漏洞概述 漏洞名称: 未授权访问 Bot 代理端点 (Unauthenticated Access to Bot Proxy Endpoints) 漏洞编号: #996 漏洞描述: Bot 代理聊天端点 ( , ) 缺乏身份验证机制,允许未授权用户访问这些端点。 --- 影响范围 受影响端点: - - 聊天代理端点 - - 流式聊天代理端点 风险: 攻击者可在无需认证的情况下访问 Bot 代理功能,可能导致未授权使用、数据泄露或服务滥用。 --- 修复方案 核心修改 1. 新增认证辅助函数 ( ): - : 从请求头中提取认证令牌(支持 或 头) - : 强制要求认证令牌,缺失时返回 401 错误 2. 端点加固: - 将 和 端点从 (可选认证)改为 (强制认证) 关键代码变更 --- 测试代码 (POC/验证代码) 测试文件: