日期范围: 2026-03-10 - 2026-03-17
🔥 热门话题
1. 【重磅】1.13.1 Release Blockers Tracker 开启 --- 补丁版本冲刺中
来源 : Issue #33478
时间 : 2026-03-16
热度: Pinned by crazywoola;v1.13.1 Milestone 归档;QuantumGhost 亲自 assignee
摘要: QuantumGhost 于 2026-03-16 开启 1.13.1 Release Blockers Tracker,标志着团队正在加快推进稳定版补丁。本周已集中消化多个 blocker:HTML sanitization for human-input emails(#32304)、Email body 未渲染 Markdown(#33513)、CSP 违规(#33535,已修复)、SSE 重连端点错误(#33551)、Staging 404(#33559,已修复)等。1.13.1 正式版预计近期发布,1.14.0 RC1 正式版路径仍待定。
2. WebApp 工作流暂停恢复 SSE 重连用了 Console 端点 --- 紧急修复中
来源 : Issue #33551 | PR #33552
时间 : 2026-03-17
热度: 今日新开,laipz8200 自认 assignee;PR #33552 配套修复同步提交
摘要: 当 WebApp 侧工作流执行中途暂停(如 HITL 节点)后恢复时,SSE 重连会错误地调用 Console 端点而非 WebApp 专用端点,导致公开 Workflow 对话中断无法恢复。laipz8200 同步提交 PR #33552(fix: preserve public workflow SSE reconnect after pause),该修复已纳入 1.13.1 release blockers 列表,属本周最紧急 bug 之一。
3. Monaco Editor 升级引发兼容故障 --- 一天内被回滚
来源 : PR #33540 → PR #33566
时间 : 2026-03-17
热度: 26 条 review 评论;合并后数小时即被回滚
摘要: hyoban 提交 PR #33540(refactor: use hoisted modern monaco,size:XXL)升级 Monaco Editor 依赖,在 review 通过并合入 main 后数小时内,发现与现有代码编辑器场景存在兼容性问题,随即触发 PR #33566(chore: revert #33540 #32966)回滚。CSP 违规 issue #33535 和代码编辑器 bug #32968 此前已被发现,此次升级加剧了问题暴露。Monaco 升级问题仍需在 1.13.1 版本周期内继续跟进。
4. SQL 注入修复 PR #33229 --- 已重新审核但仍未合入
来源 : PR #33229
时间 : 2026-03-12(最近更新)
热度: Gemini Code Assist 新发现额外注入点
摘要 : 🔄(W11 carry-over)pgvector/tidb_vector/milvus 向量数据库 SQL 注入修复 PR,asukaminato0721 本周 reopen。Gemini Code Assist 在 code review 中再度指出 tidb_vector 的 get_ids_by_metadata_field 方法中 key 参数仍通过 f-string 直接插入 SQL,存在残余注入窗口。alvinttang 已确认将补充白名单验证或参数化方案。当前未获 approve,需至少 1 名 reviewer 批准后方可合入,安全风险仍处于 open 状态。
🚀 新功能 / 合入 PR
5. feat: 为 Clean Message 和 Workflow-Run Task 新增 Metrics 埋点
来源 : PR #33143
时间 : 2026-03-17(merged)
热度: 23 条评论;标记 in-linear + lgtm
摘要: hjlarry 提交的增强 PR,为定时清理任务(clean message task、workflow-run cleanup task)添加运行指标上报,便于监控后台任务执行健康度与耗时。size:XL,经过充分 review 后于本周合入 main。这是 Dify 运维可观测性持续改善的一部分,配合 1.13.0 引入的 Celery 架构改造尤为重要。
6. refactor: TypedDict 迁移 --- trigger.py 和 workflow.py 完成
来源 : PR #33562
时间 : 2026-03-17(merged)
热度: lgtm 标记,快速合入
摘要 : statxc 提交的重构 PR,将 trigger.py 和 workflow.py 中的 dict/Mapping 类型注解替换为更严格的 TypedDict,提升类型安全性。这是 W09-W11 连续推进的 TypedDict 迁移批次的一部分(关联 issue #32863),本周变更 size:M,已顺利合入。
7. feat(workflow): Knowledge Base 节点 Document Metadata 配置 --- 大型 PR 持续审核
来源 : PR #33239
时间 : 2026-03-11(上周开启)
热度: 23 条 review 评论;4/5 tasks done;needs-revision;size:XXL
摘要: 🔄(W11 carry-over)ZeroZ-lab 提交的大型 Workflow 增强 PR,允许在 Knowledge Base 节点中配置文档 metadata 过滤条件,对 RAG Pipeline 的精细化检索控制非常关键。本周仍处于 needs-revision 阶段,继续接受 review 意见中,尚未合入。该 PR 与 RAG Pipeline 的 Service API 支持(#31524)在功能上互补,预计进入 1.14.x 版本。
8. fix: Weaviate 集合存在性验证改为绕过 Redis 缓存
来源 : PR #33376
时间 : 2026-03-12(5 days ago)
热度: 9 条评论;关联 1 个 issue
摘要: majiayu000 修复 Weaviate 向量数据库集合(collection)时的缓存一致性问题:当 Redis 缓存中存有旧的 collection 存在记录时,Dify 不会重新验证实际状态,导致操作失败。修复方式为在关键路径上跳过缓存直接查询数据库。size:S,正在 review 中,未合入。
🐛 活跃 Bug
9. MCP 服务 504 Gateway Timeout(1.14.0-rc1 专项)
来源 : Issue #33519
时间 : 2026-03-16
