基本信息
摘要
Changes since deepagents==0.4.10 release(sdk): 0.4.11 (#1868) chore(sdk): make `langsmith` explicit evals dep (#1867) chore(sdk): add docs link to `LocalShellBackend` `virtual_mode` deprecation warning (#1866) test(sdk): add `ChatBaseten` for evals (#1839) feat(sdk): Add LangSmith integration metadata to deepagents (#1837) fix(sdk): strip leading slash from glob patterns before matching (#1846) feat(sdk): add MemoryAgentBench evaluation suite (#1807) fix(sdk): accept all langsmith tracing env va
原始链接
https://github.com/langchain-ai/deepagents/releases/tag/deepagents%3D%3D0.4.1 →AI 生成内容
LangChain 发布 deepagents v0.0.4,修复 ACP 协议权限提升漏洞
LangChain-ai 团队近日发布了其 deepagents 项目的关键更新,版本号为 deepagents-acp==0.0.4。作为一个在 GitHub 获得 9291 颗星的热门 AI 代理框架,deepagents 旨在构建具备深度自主能力的代理系统。本次更新核心解决了 ACP 命令提取逻辑中的一个重大漏洞:由于此前系统会忽略管道命令(Piped Commands),可能导致在使用“始终允许”授权模式时发生意外的权限提升。该修复显著增强了 AI Agent 在复杂系统环境下的操作安全性。
在 AI Agent 迈向自主化操作的过程中,如何确保代理在调用系统指令时的安全性是开发者面临的最大挑战之一。LangChain 的 deepagents 项目通过 deepagents-acp(代理控制协议)试图建立一套标准化的操作规范。在最新的 0.0.4 版本中,开发团队修复了一个源自命令解析逻辑的漏洞。此前,系统在提取命令类型时未能正确处理管道操作符(如 |),这使得代理在某些场景下可以绕过安全限制,执行原本未获授权的高权限指令。此更新由安全机构 corridor-security 协助完成,体现了当前 AI 领域对“安全代理”(Secure Agents)的高度关注,是该项目迈向生产环境应用的重要一步。
原始数据
{
"type": "release",
"org": "langchain-ai",
"repo": "deepagents",
"tag": "deepagents==0.4.11",
"stars": 11204,
"prerelease": false,
"merged_sources": [
"github"
],
"merged_count": 2
}