2026-01-13 00:38:59

OpenCode 最近爆出了一个比较严重的安全问题。Cloudflare 的安全研究员发现，Web 前端支持的某个参数存在被滥用的风险。

具体来说，攻击者可以利用这个参数指向恶意服务器。然后通过伪造 Markdown 会话，在其中嵌入恶意脚本，诱导用户点击相关链接。一旦用户上当，攻击者就能通过终端 API 在用户计算机上执行任意命令。这种攻击方式还是挺隐蔽的，对开发者来说风险不小。

好消息是官方已经迅速推出了修复方案。主要措施包括：禁用了这个有问题的参数，还强化了内容安全策略（CSP），防止恶意脚本的加载。如果你在用相关工具，建议及时更新到最新版本。这类安全补丁还是不能拖的。

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

12 thích

Phần thưởng
12
7
Đăng lại
Retweed

Bình luận

0/400

RugResistant

· 01-15 17:31

ngl chuỗi khai thác opencode này thực sự khá nguy hiểm... thực thi lệnh tùy ý qua tham số markdown? điều đó mang lại cảm giác về các cuộc tấn công chuỗi cung ứng cổ điển. thực tế họ lợi dụng điểm yếu của CSP càng làm tình hình tồi tệ hơn. dù sao thì cảm ơn cloudflare đã phát hiện sớm, nhưng thật sự mọi người cần vá lỗi ngay lập tức

Xem bản gốcTrả lời0

SoliditySurvivor

· 01-13 20:11

Chết rồi, lại là lỗ hổng tham số? Các nhà phát triển thật sự không thể sống nổi, ngày nào cũng phải lo lắng đề phòng Thực thi lệnh tùy ý ai chịu nổi, may mắn là phản ứng của chính phủ nhanh chóng, cập nhật ngay thôi

Xem bản gốcTrả lời0

OnChainSleuth

· 01-13 01:08

Lại là lỗ hổng tham số... lần này còn có thể trực tiếp thực thi lệnh trên máy, thật là đáng sợ Nhanh chóng cập nhật đi các bạn, đừng để bị lừa bởi các script phishing Phản hồi của chính thức cũng khá nhanh, ít nhất là không kéo dài

Xem bản gốcTrả lời0

NFTRegretDiary

· 01-13 01:08

Lại gặp phải lỗi tham số này... các nhà phát triển lại phải làm thêm giờ để vá lỗi, nhanh chóng cập nhật để tránh bị hack

Xem bản gốcTrả lời0

ChainProspector

· 01-13 01:06

Lại là lỗ hổng tham số... các nhà phát triển vẫn cần cẩn thận, loại tấn công ẩn này thật sự khó phòng tránh --- Tôi thật sự không ngờ đến bộ mã độc tích hợp trong Markdown, quá hiểm độc, các bạn nhanh chóng cập nhật đi --- Phản ứng của chính thức khá nhanh, ít nhất không chần chừ, tăng cường CSP đã trở thành thao tác tiêu chuẩn rồi --- API của terminal trực tiếp thực thi lệnh? Nếu bị hack, chìa khóa riêng trong máy tính chẳng phải mất hết sao... --- Xem mức độ phức tạp của lỗ hổng này, cảm giác không chỉ OpenCode cần phòng, các nền tảng khác cũng nên tự kiểm tra lại --- Tôi chỉ muốn biết làm thế nào phát hiện ra thứ này, đội ngũ an ninh của Cloudflare thực sự rất chuyên nghiệp

Xem bản gốcTrả lời0

VitaliksTwin

· 01-13 01:02

Cứ ngỡ rồi, lại là lỗ hổng tham số... Các nhà phát triển thật sự khó khăn, phòng ngừa không kịp Thật là vô lý, trong Markdown cũng có thể chèn mã độc? Trực tiếp thực thi mã từ xa? Ai nghĩ ra được chuyện này Phản ứng của Cloudflare cũng khá nhanh, cấm tham số + tăng cường CSP, chiêu trò vẫn vậy, các bạn nhanh chóng cập nhật nhé

Xem bản gốcTrả lời0

CountdownToBroke

· 01-13 00:56

Trời ơi, lại là lỗ hổng tham số, ngày nay mà không có ý thức về an ninh thật sự không thể sống nổi --- Trong Markdown còn có thể chèn mã độc? Cái này quá tinh vi, tôi còn không nghĩ tới --- Nhanh chóng cập nhật đi, nếu không ngày nào đó máy tính của bạn sẽ bị thực thi từ xa, nghĩ thôi đã rùng mình --- Cloudflare lần này phản ứng khá nhanh, ít nhất là chính thức không chậm trễ --- Lại phải nâng cấp thủ công rồi, loại bản vá này thật sự không thể chờ đợi

Xem bản gốcTrả lời0