文章总结： 扎夫兰实验室披露开源AI平台Dify四大安全漏洞（统称DifyTap），包括CVE-2026-41947（链路追踪模块数据窃取）、CVE-2026-41948（插件守护进程未授权接口调用）、CVE-2026-41949/41950（文件权限绕过），影响超百万个AI应用，其中两处为严重高危漏洞且可跨租户读取数据。报告指出行业普遍存在文件解析工具库（如pdfium）漏洞利用风险，并揭示容器安全扫描盲区，建议升级至Dify1.14.2版本并配置WAF规则。 综合评分： 87 文章分类： 漏洞分析,应用安全,云安全,安全运营,漏洞预警

DifyTap：四大漏洞致使超百万个 AI 应用面临安全威胁

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月24日 08:50 湖北

在小说阅读器读本章

去阅读

扎夫兰实验室研究人员披露了开源 AI 平台 Dify 存在的四处安全漏洞。沃尔沃、马士基等大型企业均在使用该平台，覆盖 60 余个行业、承载超百万套 AI 应用。其中两处漏洞评级为严重高危，两处可无认证直接利用，三处漏洞会产生跨租户影响 —— 在 Dify 云服务环境下，一名客户能够读取其他客户的私密数据。研究团队将这组漏洞统一命名为 DifyTap。

首个、也是危害最严重的漏洞编号 CVE-2026-41947，CVSS 风险评分 9.1，存在于 Dify 链路追踪模块。该组件负责记录交互消息与大模型返回内容，用于运维监控与数据分析。

官方安全公告记载：“攻击者可对自身能以客户端身份访问的任意应用配置专属追踪规则，其中包含所有对外公开的 AI 应用。攻击者借此搭建持久化数据窃取通道，抓取应用内全部对话消息与模型回复内容。”

实施该攻击仅需注册一个 Dify 控制台账号，攻击门槛极低。

第二处高危漏洞编号 CVE-2026-41948，CVSS 评分 9.4，位于插件守护进程（Plugin Daemon）—— 该内部服务负责驱动 Dify 全套插件体系。

报告指出：“我们发现两类攻击原语，可调用插件守护进程内任意接口，一类通过 GET 请求实现，另一类依靠 POST 请求。”

GET 攻击原语原理：在插件图标请求的文件名字段注入路径穿越载荷，参数未经过滤直接拼接至内部接口地址。更危险的是，该接口无需任何登录认证，只要网络可达 Dify 实例即可发起攻击。POST 攻击原语逻辑相近，漏洞点位于任务删除接口。

剩余两处漏洞编号分别为 CVE-2026-41949、CVE-2026-41950，均与文件访问权限管控失效相关。文档上传预览接口仅校验文件类型是否为文档，未做文件归属校验、租户隔离校验。任意控制台用户均可预览系统内全部文档。另一处漏洞允许客户端将其他用户的文件唯一标识符（UUID）挂载至自身对话消息，再调用支持文件读取能力的对话机器人读取完整文件内容；向 AI 指令要求复述文件全文，机器人会直接返回文件信息。

研究团队还发现，Dify 内置的 PDFium 二进制程序长期存在 CVE-2024-5846 释放后重用漏洞，该漏洞早在 2024 年 6 月就已公开披露，而 Dify 直至 2025 年 12 月 21 日才完成修复，漏洞暴露时长超一年半。普通终端用户仅需上传恶意 PDF 文件至预览接口，即可触发该漏洞。

报告补充：“放眼整个行业，大量 AI 应用都面临同类风险。这类平台普遍支持解析来自不可信来源的多种文件格式，终端用户可利用 PDFium、FFmpeg 等工具库的已知漏洞发起攻击。除持续更新依赖库版本外，平台还需为文件解析操作部署独立沙箱隔离机制。”

该问题属于行业共性缺陷，并非 Dify 独有。

本次研究还暴露出容器安全扫描存在盲区：Dify 会将未打包的 Python 源码直接写入容器镜像，常规扫描工具无法识别镜像内搭载的业务程序，自然无法检出对应漏洞。为此扎夫兰实验室提出一种名为影子容器镜像组件补全的检测方案，用于识别容器镜像对应的业务项目，并匹配项目层面的 CVE 漏洞库。若缺少这类增强检测手段，Dify 的全部漏洞都会被自动化扫描工具完全遗漏。

Dify 1.14.2 版本已修复上述全部漏洞。

报告最后建议：“若当前业务环境运行 Dify 1.14.2 版本，强烈建议配置专门的 Web 应用防火墙（WAF）防护规则，针对性缓解 CVE-2026-41948 漏洞风险。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《DifyTap：四大漏洞致使超百万个 AI 应用面临安全威胁》