事件经过
BettaFish 在其代理 InsightEngine 模块中的搜索结果去重逻辑使用子字符串/部分匹配而不是精确比较,允许操纵哪些结果被视为重复。
影响分析
低严重性逻辑缺陷,现实世界暴露范围较窄;作为 AI 代理搜索框架中精确编目的 CVE 包含以完整性。
攻击途径
InsightEngine/agent.py 中的 _deduplicate_results 函数执行部分而不是精确字符串比较,远程攻击者可以操纵这种比较来绕过去重逻辑并影响搜索结果处理。
受影响系统
666ghj BettaFish 至 1.2.1
缓解措施
升级至 1.2.1 之后或修补 _deduplicate_results 以使用精确比较;检查上游存储库以获取修复。