Các nhà nghiên cứu bảo mật từ Miggo Security đã phát hiện một lỗ hổng LangSmith nghiêm trọng, được theo dõi dưới mã định danh CVE-2026-25750. Lỗ hổng này có nguy cơ khiến người dùng đối mặt với tình trạng đánh cắp token và chiếm quyền điều khiển tài khoản hoàn toàn. LangSmith là một nền tảng trung tâm dùng để gỡ lỗi và giám sát dữ liệu mô hình ngôn ngữ lớn (LLM), xử lý hàng tỷ sự kiện mỗi ngày. Do đó, đây là một điểm yếu bảo mật tiềm ẩn rủi ro bảo mật cao đối với các môi trường AI doanh nghiệp.
Phân tích kỹ thuật Lỗ hổng LangSmith CVE-2026-25750
Lỗ hổng CVE-2026-25750 phát sinh từ một cấu hình API không an toàn trong LangSmith Studio. Nền tảng này sử dụng một tham số baseUrl linh hoạt, cho phép các nhà phát triển định hướng ứng dụng frontend của họ để lấy dữ liệu từ các API backend khác nhau. Trước khi bản vá được triển khai, ứng dụng đã ngầm tin tưởng vào đầu vào này mà không thực hiện xác thực tên miền đích.
Việc thiếu xác thực này đã tạo ra một khoảng trống bảo mật nghiêm trọng. Khi một người dùng LangSmith đã xác thực truy cập một trang web độc hại hoặc nhấp vào một liên kết được tạo ra đặc biệt chứa baseUrl do kẻ tấn công kiểm soát, trình duyệt của họ sẽ tự động định tuyến các yêu cầu API và thông tin xác thực phiên làm việc đến máy chủ của kẻ tấn công.
Khai thác lỗ hổng LangSmith này không yêu cầu các chiến thuật lừa đảo truyền thống, nơi người dùng phải tự nhập thông tin xác thực. Thay vào đó, cuộc tấn công diễn ra một cách âm thầm trong nền, sử dụng phiên làm việc (session) đang hoạt động của nạn nhân. Điều này làm tăng mức độ nguy hiểm vì nạn nhân khó có thể nhận biết được cuộc tấn công đang diễn ra.
Cơ chế khai thác và Tác động
Quá trình tấn công bắt đầu khi nạn nhân đã xác thực truy cập một trang web độc hại hoặc một trang hợp pháp bị xâm nhập bởi mã JavaScript độc hại. Mã script này sau đó sẽ buộc trình duyệt tải một URL LangSmith Studio đã được thiết kế riêng, trỏ đến một máy chủ do kẻ tấn công kiểm soát. Hậu quả là, trình duyệt của nạn nhân vô tình gửi thông tin xác thực phiên hoạt động của họ đến tên miền độc hại thay vì máy chủ mặc định của LangSmith.
Kẻ tấn công sau đó có thể chặn (intercept) token phiên làm việc. Chúng có một cửa sổ thời gian năm phút để chiếm quyền điều khiển tài khoản trước khi token tự động hết hạn. Khoảng thời gian này đủ để thực hiện các hành động độc hại nghiêm trọng trên tài khoản của nạn nhân.
Việc chiếm quyền điều khiển một tài khoản trên nền tảng quan sát AI (AI observability platform) như LangSmith đặt ra những rủi ro bảo mật độc đáo, vượt xa phạm vi truy cập trái phép thông thường. Kẻ tấn công có thể truy cập và xem chi tiết lịch sử theo dõi AI (AI trace histories), thường lưu giữ dữ liệu thực thi thô được sử dụng để gỡ lỗi. Điều này có thể bao gồm các thông tin nhạy cảm và độc quyền của tổ chức.
Khai thác thành công cho phép các tác nhân đe dọa đọc dữ liệu thô được trả về từ các cơ sở dữ liệu nội bộ. Điều này có khả năng làm lộ mã nguồn độc quyền, hồ sơ tài chính, hoặc thông tin khách hàng nhạy cảm. Ngoài ra, kẻ tấn công có thể đánh cắp các lời nhắc hệ thống (system prompts) – vốn là tài sản trí tuệ và định nghĩa hành vi độc quyền của các mô hình AI của tổ chức. Theo báo cáo của Miggo Security, họ cũng có khả năng chiếm quyền điều khiển tài khoản để sửa đổi cài đặt dự án hoặc xóa hoàn toàn các quy trình làm việc quan sát quan trọng, gây ảnh hưởng nghiêm trọng đến hoạt động của hệ thống AI.
Biện pháp khắc phục và Cập nhật bản vá bảo mật
LangChain đã khắc phục lỗ hổng LangSmith này bằng cách triển khai một chính sách nghiêm ngặt về các nguồn gốc được phép (strict allowed origins policy). Nền tảng hiện yêu cầu các tên miền phải được cấu hình rõ ràng trước là các nguồn đáng tin cậy trong cài đặt tài khoản trước khi chúng có thể được chấp nhận làm baseUrl API. Bất kỳ yêu cầu baseUrl trái phép nào cũng sẽ tự động bị chặn. Điều này đảm bảo rằng chỉ các nguồn đã được phê duyệt mới có thể tương tác với ứng dụng.
Theo Cố vấn An ninh LangSmith chính thức được công bố vào ngày 7 tháng 1 năm 2026, hiện không có bằng chứng về việc khai thác chủ động lỗ hổng CVE-2026-25750 trong thực tế.
Đối với khách hàng sử dụng dịch vụ đám mây (Cloud customers), không cần thực hiện bất kỳ hành động nào, vì lỗ hổng LangSmith đã được giải quyết hoàn toàn trên nền tảng LangSmith Cloud vào ngày 15 tháng 12 năm 2025. Các bản cập nhật đã được tự động áp dụng.
Tuy nhiên, các quản trị viên tự lưu trữ (self-hosted administrators) phải ngay lập tức nâng cấp triển khai của họ lên phiên bản LangSmith 0.12.71, hoặc Helm chart langsmith-0.12.33 và các phiên bản mới hơn, để đảm bảo môi trường của họ được bảo vệ. Việc cập nhật bản vá kịp thời là cực kỳ quan trọng để ngăn chặn các cuộc tấn công mạng tiềm tàng và bảo vệ dữ liệu nhạy cảm.
