English | 简体中文 | 繁體中文 | 한국어 | Deutsch | Español | Français | Italiano | Dansk | 日本語 | Polski | Русский | Bosanski | العربية | Norsk | Português (Brasil) | ไทย | Türkçe | Українська | বাংলা | Ελληνικά | Tiếng Việt
Ne prihvatamo izvještaje o sigurnosti generisane pomoću AI. Primamo ih veliki broj i apsolutno nemamo resurse da ih sve pregledamo. Slanje takvog izvještaja rezultira automatskom zabranom pristupa projektu.
OpenCode je AI-pokretani asistent za kodiranje koji se izvršava lokalno na vašoj mašini. Pruža agentski sistem s pristupom moćnim alatima uključujući izvršavanje shell-a, operacije nad datotekama i web pristup.
OpenCode ne stavlja agenta u sandbox. Sistem dozvola postoji kao UX funkcija da pomogne korisnicima da budu svjesni šta agent radi — traži potvrdu prije izvršavanja naredbi, pisanja datoteka itd. Međutim, nije dizajniran da pruži sigurnosnu izolaciju.
Ako trebate stvarnu izolaciju, pokrenite OpenCode unutar Docker kontejnera ili VM-a.
Serverski režim je isključivo opt-in. Kad je omogućen, postavite OPENCODE_SERVER_PASSWORD kako biste zahtijevali HTTP Basic Auth. Bez toga server radi bez autentifikacije (uz upozorenje). Odgovornost je krajnjeg korisnika da zaštiti server — bilo koja funkcionalnost koju pruža nije ranjivost.
| Kategorija | Obrazloženje |
|---|---|
| Serverski pristup kad je omogućen | Ako omogućite serverski režim, API pristup je očekivano ponašanje |
| Bijeg iz sandboxa | Sistem dozvola nije sandbox (vidi iznad) |
| Obrada podataka od LLM pružaoca | Podaci poslani vašem konfigurisanom LLM pružaocu regulisani su njegovim politikama |
| Ponašanje MCP servera | Eksterni MCP serveri koje konfigurišete su izvan naše granice povjerenja |
| Zlonamjerne konfiguracijske datoteke | Korisnici kontrolišu vlastitu konfiguraciju; njezina izmjena nije vektor napada |
Cijenimo vaše napore da odgovorno otkrijete svoje nalaze i učinit ćemo sve što možemo da prepoznamo vaše doprinose.
Za prijavu sigurnosnog problema, koristite karticu GitHub Security Advisory "Report a Vulnerability".
Tim će poslati odgovor s opisom sljedećih koraka. Nakon prvog odgovora, sigurnosni tim će vas obavještavati o napretku prema popravku i punoj objavi i može tražiti dodatne informacije.
Ako ne primite potvrdu unutar 6 radnih dana, možete poslati e-mail na [email protected]