En los últimos meses, tres de los frameworks de agentes de inteligencia artificial más populares: LangGraph, Langflow y LangChain, han revelado graves vulnerabilidades que permiten a los atacantes tomar control remoto y extraer información confidencial, incluyendo claves de API, credenciales de bases de datos y tokens de CRM.
Estas plataformas, que se distribuyen masivamente y se integran con infraestructuras críticas, almacenan estados de agentes, administran subidas de archivos y configuran prompts para la interacción con modelos de IA, todo ello manejando secretos sensibles de forma interna. Sin embargo, ninguna de ellas fue diseñada con defensas adecuadas para limitar el acceso a estos componentes internos, lo que ha resultado en un aumento alarmante de fallos explotables en entornos de producción.
LangGraph: de una inyección SQL a ejecución remota de código
LangGraph, que aporta funcionalidad de memoria persistente para agentes IA a través de checkpointers, supera los 50 millones de descargas mensuales. Investigadores de Check Point Research detectaron tres fallos de seguridad en esta capa, dos de ellos vinculados para ejecutar código remoto (RCE). 
El primero, CVE-2025-67644, con una puntuación CVSS de 7.3, corresponde a una inyección SQL en el checkpoint SQLite. La función que construye la cláusula WHERE para recuperar historiales de estado inserta directamente filtros controlados por el usuario sin sanitización ni parametrización, lo que permite a un atacante insertar filas maliciosas en la tabla de checkpoints cuando se usa el almacenamiento SQLite o Redis y se expone el endpoint get_state_history().
El segundo problema, CVE-2026-28277 (CVSS 6.8), termina por lograr la ejecución remota: el decodificador msgpack del checkpoint reconstruye objetos Python y ejecuta funciones indicadas por el atacante. Al combinarse con el primero, un adversario puede insertar una fila falsa que invoca comandos arbitrarios como os.system, tomando control sobre el servidor del agente bajo sus credenciales. Hay también un tercero similar para Redis (CVE-2026-27022), con puntuación CVSS 6.5.
Aún no se ha detectado explotación confirmada in-the-wild, pero ya existe un proof-of-concept público. Las correcciones están disponibles con las versiones langgraph-checkpoint-sqlite 3.0.1, langgraph 1.0.10 y langgraph-checkpoint-redis 1.0.2.
Langflow: un fallo en la gestión de archivos permite control remoto sin autenticación
Langflow, fuertemente atacado en este momento, presenta el fallo CVE-2026-5027 (CVSS 8.8), un recorrido de directorios en el endpoint POST /api/v2/files. El nombre del archivo se extrae directamente del formulario y se escribe en disco sin validación ni sanitización. De este modo, un atacante puede insertar archivos arbitrarios en cualquier ubicación del sistema, como en /etc/cron.d/, para establecer tareas programadas maliciosas.
Además, Langflow incluye por defecto un sistema de auto-login, lo que elimina la necesidad de credenciales para acceder a esta funcionalidad, haciendo que la explotación sea más sencilla. Según VulnCheck, esta vulnerabilidad está siendo explotada activamente desde principios de junio, con alrededor de 7.000 instancias expuestas a internet, principalmente en Norteamérica.
Este es el tercer fallo significativo de Langflow con actividad maliciosa durante 2026, después de que el grupo iraní MuddyWater utilizara la vulnerabilidad CVE-2025-34291 para tomar control de cuentas y ejecutar código remoto. La vulnerabilidad actual fue corregida en abril (versión 1.9.0), pero el despliegue lento de parches ha dejado miles de servidores vulnerables durante meses.
LangChain-core: lectura arbitraria de archivos a través del prompt loader
LangChain-core también sufrió un importante problema de seguridad, CVE-2026-34070 (CVSS 7.5), relacionado con un recorrido de archivos en la API legacy de carga de prompts. La función load_prompt() obtiene rutas de archivo desde un diccionario de configuración sin validar secuencias que permiten salir del directorio previsto, por lo que un atacante puede leer cualquier archivo accesible por el proceso, por ejemplo, archivos de configuración .env con las claves API de OpenAI y Anthropic.
Se combinó esta vulnerabilidad con un problema de deserialización insegura (CVE-2025-68664, CVSS 9.3) que facilita todavía más la extracción de secretos mediante objetos malformados.
Las versiones corregidas varían entre 1.2.22 y 0.3.86 para el primero y 1.2.5 y 0.3.81 para el segundo, por lo que es necesario actualizar ambas para eliminar todos los riesgos.
Problemas comunes y consecuencias
Los tres frameworks comparten vulnerabilidades clásicas de seguridad informática: recorrido de directorios, inyección SQL y deserialización insegura. No son problemas propios de la IA, sino fallos clásicos que persisten en esta nueva capa tecnológica donde interactúa la inteligencia artificial con entornos corporativos.
Además, al estar desplegados con configuraciones por defecto inseguras y disponer de acceso a claves y tokens esenciales, un solo fallo implica la exposición de todas las credenciales disponibles en ese proceso, multiplicando el impacto y el alcance potencial del ataque.
El desafío de detectar estas amenazas
Expertos señalan que la dificultad radica en que estos ataques no se presentan como problemas específicos de IA, sino que son incidentes convencionales de seguridad que pasan desapercibidos para herramientas tradicionales. Por ejemplo, los firewalls web (WAF) y las soluciones de detección en endpoints (EDR) no interpretan los procesos internos de los frameworks como límites separados o riesgos independientes.
Este vacío proviene de la falta de controles de acceso rígidos y autenticación desde el principio en el diseño de estas plataformas. Langflow con auto-login activo, LangChain-core sin restricciones adecuadas, son ejemplos de configuraciones inseguros que han facilitado las intrusiones.
Por otra parte, la tendencia creciente de que los equipos de desarrollo incorporen estas herramientas sin supervisión ni aprobación formal crea una especie de shadow IT dentro de las empresas, complicando el control centralizado de seguridad.
El impacto en los negocios y la necesidad de comunicación
Los directivos deben entender que estas vulnerabilidades no sólo suponen un riesgo técnico, sino un posible daño directo al negocio. Por ejemplo, la manipulación de datos de entrada en un motor de IA puede desencadenar decisiones erróneas automatizadas que afecten la compensación o la estrategia, sin que nadie pueda explicar el motivo.
Por ello, la alerta a los consejos de administración debe centrarse en la magnitud del daño potencial, el estado actual de parches, y la urgencia de cerrar brechas antes de que se produzcan ataques más dañinos.
Checklist para asegurar los frameworks de agentes IA
Se recomienda verificar y corregir seis puntos clave: que no se pueda inyectar código malicioso en la memoria del agente, que las peticiones no autenticadas no permitan escribir archivos arbitrarios, que los cargadores de prompts no lean archivos sensibles, que los secretos estén correctamente gestionados con privilegios mínimos, que todos los frameworks estén dentro de la gobernanza de seguridad y que las herramientas de análisis detecten vulnerabilidades en las dependencias internas y no solo en el código propio.
Las soluciones no demandan rearquitecturas complejas sino actualizaciones de versiones y cambios en configuraciones que se pueden implementar rápidamente. El reto es cerrar la ventana de exposición entre la disponibilidad del parche y su aplicación en los sistemas productivos.
En definitiva, estos incidentes subrayan la necesidad de un mayor control y vigilancia en la integración de frameworks de IA en las infraestructuras empresariales, para evitar que fallos conocidos sean la puerta de entrada a ataques devastadores.
