1. 漏洞核心:不设防的本地服务器
OpenCode 在运行时会自动启动一个本地 HTTP 服务器,用于处理 AI 代理与系统终端之间的交互。
-
根本原因:该服务器在设计上完全缺失了身份验证机制(CWE-306)。
-
暴露风险:它不仅接受来自本地的请求,还因为配置了极其宽松的 CORS(跨源资源共享) 策略,导致外部恶意网站也能向这个本地接口发送指令。
2. 攻击场景:从浏览网页到系统沦陷
这个漏洞最危险的地方在于它的触发门槛极低。典型的攻击链如下:
-
受害者运行 OpenCode:用户启动 AI 编程助手进行代码开发。
-
诱导访问恶意网页:攻击者通过钓鱼邮件、论坛链接等方式,诱导受害者在浏览器中打开一个看似普通的网页。
-
跨站指令执行:该恶意网页后台运行的一段 JS 代码会尝试向
http://localhost:[端口]发送请求。由于 OpenCode 没有任何认证逻辑且允许跨域,它会忠实地执行网页发来的 shell 命令。 -
夺取权限:命令以运行 OpenCode 的用户权限执行。如果用户是以管理员或 Root 身份运行的,攻击者将直接获得系统的最高控制权。
3. 漏洞技术细节对照表
| 项目 | 详情 |
| 影响版本 | OpenCode < v1.0.216 |
| CVSS 评分 | 8.8 (High) |
| 漏洞类型 | 缺失身份验证 (CWE-306) / 暴露危险函数 (CWE-749) |
| 攻击向量 | 网络 (Network) – 无需凭证,但通常需要用户配合(如点击链接) |
| 主要后果 | 未经身份验证的远程代码执行 (RCE) |
4. 报道建议:与 Langflow 漏洞的对比
在写报道时,你可以对比这两个 2026 年的高危漏洞,以提升深度:
-
Langflow (CVE-2026-5027):利用的是文件处理逻辑错误(路径遍历),更像是一种“强行破窗而入”的写入攻击。
-
OpenCode (CVE-2026-22812):利用的是架构设计缺陷(完全没有门锁),更像是一个“敞开的大门”,让任何路过的人(恶意网页)都能进来发号施令。
5. 专家防御建议
针对此类 AI 工具的漏洞,报道中可以给出以下安全贴士:
-
立即升级:确保 OpenCode 版本不低于 1.0.216。
-
谨慎权限:绝对不要以 Root 或 Administrator 身份运行 AI 编程助手。
-
网络隔离:如果不需要远程协作,通过防火墙限制该工具的本地端口仅允许
127.0.0.1访问,并检查 CORS 设置。
报道总结:
“当 AI 代理成为开发者的左膀右臂时,CVE-2026-22812 提醒我们:一个没有‘门禁’的 AI 助手,本质上就是你亲手为黑客打开的一扇系统后门。”
暂无评论内容