一、漏洞详情
OpenCode是一个开源的AI编码代理工具,支持在终端、IDE或桌面应用中使用。
近日,监测到官方修复OpenCode远程代码执行漏洞(CVE-2026-22812),该漏洞源于在1.0.216版本之前,OpenCode会默认启动一个未经身份验证的HTTP服务器,允许未经授权的远程攻击者通过本地进程或宽松的CORS策略的网站以用户的权限执行任意shell命令。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Opencode < 1.0.216
三、修复建议
官方已发布安全补丁,请及时更新至最新版本:
Opencode >= 1.0.216
