English | 简体中文 | 繁體中文 | 한국어 | Deutsch | Español | Français | Italiano | Dansk | 日本語 | Polski | Русский | Bosanski | العربية | Norsk | Português (Brasil) | ไทย | Türkçe | Українська | বাংলা | Ελληνικά | Tiếng Việt
Vi aksepterer ikke AI-genererte sikkerhetsrapporter. Vi mottar et stort antall av dem, og vi har absolutt ikke ressursene til å gjennomgå dem alle. Å sende inn en medfører automatisk utestengelse fra prosjektet.
OpenCode er en AI-drevet kodeassistent som kjører lokalt på maskinen din. Den tilbyr et agentsystem med tilgang til kraftige verktøy, inkludert shell-eksekvering, filoperasjoner og web-tilgang.
OpenCode sandkasser ikke agenten. Tillatelsessystemet eksisterer som en UX-funksjon for å hjelpe brukere med å være klar over hva agenten gjør — det ber om bekreftelse før det kjører kommandoer, skriver filer osv. Det er imidlertid ikke designet for å gi sikkerhetsisolering.
Hvis du trenger ekte isolering, kjør OpenCode inne i en Docker-container eller VM.
Servermodus er kun opt-in. Når aktivert, sett OPENCODE_SERVER_PASSWORD for å kreve HTTP Basic Auth. Uten dette kjører serveren uautentisert (med en advarsel). Det er sluttbrukerens ansvar å sikre serveren — enhver funksjonalitet den gir, er ikke en sårbarhet.
| Kategori | Begrunnelse |
|---|---|
| Servertilgang ved opt-in | Hvis du aktiverer servermodus, er API-tilgang forventet atferd |
| Sandkasse-rømming | Tillatelsessystemet er ikke en sandkasse (se over) |
| LLM-leverandørs datahåndtering | Data sendt til din konfigurerte LLM-leverandør er styrt av deres retningslinjer |
| MCP-serveratferd | Eksterne MCP-servere du konfigurerer, er utenfor vår tillitsgrense |
| Ondsinnede konfigurasjonsfiler | Brukere kontrollerer sin egen konfigurasjon; å endre den er ikke en angrepsvektor |
Vi setter pris på innsatsen din for ansvarlig å offentliggjøre funnene dine og vil gjøre alt for å anerkjenne bidragene dine.
For å rapportere et sikkerhetsproblem, bruk fanen GitHub Security Advisory "Report a Vulnerability".
Teamet vil sende et svar med neste skritt. Etter det første svaret vil sikkerhetsteamet holde deg informert om fremgangen mot en løsning og full kunngjøring, og kan be om ytterligere informasjon.
Hvis du ikke mottar en bekreftelse innen 6 virkedager, kan du sende en e-post til [email protected]