English | 简体中文 | 繁體中文 | 한국어 | Deutsch | Español | Français | Italiano | Dansk | 日本語 | Polski | Русский | Bosanski | العربية | Norsk | Português (Brasil) | ไทย | Türkçe | Українська | বাংলা | Ελληνικά | Tiếng Việt
AI tarafından oluşturulan güvenlik raporlarını kabul etmiyoruz. Bunlardan çok sayıda alıyoruz ve hepsini incelemeye kesinlikle kaynağımız yok. Bir tanesini göndermek projeden otomatik yasaklanmanıza neden olur.
OpenCode, makinenizde yerel olarak çalışan AI destekli bir kodlama asistanıdır. Shell yürütme, dosya işlemleri ve web erişimi dahil güçlü araçlara erişimi olan bir ajan sistemi sağlar.
OpenCode ajanı sandbox'a almaz. İzin sistemi, kullanıcıların ajanın ne yaptığının farkında olmasına yardımcı olan bir UX özelliği olarak vardır — komutları yürütmeden, dosya yazmadan vs. önce onay ister. Ancak güvenlik izolasyonu sağlamak için tasarlanmamıştır.
Gerçek izolasyona ihtiyacınız varsa OpenCode'u bir Docker kapsayıcısı veya VM içinde çalıştırın.
Sunucu modu yalnızca opt-in'dir. Etkinleştirildiğinde, HTTP Basic Auth gerektirmek için OPENCODE_SERVER_PASSWORD ayarlayın. Bu olmadan sunucu kimlik doğrulaması olmadan çalışır (uyarı ile). Sunucuyu güvence altına almak son kullanıcının sorumluluğundadır — sağladığı herhangi bir işlevsellik bir güvenlik açığı değildir.
| Kategori | Gerekçe |
|---|---|
| Etkinleştirildiğinde sunucu erişimi | Sunucu modunu etkinleştirirseniz API erişimi beklenen davranıştır |
| Sandbox kaçışları | İzin sistemi bir sandbox değildir (yukarıya bakın) |
| LLM sağlayıcısının veri işlemesi | Yapılandırılmış LLM sağlayıcınıza gönderilen veriler, onların politikalarına tabidir |
| MCP sunucusu davranışı | Yapılandırdığınız harici MCP sunucuları, güven sınırımızın dışındadır |
| Kötü amaçlı yapılandırma dosyaları | Kullanıcılar kendi yapılandırmalarını kontrol eder; onları değiştirmek bir saldırı vektörü değildir |
Bulgularınızı sorumlu bir şekilde açıklama çabanızı takdir ediyoruz ve katkılarınızı kabul etmek için her türlü çabayı göstereceğiz.
Güvenlik sorunu bildirmek için GitHub Security Advisory "Report a Vulnerability" sekmesini kullanın.
Ekip, sonraki adımları belirten bir yanıt gönderecektir. İlk yanıttan sonra güvenlik ekibi, düzeltme ve tam duyuruya doğru ilerlemeler hakkında sizi bilgilendirecek ve ek bilgi isteyebilir.
6 iş günü içinde onay almazsanız [email protected] adresine e-posta gönderebilirsiniz