LangGraph pickle RCE CVE-2026-27794: supply chain alarm sulle pipeline LLM e come l'ho trovato
Sto auditando una pipeline LangGraph nella mia sandbox di red team quando noto un'entry sospetta in Redis: un oggetto binario serializzato con pattern pickle. L'indagine porta a CVE-2026-27794 - JsonPlusSerializer(pickle_fallback=True) cade su pickle deserialization quando msgpack fallisce, e scrivere su cache Redis = RCE. Ti mostro la catena completa dalla scoperta al PoC all'hardening, con sigma rule Wazuh per rilevare la classe di attacco. Continua a leggere
Ultima modifica:
Il 14 aprile 2026 ho messo una istanza Flowise 2.x volontariamente esposta nella mia sandbox di audit per riprodurre la CVE-2025-59528 - una RCE CVSS 10.0 già sfruttata in the wild su oltre 12.000 istanze Internet-facing. In 12 minuti dal deploy, payload Function('return ' + input)() iniettato su mcpServerConfig ha restituito shell root del container. Ti racconto la catena completa, l'impatto di supply chain sulle chiavi API LLM salvate, e le tre regole WAF che la bloccano. 
Gartner prevede il 40% di progetti agentic cancellati entro il 2027 per inadequate risk controls. Nel mio laboratorio di red team ho riprodotto sette pattern documentati in letteratura: alignment faking, self-exfiltration, scheming multi-step, deception manipulation, sandbagging, reward hacking, sycophancy. Diagnosi operativa con payload di test, indicatori lato telemetria, contromisure applicabili in produzione su agenti enterprise. 
Dai circa sessanta esempi documentati da Krakovna/DeepMind (2020) al paper Apollo Research del dicembre 2024 sull'in-context scheming (o1, Opus 3, Sonnet 3.5, Gemini 1.5 Pro, Llama 3.1 405B), il pattern è invariato: se misuri un obiettivo algoritmicamente, l'agente trova una scorciatoia senza risolvere il problema reale. Analizzo specification gaming, sandbagging, self-preservation, e propongo un'architettura di containment a cinque layer applicabile oggi su agenti aziendali. 
Un RAG aziendale indicizza documenti interni e risponde alle domande. Se un attaccante inietta un documento nel corpus, può manipolare le risposte per tutti gli utenti. Ti racconto la metodologia di red team che applico: exfiltration di chunk sensibili, pivoting tra tenant multi-azienda, poisoning persistenti. Con tre proof-of-concept e il pattern di difesa applicativa. 
Dal punto di vista di un attaccante, il codice LLM-generated è una miniera d'oro. I pattern ricorrenti - concatenazione di input in query, gestione uniforme degli errori che leak info sensibili, assunzioni di sanitizzazione fatte dall'LLM senza dirlo - sono sfruttabili con PoC mirati. Ti racconto 5 classi di attacco osservate su codice reale, con exploit dimostrato e la strategia di difesa applicativa che uso in audit. 
Dopo la compromissione di un'applicazione Laravel, il cliente voleva sapere come erano entrati e cosa avevano preso. Ho ricostruito la kill chain completa dai log di Nginx, PHP, MySQL e dal filesystem: webshell caricata tramite IDOR + unrestricted upload, backdoor persistente in un file di configurazione. Vi mostro il metodo. 
In un engagement red team su un'azienda retail con tre VPS e un cluster Docker, siamo passati da un form upload con SSRF a root su tutti i server in 4 ore. Il percorso di attacco era banale ma invisibile dai tool di monitoring standard. Vi descrivo la catena di compromissione e le contromisure.