OpenCode, açık kaynaklı bir yapay zeka kodlama asistanı, kritik bir uzaktan kod çalıştırma (RCE) güvenlik açığına sahip olduğu tespit edildi. Bu güvenlik açığı, OpenCode'un başlangıçta otomatik olarak bir HTTP sunucusu (varsayılan olarak 4096+ portunda) başlatmasıyla ilgili. 1.1.10 sürümünden önce bu sunucu varsayılan olarak etkin durumdaydı; bu sürümden sonra ise varsayılan olarak devre dışı bırakıldı ancak komut satırı argümanları veya yapılandırma dosyası aracılığıyla manuel olarak etkinleştirilebiliyor. Bu sunucu herhangi bir kimlik doğrulama mekanizmasına sahip olmadığı için, sunucuya bağlanabilen herhangi bir istemci, OpenCode'u çalıştıran kullanıcının ayrıcalıklarıyla tam kod çalıştırma yeteneği kazanıyor. Kullanıcılar, sunucunun çalıştığına dair herhangi bir görsel gösterge olmadığı için bu durumdan habersiz kalabiliyor.
Güvenlik açığı, çeşitli saldırı vektörlerine yol açıyor. Örneğin, OpenCode sunucusu etkin olduğunda, yerel makinedeki herhangi bir işlem veya localhost/127.0.0.1 adresinden sunulan herhangi bir web sayfası, kimlik doğrulaması olmadan kod çalıştırabilir. Ayrıca, --mdns bayrağı ile çalıştırıldığında, yerel ağdaki herhangi bir makine de kod çalıştırabilir. En endişe verici durumlardan biri ise, *.opencode.ai adresinin izin verilen bir kaynak olarak ayarlanmış olmasıdır. Bu, opencode.ai alan adının veya alt alan adlarının ele geçirilmesi ya da bir XSS güvenlik açığı bulunması durumunda, saldırganların sunucuyu etkinleştirmiş tüm OpenCode kullanıcılarını istismar edebileceği anlamına geliyor.
OpenCode geliştiricileri, bazı erken sürümlerdeki CORS sorunlarını ve sunucunun varsayılan olarak etkin olmasını düzeltti. Ancak, sunucu manuel olarak etkinleştirildiğinde kimlik doğrulama eksikliği ve bunun getirdiği uzaktan kod çalıştırma riski hala devam ediyor. Kullanıcıların, OpenCode sunucusunu yalnızca güvenli ortamlarda veya hiç etkinleştirmemeleri şiddetle tavsiye ediliyor. Bu durum, açık kaynaklı projelerde güvenlik denetimlerinin ve varsayılan güvenlik ayarlarının önemini bir kez daha ortaya koyuyor.
OpenCode kullanıcılarının, kimlik doğrulaması olmayan bir sunucu aracılığıyla uzaktan kod çalıştırma riskine maruz kalması, kişisel verileri ve sistem bütünlüğünü ciddi şekilde tehlikeye atabilir.