← Zurück zum KI-AbhängigkeitsatlasExaktes Repository-Lieferkettendossier

Chat

f13/microservices/chat
pypi

Dieses Dossier bewahrt 20 exakte Komponentenvorkommen aus 2 veröffentlichten Evidenzdateien an einem unveränderlichen Repository-Commit.

opencode:5711a93870fdf9bdProjekt-ID + Commit-SHA + exakter Evidenzpfad

Veröffentlichte Abhängigkeitsevidenz belegt weder Betrieb noch produktive Nutzung, Beschaffung oder Erreichbarkeit zur Laufzeit.

Projekt-ID + Commit-SHA + exakter Evidenzpfad
20exakte Komponentenvorkommen
10Paketidentitäten
2Evidenzdateien
13zurückgegebene OSV-Meldungen
Exakte veröffentlichte Evidenz

Dateien, die Abhängigkeiten dieses Repositories auflösen

Jede Datei bleibt mit dem beobachteten Commit verknüpft. Ein Parserfehler bleibt sichtbar und wird nie zu einer Null.

Beobachtete Beziehungen

Paketidentitäten an diesem Commit

pypiLangChain Corepypi:langchain-core
2 Vorkommen1.4.6 · 1.4.8
MIT7 zurückgegebene OSV-Meldungen
pypiLangChainpypi:langchain
2 Vorkommen1.3.11 · 1.3.8
MIT3 zurückgegebene OSV-Meldungen
pypiLangGraphpypi:langgraph
2 Vorkommen1.2.4 · 1.2.7
MIT2 zurückgegebene OSV-Meldungen
pypiLangChain OpenAIpypi:langchain-openai
2 Vorkommen1.3.0 · 1.3.3
MIT1 zurückgegebene OSV-Meldung
pypiOpenAI SDKpypi:openai
2 Vorkommen2.41.1 · 2.44.0
Apache-2.0
pypiLangChain · Linkuppypi:langchain-linkup
2 Vorkommen0.2.1
MIT
pypiLangChain · MCP Adapterspypi:langchain-mcp-adapters
2 Vorkommen0.3.0
MIT
pypiLangChain · Protocolpypi:langchain-protocol
2 Vorkommen0.0.16 · 0.0.18
MIT
pypiLangChain · Tavilypypi:langchain-tavily
2 Vorkommen0.2.18
MIT
pypitiktokenpypi:tiktoken
2 Vorkommen0.13.0
non-standard
OSV

Zugehörige OSV-Meldungen

GHSA-2g6r-c272-w58r

LangChain affected by SSRF via image_url token counting in ChatOpenAI.get_num_tokens_from_messages

2 Repositories13. Juli 2026
GHSA-3644-q5cj-c5c7

LangSmith SDK: Public prompt pull deserializes untrusted manifests without trust boundary warning

3 Repositories13. Juli 2026
GHSA-5chr-fjjv-38qv

langchain-core allows unauthorized users to read arbitrary files from the host file system

1 Repository07. Juli 2026
GHSA-6qv9-48xg-fc7f

LangChain Vulnerable to Template Injection via Attribute Access in Prompt Templates

1 Repository07. Juli 2026
GHSA-926x-3r5x-gfhw

LangChain has incomplete f-string validation in prompt templates

2 Repositories13. Juli 2026
GHSA-c67j-w6g6-q2cm

LangChain serialization injection vulnerability enables secret extraction in dumps/loads APIs

1 Repository02. Juli 2026
GHSA-g48c-2wqr-h844

LangGraph checkpoint loading has unsafe msgpack deserialization

3 Repositories06. Juni 2026
GHSA-gr75-jv2w-4656

LangChain: Path traversal and sandbox escape in LangChain file-search middleware and loaders

4 Repositories13. Juli 2026
GHSA-pjwx-r37v-7724

LangChain vulnerable to unsafe deserialization of attacker-controlled objects through overly broad `load()` allowlists

2 Repositories13. Juli 2026
GHSA-qh6h-p6c9-ff54

LangChain Core has Path Traversal vulnerabilites in legacy `load_prompt` functions

2 Repositories13. Juli 2026
GHSA-r7w7-9xr2-qq2r

langchain-openai: Image token counting SSRF protection can be bypassed via DNS rebinding

2 Repositories06. Juni 2026
GHSA-w39p-vh2g-g8g5

LangGraph SDK has unsafe URL path construction

2 Repositories13. Juli 2026
PYSEC-2024-323

Nicht gemeldet

1 Repository13. Juli 2026
Interpretationsgrenze

Exakte Identitäten hinein, klare Grenzen hinaus

Der Collector liest begrenzte Lockfiles, SBOMs und exakte Doppelgleich-Pins an einem unveränderlichen Commit. Versionsbereiche werden nie durch Annahmen aufgelöst.

Abruf, Parsing, Zuordnung und Veröffentlichung verwenden kein generatives KI-Modell.

i6eal (2026): Chat – exaktes KI-Abhängigkeitsevidenz-Dossier, Datenstand 19. Juli 2026. https://i6eal.de/tools/ki-abhaengigkeitsatlas/repository/opencode-5711/

So liest du dieses Dossier

Belegt dieses Repository-Dossier einen Betrieb?
Nein. Es dokumentiert veröffentlichte Abhängigkeiten an einem beobachteten Commit – keine eingesetzte Umgebung.
Warum sind exakte Versionen erforderlich?
OSV- und Registermetadaten lassen sich nur mit einem beobachteten paket@version-Tupel reproduzierbar verknüpfen. Der Collector ersetzt einen Versionsbereich nie durch das neueste Release.
Bedeutet eine fehlende Zeile, dass die Abhängigkeit nicht existiert?
Nein. Sie bedeutet nur „in den begrenzten Dateien und am Repository-Prüfpunkt nicht beobachtet“. Unvollständige Bäume und Parserfehler bleiben ausdrücklich sichtbar.

Du brauchst einen dauerhaften Abhängigkeitsevidenzpfad für eine andere öffentliche Code-Kohorte?

Wir bauen quellenbasierte Datenprodukte mit stabilen Identitäten, reproduzierbaren Verknüpfungen und sichtbaren Aussagegrenzen.

Datenprojekt besprechenAlle Tools ansehen