Die Schwachstelle steckt in LangGraph SQLite Checkpoint, einer Komponente zum Speichern von Zwischenständen, die als CheckpointSaver für LangGraph dient und eine SQLite-Datenbank nutzt – sowohl im synchronen als auch im asynchronen Betrieb. Es handelt sich um eine SQL-Injection: Bei der Suche über gespeicherte Checkpoints lassen sich SQL-Abfragen manipulieren, und zwar nicht nur über die Werte der Metadaten-Filter, sondern bereits über deren Schlüssel. Ursache ist die Funktion, die das Abfrageprädikat für die Metadaten aufbaut: Sie fügt die Filterschlüssel ohne jede Prüfung direkt in den SQL-Text ein. Anwendungen, die solche Filterschlüssel aus nicht vertrauenswürdiger Quelle entgegennehmen, sind dadurch angreifbar – ein Angreifer kann eigene SQL-Bestandteile einschleusen und so die Datenbankabfrage in seinem Sinne verändern, etwa um unberechtigt auf Daten zuzugreifen oder sie zu manipulieren.