Paperclip закрыл дыру в безопасности: агенты больше не увидят чужие issue-треды

Разработчики Paperclip выпустили патч, который закрывает пробел в авторизации: агенты с узким доступом (по упоминанию) могли получать данные issue-тредов, на чтение которых у них не было прав. Проблема касалась маршрутов GET /api/issues/:id/comments и аналогичного для списка взаимодействий — они не проверяли, может ли агент читать сам issue.

Исправление добавляет явную проверку issue:read перед возвратом thread-данных. Для сценариев с явным упоминанием агента в комментарии доступ сохраняется, но без расширения на другие треды. Также оптимизирована загрузка issue при проверке прав — убрали лишний повторный запрос.

Патч уже включён в canary-сборку v2026.619.0-canary.10. Все тесты пройдены, CI зелёный. Изменение низкорисковое: любая сущность, которая раньше получала данные без права на чтение issue, теперь получит 403.

Обновление особенно важно для компаний, где агенты работают в одном пространстве, но с разными уровнями доступа. Paperclip продолжает улучшать модель безопасности для кросс-агентского взаимодействия.