โปรเจกต์นี้เป็น เครื่องมือควบคุม GUI บน Windows ของคุณเอง — ไม่ใช่บริการ cloud
| หัวข้อ | รายละเอียด |
|---|---|
| Daemon API | http://127.0.0.1:8000 เท่านั้น (loopback) — ไม่ เปิดรับจากอินเทอร์เน็ต/LAN |
| การเปิดใช้งาน | ผู้ใช้ต้องรัน uv run src/daemon.py เอง และเห็น overlay บนจอ |
| Authentication | ไม่มี — โปรแกรม ใดบนเครื่องเดียวกันที่ยิง localhost ได้ อาจเรียก API ได้เมื่อ daemon รัน |
| Sensitive actions | popup Allow/Deny (timeout 110 วินาที) · launch_app popup ทุกครั้ง |
| Log | ไม่เก็บ password/text เต็ม — ดู README.md |
ความเสี่ยงหลัก: เมื่อ daemon เปิดอยู่ ให้ถือว่าเครื่องเป็น “โซนควบคุม GUI” — อย่ารัน daemon ทิ้งไว้โดยไม่จำเป็น
รายงานช่องโหว่: เปิด GitHub Issue (private ถ้าต้องการ) พร้อมขั้นตอน reproduce
This project is a local Windows GUI automation daemon for AI agents (MCP/CLI). It is not a hosted remote-control service.
- HTTP API binds to
127.0.0.1:8000only — not reachable from the public internet or other machines on your LAN by default. - The user must manually start the daemon (
uv run src/daemon.py) and see the on-screen overlay. - No API authentication — any local process on the same machine may call the API while the daemon is running.
- High-risk actions require on-screen user approval;
launch_appalways prompts.
Primary risk: treat a running daemon as granting local desktop control to processes that can reach localhost.
To report a security issue, open a GitHub Issue with reproduction steps (use a private advisory if your repo supports it).