RAGFlowはオープンソースのRAG（検索強化型生成）エンジンです。バージョン0.22.0より前のバージョンでは、APIキーおよびベータ（アシスタント/エージェント共有認証）トークンの生成処理に安全でない鍵生成アルゴリズムが使用されていたため、これらのトークンが相互に導出可能となっていました。具体的には、両方のトークンが同じ「URLSafeTimedSerializer」と予測可能な入力によって生成されていたため、共有されたアシスタント/エージェントURLを取得した不正ユーザーが個人のAPIキーを導出できてしまいました。その結果、不正ユーザーはアシスタント/エージェントの所有者アカウントを完全に制御できるようになります。バージョン0.22.0でこの問題は修正されました。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。