## OpenCode 安全漏洞总结 OpenCode，一个开源编码代理框架，最近披露了一个严重远程代码执行（RCE）漏洞。早期版本无意中启动了一个服务器，允许任何访问的网站在用户机器上执行命令。 建议用户更新到v1.1.10或更高版本。 维护者承认对最初的安全报告反应迟缓，原因是快速增长和问题超负荷。他们计划实施漏洞赏金计划、安全审计以及改进安全报告的处理。 讨论强调了对反应延迟的担忧、修复前被利用的可能性，以及在运行此类工具时需要强大的沙箱（如gvisor）。 建议用户考虑在容器或虚拟机中运行OpenCode以提高安全性。 该事件还引发了关于快速功能开发与安全最佳实践之间的平衡，以及开发人员优先考虑安全的责任的争论。 几位用户推荐了替代的、更安全的AI编码工具。