English | 简体中文 | 繁體中文 | 한국어 | Deutsch | Español | Français | Italiano | Dansk | 日本語 | Polski | Русский | Bosanski | العربية | Norsk | Português (Brasil) | ไทย | Türkçe | Українська | বাংলা | Ελληνικά | Tiếng Việt
เราไม่รับรายงานด้านความปลอดภัยที่ AI สร้างขึ้น เราได้รับจำนวนมากและไม่มีทรัพยากรที่จะตรวจสอบทั้งหมดอย่างแน่นอน การส่งเข้ามาจะส่งผลให้ถูกแบนจากโครงการโดยอัตโนมัติ
OpenCode เป็นผู้ช่วยเขียนโค้ดที่ขับเคลื่อนด้วย AI ซึ่งทำงานในเครื่องของคุณ มีระบบเอเจนต์ที่เข้าถึงเครื่องมือที่มีประสิทธิภาพรวมถึงการรันเชลล์ การดำเนินการกับไฟล์ และการเข้าถึงเว็บ
OpenCode ไม่ได้ จำกัดเอเจนต์ใน sandbox ระบบสิทธิ์มีอยู่เป็นคุณสมบัติ UX เพื่อช่วยให้ผู้ใช้ตระหนักถึงสิ่งที่เอเจนต์กำลังทำ — จะขอคำยืนยันก่อนจะเรียกใช้คำสั่ง เขียนไฟล์ ฯลฯ อย่างไรก็ตาม ไม่ได้ออกแบบมาเพื่อให้การแยกตัวด้านความปลอดภัย
หากต้องการการแยกตัวจริงๆ ให้รัน OpenCode ภายในคอนเทนเนอร์ Docker หรือ VM
โหมดเซิร์ฟเวอร์เป็นแบบ opt-in เท่านั้น เมื่อเปิดใช้งาน ให้ตั้งค่า OPENCODE_SERVER_PASSWORD เพื่อบังคับใช้ HTTP Basic Auth หากไม่ตั้ง เซิร์ฟเวอร์จะทำงานโดยไม่มีการรับรองตัวตน (พร้อมคำเตือน) เป็นความรับผิดชอบของผู้ใช้ปลายทางที่จะรักษาความปลอดภัยเซิร์ฟเวอร์ — ฟังก์ชันใดก็ตามที่มันให้ไว้ไม่ใช่ช่องโหว่
| หมวดหมู่ | เหตุผล |
|---|---|
| การเข้าถึงเซิร์ฟเวอร์เมื่อเปิดใช้งาน | หากคุณเปิดโหมดเซิร์ฟเวอร์ การเข้าถึง API ถือเป็นพฤติกรรมที่คาดหวัง |
| การหลบหนีจาก sandbox | ระบบสิทธิ์ไม่ใช่ sandbox (ดูด้านบน) |
| การจัดการข้อมูลของผู้ให้บริการ LLM | ข้อมูลที่ส่งไปยังผู้ให้บริการ LLM ที่กำหนดค่าไว้ของคุณอยู่ภายใต้นโยบายของพวกเขา |
| พฤติกรรมของเซิร์ฟเวอร์ MCP | เซิร์ฟเวอร์ MCP ภายนอกที่คุณกำหนดค่าอยู่นอกขอบเขตความเชื่อถือของเรา |
| ไฟล์การตั้งค่าที่เป็นอันตราย | ผู้ใช้ควบคุมการตั้งค่าของตนเอง; การแก้ไขไม่ใช่เวกเตอร์การโจมตี |
เราขอขอบคุณความพยายามของคุณในการเปิดเผยสิ่งที่ค้นพบอย่างมีความรับผิดชอบ และจะพยายามอย่างสุดความสามารถในการยกย่องการมีส่วนร่วมของคุณ
ในการรายงานปัญหาความปลอดภัย กรุณาใช้แท็บ GitHub Security Advisory "Report a Vulnerability"
ทีมงานจะส่งคำตอบที่ระบุขั้นตอนถัดไป หลังจากตอบกลับครั้งแรก ทีมความปลอดภัยจะแจ้งให้คุณทราบเกี่ยวกับความคืบหน้าในการแก้ไขและประกาศเต็มรูปแบบ และอาจขอข้อมูลเพิ่มเติม
หากคุณไม่ได้รับการยืนยันภายใน 6 วันทำการ คุณสามารถส่งอีเมลถึง [email protected]