Der OpenCode-Entwickler thdxr hat die Behebung einer kritischen Sicherheitslücke bekannt gegeben, die von einem Cloudflare-Sicherheitsforscher entdeckt wurde. Die Schwachstelle betraf einen Parameter im Web-Frontend, der ausgenutzt werden konnte, um Benutzer auf bösartige Server umzuleiten. Durch das Einbetten von Inline-Skripten in gefälschten Markdown-Sitzungen konnten Angreifer Benutzer dazu verleiten, auf Links zu klicken, die über die Terminal-API beliebige Befehle auf ihren Computern ausführen. Die offizielle Lösung umfasst das Deaktivieren des Parameters, das Hinzufügen von CSP-Headern und die Durchsetzung der Passwortüberprüfung. Der Gründer von DeFiLlama, 0xngmi, kommentierte das Problem und stellte fest, dass eine ähnliche Schwachstelle zuvor in Cursor gefunden wurde, die die Ausführung beliebigen Codes auf jedem Computer mit installierter Software ermöglichte. Er vermutete, dass der Druck durch den Wettbewerb im Bereich KI zu Sicherheitslücken bei der Produktlieferung geführt haben könnte.