Die Schwachstelle betrifft LangChain, ein Framework zum Bau von Agenten und Anwendungen auf Basis großer Sprachmodelle. Ursache sind ältere Laufzeit-Codepfade, die Eingaben, Ausgaben oder andere von der Anwendung verarbeitete Daten deserialisieren – also aus einer serialisierten Form wieder in Objekte zurückverwandeln. Diese Pfade verwenden dabei eine zu weit gefasste Freigabeliste erlaubter Objekttypen und können die Ladefunktion so aufrufen, dass sämtliche als vertrauenswürdig geltenden, LangChain-serialisierbaren Objekte wiederhergestellt werden – deutlich mehr, als für diese Pfade nötig wäre. Das erlaubt zwar keine beliebige Deserialisierung von Python-Objekten, wohl aber, dass von einem Angreifer eingeschleuste serialisierte Konstruktor-Dictionaries dazu führen, dass vertrauenswürdige Laufzeitpfade Klassen mit nicht vertrauenswürdigen Konstruktorargumenten instanziieren. Ein Angreifer kann auf diese Weise die Objekterzeugung innerhalb der Anwendung mit von ihm kontrollierten Werten beeinflussen.