Le développeur d'OpenCode, thdxr, a annoncé la résolution d'une vulnérabilité critique en matière de sécurité découverte par un chercheur en sécurité de Cloudflare. Cette faille concernait un paramètre du front-end web qui pouvait être exploité pour rediriger les utilisateurs vers des serveurs malveillants. En intégrant des scripts en ligne dans des sessions Markdown falsifiées, les attaquants pouvaient tromper les utilisateurs en les incitant à cliquer sur des liens exécutant des commandes arbitraires sur leurs ordinateurs via l'API terminal. La correction officielle inclut la désactivation du paramètre, l'ajout d'en-têtes CSP et la mise en place d'une vérification par mot de passe. Le fondateur de DeFiLlama, 0xngmi, a commenté le problème, notant qu'une vulnérabilité similaire avait été précédemment détectée dans Cursor, qui permettait l'exécution de code arbitraire sur n'importe quel ordinateur disposant du logiciel installé. Il a émis l'hypothèse que la pression de la concurrence liée à l'IA pourrait avoir conduit à des négligences en matière de sécurité lors de la livraison du produit.