ngl this opencode exploit chain is actually pretty nasty... arbitrary command execution through a markdown parameter? that's giving classic supply chain attack vibes. the fact they're abusing CSP weaknesses makes it worse honestly. anyway props to cloudflare for catching it early, but seriously people need to patch this immediately
OpenCode 最近爆出了一个比较严重的安全问题。Cloudflare のセキュリティ研究者は、Webフロントエンドがサポートする特定のパラメータに悪用のリスクがあることを発見しました。
具体的には、攻撃者はこのパラメータを悪意のあるサーバーに向けて利用できます。その後、Markdown セッションを偽造し、悪意のあるスクリプトを埋め込み、ユーザーに関連リンクをクリックさせる誘導を行います。ユーザーが騙されると、攻撃者は端末APIを通じてユーザーのコンピュータ上で任意のコマンドを実行できるようになります。この攻撃手法はかなり巧妙で、開発者にとってリスクは大きいです。
良いニュースは、公式が迅速に修正策をリリースしたことです。主な対策は、この問題のあるパラメータを無効化し、コンテンツセキュリティポリシー(CSP)を強化して悪意のあるスクリプトの読み込みを防止することです。関連ツールを使用している場合は、最新バージョンに速やかにアップデートすることをお勧めします。この種のセキュリティパッチは遅らせてはいけません。