English | 简体中文 | 繁體中文 | 한국어 | Deutsch | Español | Français | Italiano | Dansk | 日本語 | Polski | Русский | Bosanski | العربية | Norsk | Português (Brasil) | ไทย | Türkçe | Українська | বাংলা | Ελληνικά | Tiếng Việt
Мы не принимаем отчёты о безопасности, сгенерированные ИИ. Мы получаем большое количество таких отчётов и абсолютно не имеем ресурсов для их проверки. Отправка такого отчёта приведёт к автоматическому бану из проекта.
OpenCode — это помощник для программирования на базе ИИ, работающий локально на вашей машине. Он предоставляет агентскую систему с доступом к мощным инструментам: выполнению в shell, файловым операциям и веб-доступу.
OpenCode не помещает агента в песочницу. Система разрешений существует как UX-функция, помогающая пользователям осознавать действия агента — она запрашивает подтверждение перед выполнением команд, записью файлов и т. д. Однако она не предназначена для обеспечения изоляции безопасности.
Если вам нужна настоящая изоляция, запускайте OpenCode внутри Docker-контейнера или виртуальной машины.
Серверный режим включается только явно. При включении установите OPENCODE_SERVER_PASSWORD, чтобы требовать HTTP Basic Auth. Без этого сервер работает без аутентификации (с предупреждением). Защита сервера — это ответственность конечного пользователя, а любая предоставляемая им функциональность не является уязвимостью.
| Категория | Обоснование |
|---|---|
| Доступ к серверу при включении | Если вы включаете серверный режим, доступ к API является ожидаемым поведением |
| Побеги из песочницы | Система разрешений не является песочницей (см. выше) |
| Обработка данных LLM-провайдером | Данные, отправляемые настроенному LLM-провайдеру, регулируются его политиками |
| Поведение MCP-серверов | Внешние MCP-серверы, которые вы настраиваете, находятся за пределами нашей границы доверия |
| Вредоносные файлы конфигурации | Пользователи контролируют собственную конфигурацию; её изменение не является вектором атаки |
Мы ценим ваши усилия по ответственному раскрытию находок и сделаем всё возможное, чтобы отметить ваш вклад.
Чтобы сообщить о проблеме безопасности, используйте вкладку GitHub Security Advisory "Report a Vulnerability".
Команда отправит ответ с описанием следующих шагов. После первого ответа команда безопасности будет держать вас в курсе хода исправления и полного анонса и может запросить дополнительную информацию.
Если вы не получите подтверждение в течение 6 рабочих дней, вы можете отправить письмо на [email protected]