🐛 [安全] 好友用户在私聊中拥有与 AI 所有人同等权限,可查看配置和读取内部文件 #71
Description
Bug 描述
AI 所有人通过用户 A 的好友申请后,A 在与 AI 的私聊对话中,拥有了与所有人同等的权限,包括:
- 能查看 AI 的配置信息
- 能读取 AI 的内部文件
普通好友用户不应拥有这些权限,应仅有基本的对话权限。
端
全端(权限控制问题,非前端特定)
复现步骤
- AI 所有人通过用户 A 的好友申请
- 用户 A 与 AI 发起私聊
- 用户 A 尝试查看 AI 配置 / 读取内部文件 → 成功
期望行为
普通好友用户只有基本对话权限,无法查看 AI 配置或读取内部文件。这些操作应仅限 AI 所有人。
实际行为
好友用户在私聊中与所有人拥有完全相同的权限,存在安全风险。
严重性
安全问题 — 权限越权,可能导致敏感信息泄露。
原始来源
DMWork group:30ac52c2ccba4f8d9f152311f1f785b5 user:ded7abbabfaa44eaa1711053a63ec179