​

Cơ chế khai thác: đánh cắp token phiên đăng nhập​

Theo phân tích của các nhà nghiên cứu bảo mật, kẻ tấn công có thể lợi dụng lỗ hổng này thông qua một trang web độc hại. Khi một người dùng đang đăng nhập vào LangSmith truy cập trang web do kẻ tấn công kiểm soát, trang web đó có thể bí mật tải một đường dẫn LangSmith được thiết kế đặc biệt.

Đường dẫn này chứa tham số baseUrl trỏ đến máy chủ của kẻ tấn công. Khi trình duyệt của nạn nhân xử lý yêu cầu này, nó sẽ gửi các thông tin xác thực phiên đăng nhập tới máy chủ độc hại thay vì máy chủ hợp pháp.

Điểm nguy hiểm nằm ở chỗ quá trình này không yêu cầu người dùng nhập mật khẩu hay thực hiện bất kỳ thao tác nào. Toàn bộ quá trình khai thác diễn ra âm thầm trong nền.

Sau khi đánh cắp được session token, kẻ tấn công có khoảng 5 phút để sử dụng token đó đăng nhập vào tài khoản nạn nhân và chiếm quyền kiểm soát hệ thống.​

Những rủi ro nghiêm trọng nếu tài khoản bị chiếm quyền​

Do LangSmith nằm ở trung tâm hệ thống AI của doanh nghiệp, việc chiếm quyền tài khoản có thể mang lại cho kẻ tấn công quyền truy cập sâu vào dữ liệu nội bộ. Nếu khai thác thành công, kẻ tấn công có thể:​

• Truy xuất dữ liệu thô từ các cơ sở dữ liệu nội bộ​
• Đánh cắp thông tin cá nhân nhạy cảm (pii)​
• Truy cập dữ liệu y tế hoặc tài chính được xử lý bởi hệ thống ai​
• Lấy cắp system prompt - phần logic quyết định cách ai hoạt động​
• Chiếm đoạt tài sản trí tuệ liên quan đến mô hình ai​
• Thay đổi cấu hình dự án hoặc xóa toàn bộ hệ thống ai​

Đối với các doanh nghiệp đang triển khai AI trong dịch vụ khách hàng, tài chính hoặc y tế, những dữ liệu này thường chứa thông tin đặc biệt nhạy cảm.​

Phạm vi ảnh hưởng​

Do LangSmith được sử dụng rộng rãi trong các hệ thống phát triển AI hiện đại, lỗ hổng này có thể ảnh hưởng đến nhiều tổ chức đang vận hành ứng dụng dựa trên LLM. Đặc biệt, các công ty sử dụng LangSmith để theo dõi dữ liệu tương tác của khách hàng với AI có nguy cơ bị rò rỉ dữ liệu nếu tài khoản quản trị bị chiếm quyền.

Tuy nhiên, theo thông báo chính thức từ LangChain, hiện chưa ghi nhận trường hợp khai thác lỗ hổng này ngoài thực tế.​

Bản vá bảo mật đã được phát hành​

Sau khi nhận được báo cáo từ Miggo Security vào ngày 1/12/2025, nhóm phát triển LangChain đã nhanh chóng triển khai bản vá.

Giải pháp được áp dụng là thiết lập cơ chế Allowed Origins nghiêm ngặt. Theo đó, các máy chủ API mà hệ thống được phép kết nối phải được cấu hình trước trong danh sách các tên miền đáng tin cậy. Cơ chế này giúp ngăn chặn hoàn toàn việc chuyển hướng lưu lượng truy cập sang các máy chủ độc hại thông qua tham số baseUrl.

LangChain đã phát hành thông báo bảo mật chính thức vào 7/1/2026.​

Hướng dẫn khắc phục cho tổ chức sử dụng LangSmith​

Đối với các doanh nghiệp đang sử dụng nền tảng này, việc cập nhật bản vá là yếu tố quan trọng để đảm bảo an toàn hệ thống. Các tổ chức cần lưu ý:​

• Khách hàng sử dụng phiên bản dịch vụ đám mây (SaaS) không cần thực hiện thao tác nào vì hệ thống đã được vá từ ngày 15/12/2025.​
• Các hệ thống self-hosted cần nâng cấp LangSmith lên phiên bản 0.12.71 hoặc Helm chart langsmith-0.12.33 phát hành ngày 20/12/2025.​
• Các nhóm bảo mật nên kiểm tra dữ liệu nhạy cảm trước khi đưa vào hệ thống giám sát AI nhằm giảm thiểu nguy cơ rò rỉ dữ liệu nếu xảy ra sự cố.​

Sự xuất hiện của lỗ hổng CVE-2026-25750 cho thấy các nền tảng hỗ trợ phát triển AI, đang trở thành mục tiêu hấp dẫn đối với tội phạm mạng. Khi AI ngày càng được tích hợp sâu vào hoạt động doanh nghiệp, việc bảo vệ các nền tảng giám sát và vận hành AI trở nên quan trọng không kém việc bảo vệ chính các mô hình trí tuệ nhân tạo.

Các tổ chức cần thường xuyên cập nhật bản vá bảo mật, kiểm tra cấu hình hệ thống và hạn chế lưu trữ dữ liệu nhạy cảm không cần thiết trong các nền tảng giám sát AI, nhằm giảm thiểu rủi ro trước những mối đe dọa ngày càng gia tăng trong kỷ nguyên AI.​