吴说获悉，OpenCode 开发者 thdxr披露已于周五修复一个严重安全漏洞。Cloudflare 安全研究员发现，Web 前端支持的参数可被利用指向恶意服务器，通过包含内联脚本的伪造 Markdown 会话，诱导用户点击链接从而通过终端 API 在计算机上执行任意命令。目前官方已发布修复，包括禁用该参数、增加 CSP 头及强制密码验证等。DeFiLlama 创始人 0xngmi 对此评论称，此前 Cursor 也曾曝出允许在任何安装了该软件的电脑上运行任意代码的漏洞，其猜测是人工智能竞赛给产品交付带来了很大的压力，导致安全问题被忽略了。