Die Schwachstelle betrifft LangSmith Studio, das über die Langchain Helm Charts auf Kubernetes-Clustern bereitgestellt wird – sowohl in der Cloud-Variante als auch bei selbst betriebenen Installationen. Es handelt sich um eine Einschleusung über einen URL-Parameter: Klickt ein bereits angemeldeter Nutzer auf einen eigens präparierten, bösartigen Link, so werden sein Bearer-Token, seine Benutzerkennung und seine Arbeitsbereichs-Kennung an einen vom Angreifer kontrollierten Server übertragen. Mit dem erbeuteten Token kann der Angreifer die Identität des Opfers übernehmen und auf alle Ressourcen zugreifen beziehungsweise alle Aktionen ausführen, zu denen der Nutzer in seinem Arbeitsbereich berechtigt ist. Der Angriff setzt Social Engineering voraus – etwa Phishing oder bösartige Links in E-Mails oder Chat-Anwendungen –, um das Opfer zum Klicken zu bewegen. Die gestohlenen Token verlieren nach kurzer Zeit ihre Gültigkeit, doch wiederholte Angriffe gegen denselben Nutzer sind möglich, sofern er sich mehrfach zum Klicken verleiten lässt. Die Korrektur erzwingt eine Prüfung erlaubter Ursprünge für den baseUrl-Parameter, sodass Token nicht mehr an unautorisierte Server gesendet werden. Umgehungslösungen gibt es nicht.