Een kwetsbaarheid in AI coding agent OpenCode zorgt ervoor dat websites willekeurige code op het systeem van gebruikers kunnen uitvoeren, zonder dat hiervoor enige interactie is vereist. De ontwikkelaars hebben een nieuwe versie uitgebracht waarin het probleem is verholpen. Volgens onderzoeker Vladimir Panteleev is het probleem, aangeduid als CVE-2026-22812, stilletjes gepatcht.

OpenCode is een open source AI-assistent die programmeurs helpt bij het schrijven van code. Voor versie 1.0.216 startte OpenCode automatisch een ongeauthenticeerde HTTP server die het mogelijk maakt voor elke willekeurige website om willekeurige code op het systeem van gebruikers uit te voeren, zonder dat hiervoor enige interactie van gebruikers of een bepaalde configuratie is vereist. Enige voorwaarde is dat OpenCode draait, aldus Panteleev. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8.

De oplossing die werd doorgevoerd was het aanpassen van de CORS (Cross-Origin Resource Sharing) policy. In versies hierna werd de server nog steeds automatisch gestart en zonder dit aan gebruikers te melden. "Connecting peers" konden zo nog steeds willekeurige code op het systeem uitvoeren. De onderzoeker voegt toe dat het niet zichtbaar voor gebruikers is dat de server draait.

Vanaf versie 1.1.10 staat de server standaard uitgeschakeld. OpenCode lijkt echter nergens melding van CVE-2026-22812 te maken. Gebruikers worden aangeraden om naar de laatste versie te updaten en te controleren of de HTTP server staat uitgeschakeld. Daarnaast zijn volgens Panteleev verschillende andere gerapporteerde problemen ook in de laatste versie nog niet verholpen, waaronder één die het toestaat voor domeinen eindigend op *.opencode.ai om code op het systeem van gebruikers uit te voeren.