加载失败
OpenCode(一个由 AnomalyCo 维护、并尝试商业化的开源终端 agent 框架/runner)被发现会在本地启动未经认证的 HTTP 服务,导致可通过特定端点触发命令执行形成 RCE。研究者在 2025-11-17 上报后多次联系未获及时回应,维护者后来承认邮件被投递到未监控的仓库、补上 SECURITY.md 并在收到通知后修复、开始建立 CVE 流程与 security.txt。讨论围绕披露透明度(厂商 advisory vs 公开事后分析)、是否优先做审计/bug bounty 还是组织改造与培训(参照 OWASP Top10)、以及用户通过 dev-container(VSCode 的 devcontainer)、Docker/Podman、gVisor 等沙箱手段降低风险。技术争议还集中在用 HTTP/TCP 作为通信通道是否不当、CORS 策略与浏览器差异是否放大攻击面,以及项目商业化与维护失误(如误提交订阅邮箱)对信任的长期影响。
维护者承认对安全报告处理不力,称项目增长迅速导致团队不堪重负,正在寻求顾问并争取资金设立 bug bounty 和审计。研究者在 2025-11-17 报告后多次联系未获及时回应,维护方后来解释部分邮件投递到未监控的仓库且主仓库缺少 SECURITY.md,问题在被告知后立即修复并开始学习 CVE 流程与建立披露渠道。社区批评“静默修复/仅作厂商 advisory”的做法,要求公开事后分析与明确通知受影响用户,否则会被视为不重视安全。维护方已发布修复(如 v1.1.15、默认禁用本地服务并增加密码等措施),但透明度与流程建设仍被广泛质疑。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8] [来源9]
核心技术问题是 OpenCode 在本地启动未经认证的 HTTP 服务(可见路由如 session/:id/shell、session/:id/bash),允许同机进程或特定网页触发命令执行,构成本地/远程 RCE。历史上 CORS 配置曾开放(如 "*" 或将 app.opencode.ai 列为允许来源),这使得网页能够绕过同源策略访问本地服务;维护方的初步修补仅限制来源,但并不能完全阻断本地或网络侧的恶意代码利用。与 Neovim headless(默认使用命名管道/域套接字并警告 TCP 不安全)和 VSCode remote(基于 SSH 的认证)相比,选择 HTTP/TCP 作为通信通道放大了被浏览器及网络代理利用的风险。此外,浏览器行为不一致(Chrome 的 localhost 限制并非标准,Safari/Firefox 行为不同)及运行权限(例如以 root 运行)都会显著改变漏洞后果,故严重性依赖部署环境与浏览器实现。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8] [来源9] [来源10] [来源11] [来源12] [来源13] [来源14]
社区对投入方向存在分歧:有观点认为单纯花钱做 bug bounty 或审计并不能从根源杜绝问题,应把钱花在重组管理、工程师培训并落实安全设计原则(参考 OWASP Top10 2025 的 Insecure Design)。也有人指出,若报告渠道和响应机制存在漏洞,设立 bug bounty 可以集中并激励研究者上报,从而弥补发现与响应的短板。普遍建议包括尽快建立 security.txt(.well-known/security.txt)、规范 CVE 披露流程并发布完整的事后分析;同时有人建议探索用 LLM 在可审计、无日志环境中做报告初筛以减少噪声并加速 triage。批评者提醒:若组织文化和发布流程不改,单次审计或赏金很可能收效甚微,长期应着眼流程改造与持续改进。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8]
许多评论给出可操作的防护建议:将 OpenCode 放入 dev-container(VSCode 的 devcontainer)、Docker/Podman 容器、VM 或远程 VPS 中运行,或使用 gVisor(Google 的用户态沙箱运行时)和 quickemu 等工具进行隔离,以避免默认在宿主机上暴露未认证的本地服务。实操手段包括通过 SSHFS、tmux、远程主机或受限网络命名空间镜像文件系统,并使用容器快照来回滚风险操作;容器化还能降低供应链攻击面。浏览器端还可启用类似 Network Boundary Shield 或 uBlock Origin 的“阻止外部网页访问 LAN”规则来限制网页对本地端口的探测。总体共识是把高权限 agent 放入受控沙箱,而不是在宿主机以默认配置直接运行。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8] [来源9] [来源10]
项目的商业化与治理失误加剧了信任危机:社区注意到该项目有 YC/backing 和订阅计划,但同时曝出误提交订阅者邮箱等疏漏,且仓库存在大量未处理 issue/PR,令部分人对其维护能力与安全态度产生怀疑。有人认为项目把快速迭代和新功能优先于安全修复,促使部分用户转向或寻求替代实现(如 aider、ampcode、Crush、cecli 等社区分叉或替代方案)。因此讨论不仅是技术漏洞本身,也涉及开源治理、商业化压力下的安全取舍与用户是否应“用脚投票”。若想恢复信任,评论者要求更严格的流程、公开透明的事后分析以及更稳健的维护策略。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8]
RCE: Remote Code Execution,远程/本地代码执行漏洞:攻击者能触发并执行任意代码,若本地服务无认证或被网页触达即可成为严重安全事件。
CORS: Cross-Origin Resource Sharing,浏览器跨源资源共享策略:错误或过宽的 CORS 配置(如 "*" 或不当允许来源)会让恶意网页访问本地 HTTP 接口。
security.txt: .well-known/security.txt 的规范文件,用于公开安全联系人与漏洞报告渠道,便于研究者正确提交漏洞通知。
CVE: Common Vulnerabilities and Exposures,通用漏洞编号与披露流程,用于统一跟踪和通告严重漏洞。
dev-container / devcontainer: VSCode 的开发容器配置(dev-container),在隔离的容器环境中运行开发工具以减少对宿主机的权限暴露。
gVisor: gVisor(Google 的用户态沙箱运行时),提供容器级别的系统调用过滤与隔离,降低容器逃逸与本地 RCE 风险。
命名管道 / 域套接字 (named pipe / domain socket): 本地进程间通信机制,相比监听 TCP 端口更难被浏览器或网络请求触达,是减少本地网络暴露的一种做法。
TUI: Text-based User Interface,终端/文本界面程序。用户通常信任 TUI 不会在后台启动网络服务,因此在 TUI 中静默启动 HTTP 服务更具误导性。
OWASP Top10: OWASP Top10(开放 Web 应用安全项目常见风险清单),用于指导开发者识别与防范常见 Web 安全风险,如 Insecure Design、Broken Access Control 等。