English | 简体中文 | 繁體中文 | 한국어 | Deutsch | Español | Français | Italiano | Dansk | 日本語 | Polski | Русский | Bosanski | العربية | Norsk | Português (Brasil) | ไทย | Türkçe | Українська | বাংলা | Ελληνικά | Tiếng Việt
Nie akceptujemy raportów bezpieczeństwa generowanych przez SI. Otrzymujemy ich dużo i absolutnie nie mamy zasobów, by przejrzeć wszystkie. Zgłoszenie takiego raportu skutkuje automatycznym banem z projektu.
OpenCode to asystent programowania oparty na SI, który działa lokalnie na Twoim komputerze. Oferuje system agentów z dostępem do potężnych narzędzi, w tym wykonywania powłoki, operacji na plikach i dostępu do sieci.
OpenCode nie umieszcza agenta w sandboxie. System uprawnień istnieje jako funkcja UX, aby pomóc użytkownikom być świadomymi działań agenta — prosi o potwierdzenie przed wykonaniem poleceń, zapisem plików itp. Nie jest jednak zaprojektowany do zapewniania izolacji bezpieczeństwa.
Jeśli potrzebujesz prawdziwej izolacji, uruchom OpenCode wewnątrz kontenera Docker lub maszyny wirtualnej.
Tryb serwera jest wyłącznie opt-in. Po włączeniu ustaw OPENCODE_SERVER_PASSWORD, aby wymagać HTTP Basic Auth. Bez tego serwer działa bez uwierzytelniania (z ostrzeżeniem). Zabezpieczenie serwera jest obowiązkiem użytkownika końcowego — jakakolwiek funkcjonalność, którą oferuje, nie jest podatnością.
| Kategoria | Uzasadnienie |
|---|---|
| Dostęp do serwera po opt-in | Jeśli włączysz tryb serwera, dostęp do API jest oczekiwanym zachowaniem |
| Ucieczki z sandboxa | System uprawnień nie jest sandboxem (patrz wyżej) |
| Obsługa danych przez dostawcę LLM | Dane wysyłane do skonfigurowanego dostawcy LLM podlegają jego polityce |
| Zachowanie serwerów MCP | Zewnętrzne serwery MCP, które konfigurujesz, znajdują się poza naszą granicą zaufania |
| Złośliwe pliki konfiguracyjne | Użytkownicy kontrolują własną konfigurację; jej modyfikacja nie jest wektorem ataku |
Doceniamy wysiłki odpowiedzialnego ujawniania znalezisk i dołożymy wszelkich starań, aby docenić Twój wkład.
Aby zgłosić problem bezpieczeństwa, użyj zakładki GitHub Security Advisory "Report a Vulnerability".
Zespół prześle odpowiedź wskazującą kolejne kroki. Po pierwszej odpowiedzi zespół bezpieczeństwa będzie Cię informował o postępach w kierunku poprawki i pełnego ogłoszenia oraz może prosić o dodatkowe informacje.
Jeśli nie otrzymasz potwierdzenia w ciągu 6 dni roboczych, możesz wysłać e-mail na [email protected]