English | 简体中文 | 繁體中文 | 한국어 | Deutsch | Español | Français | Italiano | Dansk | 日本語 | Polski | Русский | Bosanski | العربية | Norsk | Português (Brasil) | ไทย | Türkçe | Українська | বাংলা | Ελληνικά | Tiếng Việt
Ми не приймаємо звіти з безпеки, згенеровані ШІ. Ми отримуємо велику кількість таких звітів і абсолютно не маємо ресурсів їх переглядати. Подача такого звіту призведе до автоматичного бану з проєкту.
OpenCode — це помічник програмування на базі ШІ, що запускається локально на вашому комп'ютері. Він надає систему агентів з доступом до потужних інструментів: виконання shell, файлових операцій та веб-доступу.
OpenCode не поміщає агент у пісочницю. Система дозволів існує як UX-функція, що допомагає користувачам усвідомлювати дії агента — вона запитує підтвердження перед виконанням команд, записом файлів тощо. Однак не призначена для забезпечення ізоляції безпеки.
Якщо вам потрібна справжня ізоляція, запускайте OpenCode всередині Docker-контейнера або віртуальної машини.
Режим сервера активується лише явно. При ввімкненні встановіть OPENCODE_SERVER_PASSWORD, щоб вимагати HTTP Basic Auth. Без цього сервер працює без автентифікації (з попередженням). Забезпечення безпеки сервера — відповідальність кінцевого користувача, а будь-яка функціональність, яку він надає, не є вразливістю.
| Категорія | Обґрунтування |
|---|---|
| Доступ до сервера при ввімкненні | Якщо ви активуєте режим сервера, доступ до API є очікуваною поведінкою |
| Втечі з пісочниці | Система дозволів не є пісочницею (див. вище) |
| Обробка даних постачальником LLM | Дані, надіслані налаштованому постачальнику LLM, регулюються його політиками |
| Поведінка MCP-серверів | Зовнішні MCP-сервери, які ви налаштовуєте, перебувають за межами нашої довіри |
| Шкідливі конфігураційні файли | Користувачі контролюють власну конфігурацію; її зміна не є вектором атаки |
Ми цінуємо ваші зусилля з відповідального розкриття знахідок і зробимо все можливе, щоб визнати ваш внесок.
Щоб повідомити про проблему безпеки, використовуйте вкладку GitHub Security Advisory "Report a Vulnerability".
Команда надішле відповідь із наступними кроками. Після першої відповіді команда безпеки повідомлятиме вас про прогрес у виправленні та повному оголошенні й може запитати додаткову інформацію.
Якщо ви не отримали підтвердження протягом 6 робочих днів, можете надіслати листа на [email protected]