PraisonAI: OAuthManager.validate_token() における認証バイパス

PraisonAI はマルチエージェントチームシステムです。バージョン 4.5.97 より前の OAuthManager.validate_token() は、内部ストアに存在しないトークンに対して True を返します。内部ストアはデフォルトでは空です。任意の Bearer トークンを持つ MCP サーバーへの HTTP リクエストは認証済みとして扱われ、登録されているすべてのツールとエージェント機能へのフルアクセスが付与されます。この問題はバージョン 4.5.97 で修正されました。