GitHub పై ప్రైవేట్ సెక్యూరిటీ అడ్వైజరీని తెరవండి (https://github.com/diegosouzapw/OmniGlyph/security/advisories/new) లేదా మెయింటైనర్ను నేరుగా సంప్రదించండి (diegosouza.pw@outlook.com). ఎక్స్ప్లాయిట్ చేయదగిన వల్నరబిలిటీ కోసం బహిరంగ ఇష్యూ తెరవవద్దు.
OmniGlyph మీ క్లయింట్ (ఉదా. Claude Code) మరియు LLM APIల మధ్య ఒక లోకల్ ప్రాక్సీ. డిజైన్ ప్రకారం ఇది మీ సెషన్ కంటెంట్ మొత్తాన్ని మరియు మీ క్రెడెన్షియల్లను ట్రాన్సిట్లో చూస్తుంది. సంబంధిత సెక్యూరిటీ నిర్ణయాలు:
- డిఫాల్ట్గా లూప్బ్యాక్కు బైండ్ అవుతుంది (
127.0.0.1): డాష్బోర్డ్కు ఎలాంటి ప్రామాణీకరణ లేదు మరియు క్యాప్చర్ చేసిన సెషన్ కాంటెక్స్ట్ను (ఇమేజ్ల సోర్స్ టెక్స్ట్, టెలిమెట్రీ) సర్వ్ చేస్తుంది.HOST=0.0.0.0ఒక స్పష్టమైన ఆప్ట్-ఇన్ మరియు ఇది ఆ మొత్తాన్నీ నెట్వర్క్కు బహిర్గతం చేస్తుంది — విశ్వసనీయమైన నెట్వర్క్లో మాత్రమే దీన్ని వాడండి. - క్రెడెన్షియల్స్: ప్రాక్సీ క్లయింట్ యొక్క auth హెడర్లను అప్స్ట్రీమ్కు
ఫార్వర్డ్ చేస్తుంది మరియు వాటిని పర్సిస్ట్ చేయదు. env ద్వారా
అందించిన కీలు (
ANTHROPIC_API_KEYవగైరా) మెమరీలోనే ఉంటాయి. - లోకల్ టెలిమెట్రీ:
~/.omniglyph/events.jsonlప్రతి రిక్వెస్ట్కు మెటాడేటాను (టోకెన్ కౌంట్లు, బాడీ హాష్లు) మరియు, 4xx ఎర్రర్లలో, కుదించిన బాడీ నమూనాలను కలిగి ఉంటుంది — ఈ ఫైల్ను సున్నితమైనదిగా పరిగణించండి. - ఇమేజ్గా మారిన కంటెంట్ lossy: బైట్-ఖచ్చితమైన విలువలు (సీక్రెట్లు, హాష్లు) ఎప్పుడూ ఇమేజ్ రీడ్లపై ఆధారపడకూడదు; పైప్లైన్ వాటిని టెక్స్ట్గా ఉంచుతుంది, కానీ బంగారు నియమం ఏమిటంటే: LLM కాంటెక్స్ట్లో సీక్రెట్లను ఉంచవద్దు.
- సప్లై చెయిన్:
pnpm-workspace.yamlఏ కొత్త ప్యాకేజీకైనా 3 రోజులminimumReleaseAgeను అమలు చేస్తుంది; కోర్కు ఒకే ఒక్క రన్టైమ్ డిపెండెన్సీ ఉంది.
కేవలం లేటెస్ట్ రిలీజ్ లైన్ (main / అత్యంత ఇటీవలి v1.x) మాత్రమే
ఫిక్స్లను అందుకుంటుంది.