English | 简体中文 | 繁體中文 | 한국어 | Deutsch | Español | Français | Italiano | Dansk | 日本語 | Polski | Русский | Bosanski | العربية | Norsk | Português (Brasil) | ไทย | Türkçe | Українська | বাংলা | Ελληνικά | Tiếng Việt
Δεν δεχόμαστε αναφορές ασφαλείας που έχουν δημιουργηθεί από AI. Λαμβάνουμε μεγάλο αριθμό τέτοιων αναφορών και απολύτως δεν έχουμε τους πόρους να τις εξετάσουμε όλες. Η υποβολή μιας θα οδηγήσει σε αυτόματο ban από το έργο.
Το OpenCode είναι ένας AI-powered βοηθός κωδικοποίησης που εκτελείται τοπικά στη μηχανή σας. Παρέχει ένα σύστημα agent με πρόσβαση σε ισχυρά εργαλεία, συμπεριλαμβανομένης της εκτέλεσης shell, των λειτουργιών αρχείων και της πρόσβασης στον ιστό.
Το OpenCode δεν θέτει τον agent σε sandbox. Το σύστημα δικαιωμάτων υπάρχει ως λειτουργία UX για να βοηθήσει τους χρήστες να παραμένουν ενήμεροι για το τι κάνει ο agent — ζητά επιβεβαίωση πριν την εκτέλεση εντολών, την εγγραφή αρχείων κ.λπ. Ωστόσο, δεν είναι σχεδιασμένο να παρέχει απομόνωση ασφαλείας.
Εάν χρειάζεστε πραγματική απομόνωση, εκτελέστε το OpenCode μέσα σε ένα Docker container ή VM.
Η λειτουργία διακομιστή είναι μόνο opt-in. Όταν είναι ενεργοποιημένη, ορίστε OPENCODE_SERVER_PASSWORD για να απαιτήσετε HTTP Basic Auth. Χωρίς αυτό, ο διακομιστής τρέχει μη πιστοποιημένος (με προειδοποίηση). Είναι ευθύνη του τελικού χρήστη να ασφαλίσει τον διακομιστή — κάθε λειτουργικότητα που παρέχει δεν είναι ευπάθεια.
| Κατηγορία | Σκεπτικό |
|---|---|
| Πρόσβαση διακομιστή όταν είναι ενεργοποιημένη | Εάν ενεργοποιήσετε τη λειτουργία διακομιστή, η πρόσβαση API είναι αναμενόμενη συμπεριφορά |
| Διαφυγές sandbox | Το σύστημα δικαιωμάτων δεν είναι sandbox (βλ. παραπάνω) |
| Χειρισμός δεδομένων παρόχου LLM | Τα δεδομένα που αποστέλλονται στον ρυθμισμένο πάροχο LLM διέπονται από τις πολιτικές του |
| Συμπεριφορά διακομιστή MCP | Οι εξωτερικοί διακομιστές MCP που ρυθμίζετε βρίσκονται εκτός του ορίου εμπιστοσύνης μας |
| Κακόβουλα αρχεία ρυθμίσεων | Οι χρήστες ελέγχουν τη δική τους ρύθμιση· η τροποποίησή της δεν είναι διάνυσμα επίθεσης |
Εκτιμούμε τις προσπάθειές σας να αποκαλύψετε υπεύθυνα τα ευρήματά σας και θα κάνουμε κάθε προσπάθεια να αναγνωρίσουμε τη συνεισφορά σας.
Για να αναφέρετε ένα θέμα ασφαλείας, χρησιμοποιήστε την καρτέλα GitHub Security Advisory "Report a Vulnerability".
Η ομάδα θα στείλει μια απάντηση που υποδεικνύει τα επόμενα βήματα. Μετά την αρχική απάντηση, η ομάδα ασφαλείας θα σας ενημερώνει για την πρόοδο προς τη διόρθωση και την πλήρη ανακοίνωση και μπορεί να ζητήσει επιπλέον πληροφορίες.
Εάν δεν λάβετε επιβεβαίωση εντός 6 εργάσιμων ημερών, μπορείτε να στείλετε email στο [email protected]