日期范围: 2026-03-31 - 2026-04-07 摘要: 本周无新版本发布,主线活动聚焦于大规模代码质量提升(TypedDict迁移、ORM现代化、Pydantic替换json.loads),同时多个生产级 bug 浮现:MCP URL 双 /v1、HITL WebApp 恢复后卡加载、RAG nan doc_type 错误、自建 OOM 冻结。安全修复 PR #34408(Docker 硬编码密钥)本周关联,access token 安全 PR #31794 仍待 review。
📦 版本发布
本周无新版本发布
当前最新稳定版: v1.13.3(2026-03-27)
当前 PRE-RELEASE: 无
main 分支状态: main 分支较 v1.13.3 已累积若干 commits;下一 patch/minor 版本开发中,无公告时间表。
🗓 发版节律
| 版本 | 类型 | 日期 | 亮点 |
|---|---|---|---|
| v1.13.3 | Stable | 2026-03-27 | 流式可靠性 + 工作流修复 + 知识库修复(W14 记录) |
📊 本周共 0 次发布;连续第 2 周无新 release,开发重心转向代码质量清理。
🔄 Carry-over 追踪
1. Docker Compose 硬编码密钥安全问题 #34321
来源: #34321
状态: 🟡 有进展 — PR #34408 fix(docker): Remove insecure default secret fallbacks in compose 已关联,EndlessLucky 被 assigned,fatelei 指定负责人。
摘要: docker-compose.yaml 中五处硬编码默认密钥(SECRET_KEY、DB_PASSWORD、REDIS_PASSWORD、INNER_API_KEY_FOR_PLUGIN、MINIO_SECRET_KEY)已有修复 PR 进入 review 流程,PR 将改用 ${VAR:?} 语法令未设置时快速失败。影响所有未显式配置 .env 的 self-hosted 用户。
2. Access Token 退出后仍有效 #31794
来源: #31794
状态: 🔴 停滞 — laipz8200 requested changes 仍未解除。
本周进展: QuantumGhost 提出的 SessionRevocationStorage 接口方案已落地,fatelei 完成重写(NullSessionRevocationStorage 默认实现 + Redis 实现),Copilot AI review 提出 sha256 token fallback + key 前缀统一建议,fatelei 已按建议更新。但 laipz8200 的 requested changes 至今未解除,PR 仍无法合并。安全风险持续。
3. 全局 httpx 客户端性能优化 #34311
来源: #34311
状态: ⬜ 本周无可见进展(PR 未出现在更新列表)。
4. userinput.files LEGACY 字段导致 Agent 节点故障 #33976
来源: #33976
状态: ⬜ 本周无可见进展。Cloud 用户 Agent 节点仍受影响。
5. MCP session per-call reinitialization #24224
来源: #24224
状态: ⬜ 本周无可见进展,PR #28621 里程碑仍为 next。
🐛 本周活跃 Bugs
6. MCP Server URL 双 /v1 导致 404 授权失败
来源: PR #34596
时间: 2026-04-06
热度: 6 comments
摘要: 社区用户 dev-miro26 发现 MCP server URL 中出现双 /v1 路径(/v1/v1),导致 404 授权失败。PR #34596 提出修复,目前 4/5 tasks 完成,等待 review。影响所有使用 MCP 工具集成的 workflow。
7. HITL WebApp Human Input 恢复后持续 Loading
来源: #34631 / #34632
时间: 2026-04-07
热度: 各 1 comment
摘要: uskaidev 连续报告两个 HITL WebApp 缺陷:(1) Public Workflow WebApp 在 Human Input 节点恢复后 workflow run 已成功但界面持续 loading;(2) Published Workflow WebApp 多输出结果无可用 copy 按钮。均为 v1.13.x 引入 HITL 节点后的回归问题,影响生产级 Human-in-the-Loop 应用。
8. RAG Retrieval 出现 nan 'doc_type' class error
来源: #34623
时间: 2026-04-07
摘要: 用户 maker95 报告 RAG 检索节点报错 nan 'doc_type' found in class,影响知识库检索功能。推测与知识库文档类型字段数据不一致有关,可能是迁移遗留或数据插入 bug。
9. 升级旧版本到新 commit 后 500 Internal Server Error
来源: #34602
时间: 2026-04-06
热度: 5 comments
