[高] 工作流引擎eval()无超时沙箱 #72

New Issue

Closed

opened 2026-05-10 18:39:06 +08:00 by admin · 0 comments

admin commented 2026-05-10 18:39:06 +08:00

Owner

Copy Link

问题描述

backend/app/services/workflow_engine.py 第3840行使用 eval() 执行表达式，无超时限制、无沙箱隔离。恶意表达式可导致服务阻塞或代码执行。

涉及文件

• backend/app/services/workflow_engine.py:3840

修复建议

1. 使用受限的表达式解析器（如 asteval 或自定义 AST 遍历）
2. 添加执行超时（asyncio.timeout）
3. 禁止访问双下划线属性、内置函数

严重程度

高 - 代码注入风险

## 问题描述 backend/app/services/workflow_engine.py 第3840行使用 eval() 执行表达式，无超时限制、无沙箱隔离。恶意表达式可导致服务阻塞或代码执行。 ## 涉及文件 - backend/app/services/workflow_engine.py:3840 ## 修复建议 1. 使用受限的表达式解析器（如 asteval 或自定义 AST 遍历） 2. 添加执行超时（asyncio.timeout） 3. 禁止访问双下划线属性、内置函数 ## 严重程度 高 - 代码注入风险

admin closed this issue 2026-05-10 19:04:34 +08:00

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

main

rjb_win_dev

rjb_dev

No results found.

Labels

No items

No Label

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

admin

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: admin/aiagent#72