热度: 12 条评论;标记 1.14.0-rc1 + bug
摘要 : 用户在 1.14.0-rc1 环境中,通过 Agent 调用 MCP 工具时,invocation 过程出现 Failed to connect to the MCP server: code=504 message="Server error '504 Gateway Timeout'" 错误。影响范围包括所有需要通过 MCP 服务发起工具调用的场景。目前团队尚未提交修复 PR,讨论仍在进行中,可能与 1.14.0-rc1 的 Agent sandbox 架构新增的网络路由有关。
10. Explore Detail 模态框在 trial apps 关闭时返回 403
来源 : Issue #33549
时间 : 2026-03-17
热度: laipz8200 开,纳入 1.13.1 blockers 范围
摘要 : 当部署时 ENABLE_TRIAL_APP=false 时,访问 Explore Detail 模态框返回 403 错误,即便是 normal app 也受影响。laipz8200 今日开 issue,该问题已与 CSP 违规、SSE 重连并列为 1.13.1 本周新增 blockers,待 fix PR 跟进。
11. File Translation WebApp 页面刷新后丢失文件输入
来源 : Issue #33548
时间 : 2026-03-17
热度: laipz8200 开,WebApp + bug 标记
摘要: 在 File Translation WebApp 中,若用户刷新页面,已上传的文件输入会丢失,导致用户必须重新上传。这是一个 UX 可靠性问题,影响使用文件上传功能的 WebApp 场景。laipz8200 今日开 issue,暂无修复 PR。
12. Chatflow 预览时无限等待,所有 flow 节点无响应
来源 : Issue #33127
时间 : 2026-03-10(上周开启,本周有更新)
热度: 5 条评论;bug 标记
摘要: 在 Chatflow 预览模式下发送问题后,执行进入无限等待状态,所有节点均无响应,既无超时也无错误提示。问题可能与 1.13.0 引入的 Celery 异步执行架构相关,暂无复现路径收敛,仍在排查中。
💬 社区讨论
13. [Chore] 推进 Celery 队列 EVENT_BUS_REDIS 环境变量命名规范化
来源 : Issue #33529
时间 : 2026-03-16
热度: 纳入 1.13.1 blockers
摘要 : 将环境变量 EVENT_BUS_REDIS_CLUSTERS 重命名为 EVENT_BUS_REDIS_USE_CLUSTERS,与 1.13.0 引入的 PUBSUB_REDIS_USE_CLUSTERS 命名风格保持一致。这是 1.13.0 升级后的配置文档规范化工作,对自部署用户尤为重要,预计随 1.13.1 一并推送变更说明。
14. 访问令牌退出后仍有效 --- 安全修复 PR 停滞数月
来源 : PR #31794
时间 : 2026-01-31(开启);2026-03-17(仍 open)
热度: 27 条评论;1 reviewer requesting changes
摘要 : fatelei 于 1 月底提交的安全修复 PR:fix: fix access token is still valid after logout。该 PR 已等待超过 7 周,目前有 1 位 reviewer 仍在请求变更。access token 退出后未失效属于认证安全缺陷(OWASP A07),建议关注 contributors 加快推进 review。
15. issue 追踪:pydantic replace json.load 和 TypedDict 迁移
来源 : Issue #33092 | Issue #32863
时间 : 持续进行
热度: 每周均有新提交;多人分配
摘要 : asukaminato0721 主导的两批代码质量改进跟踪:(1)#33092 将 json.load 替换为 pydantic 解析,本周已有 Prasad7007 和 kavyakapoor420 认领;(2)#32863 TypedDict 全面迁移,atipre 和 statxc 认领。这两个 issue 是 Dify 代码库现代化的核心驱动力,PR 数量持续增长,预计未来数周继续高频合入。
📦 版本发布
本周(2026-03-10 至 2026-03-17)无新版本发布。
| 版本 | 类型 | 日期 | 亮点 |
|---|---|---|---|
| 1.14.0-rc1 | Pre-release | ~2026-02-14 | New Agent + Skills + Sandbox + Collaboration beta |
| 1.13.0 | Stable(Latest) | 2026-02-11 | HITL + Celery 重构 + Redis PubSub |
📊 本周发版节奏: 无正式发布。1.13.1 补丁版本 Trackers 于 2026-03-16 开启,预期近期冲刺上线。1.14.0 正式版路径暂未公告(#32816 CORS bug 进展待确认)。
📊 数据概览
| 维度 | 数据 |
|---|---|
| GitHub 开放 Issues | 379(本周新增约 8+) |
| GitHub PRs | 399 open;本周合入约 5 个 |
| HN 最热讨论 | 本周无 Dify 专题帖(0 pts) |
| Reddit r/LocalLLaMA | 本周无新 Dify 专题帖 |
| 本周核心主题 | 1.13.1 发版冲刺、SSE 重连可靠性、Monaco 回滚、安全修复 |
🔄 Carry-over 追踪
| # | Item | 状态变化 |
|---|---|---|
| #33229 | SQL 注入修复 PR(vector DB) | 仍 open;Gemini 发现 tidb_vector 残余注入点,alvinttang 确认将补充修复 |
| #33478 | 1.13.1 Release Blockers | 新增(本周);多个 blocker 已修复,SSE 重连仍 open |
| #32816 | 1.14.0-rc1 Skill CORS bug | 无更新;未出现在 1.13.1 tracker,正式版时间线仍不明确 |
| #33211 | MCP tool 无法接收参数 | 无更新 |
| #33214 | Parallel iteration 时序指标膨胀 | 无更新 |
| #33108 | GraphInitParams TypedDict 重构 | 无更新(上周 6/9 tasks done) |
| #31794 | access token 退出后仍有效(安全) | 停滞;等待 7 周,1 reviewer 仍在请求变更 |