摘要: wbext 报告从旧版本升级到 main 最新 commit 后出现 500 错误。5 条评论在排查具体 migration 或依赖问题。对于频繁跟进 main 的 self-hosted 用户有影响。
10. 索引 Worker 无上限导致自建部署 OOM 冻结
来源: PR #34448
时间: 2026-04-02
热度: 12 comments
摘要: EndlessLucky 提交 PR #34448 fix: Cap indexing workers to prevent self-hosted OOM freezes,为索引 worker 数量添加上限,防止高并发文档摄入时进程内存溢出导致系统冻结。12 条 comments 讨论热度较高,等待 maintainer review。影响所有使用大型知识库的 self-hosted 实例。
11. outputs 变量同名 bug
来源: PR #34604
时间: 2026-04-06
热度: 3 comments
摘要: fatelei 提交 PR #34604 fix: fix outputs share same name var,修复工作流节点输出中同名变量冲突问题。3 条 comments,4/5 tasks 完成,进入最终 review 阶段。
🚀 代码质量提升(重构浪潮)
12. TypedDict 全面迁移(本周 10+ PR 合并)
来源: Issue #32863
时间: 本周持续
摘要: 本周 TypedDict 迁移浪潮达到高峰,单日合入 10+ PR:statxc(#34625 dataset service、#34621 LLM generator)、YB0y(#34612 MCP tool schema、#34611 crawl status、#34609 storage statistics、#34610 document summary)、jakearmstrong59(#34616 notification response)、iamPulakesh(#34614 retrieval_model)等。这是 W14 开始的系统性 dict → TypedDict 类型化改造的延续,提升 API 层类型安全性,减少运行时 dict key 错误。
13. ORM 迁移:session.query → select() API
来源: Issue #22668
时间: 2026-04-07
摘要: RenzoMXD 本周提交多个 ORM 现代化 PR(#34619、#34620、#34617),将遗留的 session.query() 写法迁移到现代 SQLAlchemy select() 风格 API。部分 PR 遇到 requested changes,迁移仍在审查中。这是 #22668 长期任务的子任务。
14. Pydantic 替换 json.loads(大规模重构 PR #34618)
来源: PR #34618
时间: 2026-04-07
摘要: AmarReddy4 提交 PR #34618 refactor(api): replace json.loads with Pydantic validation across models layer,在 API models 层将手动 json.loads + dict 访问替换为 Pydantic 结构化验证,提升反序列化安全性和错误可读性。PR 体量较大(size:L),进入 review 流程。
💬 社区讨论 / HN / Reddit
15. Dify 博客:软件专业化的反转趋势
来源: HN #47637142 | dify.ai/blog
时间: 2026-04-04
热度: 1 point,0 comments
摘要: Dify 官方博客发布文章 "Software specialization is reversing – and it's raising the bar, not lowering it",探讨 AI 工具对软件工程专业分工的影响。HN 热度极低(1 point,0 comments),本周 HN / Reddit 上无专题技术讨论帖,社区热度持续低位。
📊 数据概览
| 维度 | 数据 |
|---|---|
| GitHub 活跃 Issues | 407 open |
| GitHub PRs 动态 | 457 open;本周合并 10+ TypedDict PRs |
| 新增 Bugs | 5+ 个新质量问题(HITL WebApp、RAG、OOM、500 Error) |
| 安全进展 | #34321 硬编码密钥 PR #34408 关联;#31794 仍待 laipz8200 解锁 |
| 发版节律 | 本周 0 次发布 |
| HN/Reddit 热度 | 极低,无专题讨论 |
⚠️ 重点关注(下周)
- PR #31794 access token 安全修复 — laipz8200 何时解除 requested changes?
- PR #34408 Docker 硬编码密钥修复 — 能否本周合并并在下一 patch 发布?
- PR #34448 OOM 索引 worker cap — 12 comments 讨论,能否获得 maintainer decision?
- Issues #34631/#34632 HITL WebApp bugs — 是否有 fix 或 workaround?
- 下一版本 — v1.13.4 还是直接跳 v1.14.0?main 分支已有积累。
