Dify 2026年5月更新:v1.14.2+安全修复+Agent基础架构+工作流可靠性

---

⏰ 发布时间：2026-05-19

⭐ 版本：v1.14.2

🆓 费用：免费开源

Dify 这更新速度有点猛，v1.14.1 刚发布一周，v1.14.2 就来了。这次主要解决安全问题和跑工作流的稳定性，另外悄悄加了 Agent 服务端的初始代码。

🔥 这次更新了什么？

🔐 安全加固

1. 租户隔离增强：App Trace 配置端点和文件预览文本提取都加了租户范围限制，防止跨租户数据泄露

2. 工具凭证安全：默认内置工具凭证更新限制为管理员和所有者，reset-encrypt-key-pair 时会清理过期的租户工具凭证

🧩 工作流可靠性

1. 修复 HITL（人机交互）工作流恢复后链路追踪丢失的问题

2. 改进工作流运行回调追踪，减少消息更新的数据库往返次数

3. 修复 Flask 上下文外的内存获取问题

4. 修复 base64 文件查找会话未正确关闭的问题

5. 修复未选择模型时持续加载的问题

📚 RAG 和知识库

1. LLM 节点现在可以访问检索到的知识文件了

2. API 更新后自动重新生成文档摘要

3. 修复知识库命中测试渲染失败、空知识库创建失败等问题

4. RAG 管道中凭证获取失败时更优雅地处理

🤖 Agent 基础架构

悄悄加了 Agent Server 的初始代码。虽然这次只是打底，但 Dify 的 Agent 能力一直在稳步推进，后续版本值得期待。

🎨 UI 改进

1. 新增 Checkbox/CheckboxGroup 组件，更多控件迁移到 @langgenius/dify-ui

2. 应用创建追踪来源和模板 ID，初始化用户时区和语言

3. 标注回复评分阈值可以设到 0.8 以下了

✅ 适合哪些人？

✅ 自部署用户 → 安全修复很重要，建议尽快升级

✅ 工作流重度用户 → HITL 恢复、回调追踪等修复直接影响稳定性

✅ RAG 知识库用户 → LLM 节点可以访问知识文件了

✅ 关注 Dify Agent 的开发者 → 基础架构已开始搭建

🛠️ 快速上手

# Docker Compose 升级
cd docker
cp docker-compose.yaml docker-compose.yaml.bak
cp .env .env.bak 2>/dev/null || true

git fetch --tags
git checkout 1.14.2

# 注意：env 文件已拆分到 docker/envs/** 目录
# 检查新布局，重新应用你的自定义配置

docker compose down
tar -cvf volumes-backup.tgz volumes
docker compose up -d

# 源码部署
git checkout 1.14.2
cd api && uv sync && uv run flask db upgrade

❓ 常见问题

Q：从 v1.14.1 升级需要数据库迁移吗？

A：需要，这次有新的 Explore 应用分类的数据库迁移。Docker Compose 会自动处理，源码部署需要手动跑 flask db upgrade。

Q：Docker env 文件有什么变化？

A：环境变量拆分到了 docker/envs/** 下的分类文件。如果你有自定义 docker-compose.yaml 或 .env，需要检查新布局并重新应用。

Q：SECRET_KEY 有变化吗？

A：显式配置的 SECRET_KEY 继续生效。如果为空，Dify 现在会自动生成并持久化运行时密钥。

写在最后

v1.14.2 是一个扎实的安全和稳定性补丁版本。如果你在用 Dify 跑工作流或者有敏感数据，升级是必须的。Agent 基础架构的初始代码也值得关注，说明 Dify 在 Agent 方向有了更具体的规划。

⏰ 发布：2026-05-12

⭐ 版本：v1.14.1

🆓 费用：免费开源

用 Dify 搭建 AI 应用的朋友们注意了！v1.14.0 刚发布两周，官方就推了一个重量级补丁版。这次的更新重点在安全加固、工作流稳定性和自部署体验优化，作为一个自己部署 Dify 的用户，我觉得这次更新非常值得升级。

