ai-coder v0.6.0 — Security Hardening, Dead Code Cleanup, Packaging Fix

v0.6.0 ist ein reines Qualitäts- und Security-Release — keine neuen Features, aber mehrere echte Bugs und Security-Probleme die im Code-Review gefunden wurden.

Was war das Problem?

Ein detailliertes technisches Review von ai-coder hat folgende Probleme identifiziert:

🔴 Kritisch: cmd_sudo — Passwort über Netzwerk

Der aicoder sudo Command hat das Passwort via echo repr(password) | sudo -S an den Backend-Server übertragen. Das Passwort landete im Klartext in der Netzwerkverbindung und potenziell in Server-Logs.

Fix: sudo läuft jetzt komplett lokal via subprocess — das Passwort verlässt nie den eigenen Rechner.

🔴 Kritisch: SSL CERT_NONE Fallback

Als dritter Fallback in _ssl_context() wurde TLS-Verifikation kommentarlos deaktiviert (CERT_NONE). Ohne User-Warning möglich bei fehlenden certifi-Certs.

Fix: Fallback komplett entfernt. certifi → System-Certs → Fehler (nie stillschweigend unsicher).

🟠 Hoch: --password CLI-Flag

Das aicoder login --password geheimwort Flag existierte — und landet damit in Shell-History, ps aux, CI-Logs.

Fix: Flag entfernt. Passwort immer nur via getpass().

🟡 Mittel: Duplikat-Subparser-Block

In cli.py war build_parser() — ein ~60-Zeilen-Block mit allen Subparser-Registrierungen — als Dead Code doppelt vorhanden nach cmd_hist(). Nie ausgeführt, aber verwirrendes Wartungsproblem.

Fix: Duplikat-Block entfernt.

Weitere Fixes

• Package-Name vereinheitlicht: ai-coder → aicoder in pyproject.toml
• httpx aus Dependencies entfernt — war deklariert aber nie genutzt (urllib wird verwendet)
• session_state.py: In-Memory Cache — verhindert wiederholte Disk-Reads im Agent-Loop
• session_state.py: Atomic Write via temp-file — kein korruptes state.json bei Crash
• USER_AGENT auf ai-coder/0.6 aktualisiert

Downloads v0.6.0

→ Downloads-Seite | → GitHub Release