🔥 这次更新了什么？

🔐 安全加固（重点！）

这次安全更新是重中之重，涉及多个关键修复：

1. 自部署 SECRET_KEY 不再依赖公共默认值

之前 Docker 部署时 SECRET_KEY 如果留空，用的是公开的默认密钥，安全性堪忧。现在改为自动生成并持久化运行时密钥，已经有自定义配置的不受影响。👍 这个改动对自部署用户来说太重要了。

2. 内部监控端点保护

/threads 和 /db-pool-stat 端点加固，防止未认证暴露内部运行时和数据库连接池详情。

3. 账号和工具隔离修复

修复了 GET /account/avatar 的 IDOR 漏洞，以及内置工具默认凭证清理范围限定到当前租户。

4. 依赖安全升级

升级 LiteLLM（修复 CVE-2026-42208），以及 urllib3、gunicorn、gitpython、mako 等多个后端依赖。

🧩 工作流和知识库稳定性

工作流方面修复了不少 v1.14.0 引入的回归问题：

1. 恢复了通过后端 API 加载工作流版本的功能

2. 修复大型应用列表的在线用户轮询问题

3. 修复预览 resize observer 死循环

4. 修复变量引用选择器无法选择子变量的问题

5. 问题分类器新增可编辑的分类标签 🎉

6. 人工介入（HITL）流程现在会暴露选中的操作值

知识库方面：修复了图片渲染失败、空文档向量嵌入跳过、RAG 去重使用 doc_id 等问题。

⚙️ 部署体验优化

对自部署用户来说，这次有几个好消息：

1. Docker 环境变量拆分 — Compose 环境变量按类别拆分到 docker/envs/** 文件，管理更清晰

2. WebSocket 服务独立 — WebSocket 从主服务分离，部署更灵活

3. 数据库连接池优化 — 新增 SQLALCHEMY_POOL_RESET_ON_RETURN 配置

4. Explore 分类可配置 — 推荐应用支持多分类和自定义排序

🎨 前端 UI 迁移

继续推进向 @langgenius/dify-ui 组件库的迁移，包括 Drawer、Tabs、ToggleGroup、Autocomplete、Combobox 等新组件。无障碍访问（a11y）也有改善。

✅ 适合哪些人？

✅ 自部署用户：SECRET_KEY 加固 + Docker 环境变量拆分，必升！

✅ 工作流重度用户：修复了多个 v1.14.0 回归 bug，稳定性提升明显

✅ 知识库/RAG 用户：图片渲染、去重、索引都有修复

⚠️ 云服务用户：大部分修复对云版影响不大，但安全方面官方应该会同步处理

🛠️ 快速上手

Docker Compose 升级步骤：

# 1. 备份配置
cd docker
cp docker-compose.yaml docker-compose.yaml.bak
cp .env .env.bak 2>/dev/null || true

# 2. 切换到新版本
git fetch --tags
git checkout 1.14.1

# 3. 停止服务
docker compose down

# 4. 备份数据
tar -cvf volumes-backup.tgz volumes

# 5. ⚠️ 检查新的 docker/envs/** 目录，重新应用自定义配置

# 6. 启动
docker compose up -d

源码部署升级：

git fetch --tags
git checkout 1.14.1
cd api
uv sync
uv run flask db upgrade
# 重启 API、Worker 和 Web 服务

❓ 常见问题

Q：升级会丢数据吗？

A：有数据库迁移脚本，正常升级不会丢数据。但建议升级前备份 volumes 目录，以防万一。

Q：Docker 环境变量变了，需要怎么处理？

A：环境变量现在拆分到 docker/envs/** 目录下。如果你之前自定义过 .env，需要对照新目录结构重新应用你的配置。建议先看看新文件再改。

Q：SECRET_KEY 加固会影响现有部署吗？

A：已经配置了自定义 SECRET_KEY 的部署不受影响。如果之前是空的，升级后会自动生成并持久化。

写在最后

v1.14.1 虽然是补丁版，但安全修复的分量不轻。我自己就是 Docker 自部署用户，SECRET_KEY 那个问题之前一直觉得不太对劲，这次终于解决了。工作流方面的回归修复也很及时，v1.14.0 升级后如果遇到过工作流版本加载失败、变量选择器异常等问题的朋友，这次应该能解决。

👉 项目地址：github.com/langgenius/dify

#Dify #版本更新 #AI应用平台 #LLMOps #安全加固 #工作流