vtcode_config/core/

commands.rs

use serde::{Deserialize, Serialize};

/// Command execution configuration
#[cfg_attr(feature = "schema", derive(schemars::JsonSchema))]
#[derive(Debug, Clone, Deserialize, Serialize)]
pub struct CommandsConfig {
    /// Commands that can be executed without prompting
    #[serde(default)]
    pub allow_list: Vec<String>,

    /// Commands that are always denied
    #[serde(default)]
    pub deny_list: Vec<String>,

    /// Glob patterns allowed for shell commands (applies to run_terminal_cmd/Bash)
    #[serde(default)]
    pub allow_glob: Vec<String>,

    /// Glob patterns denied for shell commands
    #[serde(default)]
    pub deny_glob: Vec<String>,

    /// Regex allow patterns for shell commands
    #[serde(default)]
    pub allow_regex: Vec<String>,

    /// Regex deny patterns for shell commands
    #[serde(default)]
    pub deny_regex: Vec<String>,
}

impl Default for CommandsConfig {
    fn default() -> Self {
        Self {
            allow_list: vec![
                "ls".to_string(),
                "pwd".to_string(),
                "cat".to_string(),
                "grep".to_string(),
                "find".to_string(),
                "head".to_string(),
                "tail".to_string(),
                "wc".to_string(),
                "git status".to_string(),
                "git diff".to_string(),
                "git log".to_string(),
                "git show".to_string(),
                "git branch".to_string(),
                "git remote".to_string(),
                "cargo check".to_string(),
                "cargo build".to_string(),
                "cargo build --release".to_string(),
                "cargo build --profile release".to_string(),
                "cargo test".to_string(),
                "cargo run".to_string(),
                "cargo clippy".to_string(),
                "cargo fmt".to_string(),
                "cargo tree".to_string(),
                "cargo metadata".to_string(),
                "cargo doc".to_string(),
                "cargo nextest run".to_string(),
                "cargo nextest".to_string(),
                "rustc".to_string(),
                "which".to_string(),
                "echo".to_string(),
                "printf".to_string(),
                "date".to_string(),
                "tree".to_string(),
                "stat".to_string(),
                "file".to_string(),
                "sort".to_string(),
                "uniq".to_string(),
                "cut".to_string(),
                "awk".to_string(),
                "sed".to_string(),
                "tar".to_string(),
                "zip".to_string(),
                "unzip".to_string(),
                "gzip".to_string(),
                "gunzip".to_string(),
                "make".to_string(),
                "cmake".to_string(),
                "ninja".to_string(),
                "python3".to_string(),
                "python3 -m pip install".to_string(),
                "python3 -m pytest".to_string(),
                "python3 -m build".to_string(),
                "python".to_string(),
                "pip3".to_string(),
                "pip".to_string(),
                "virtualenv".to_string(),
                "node".to_string(),
                "npm".to_string(),
                "npm run build".to_string(),
                "npm run test".to_string(),
                "npm install".to_string(),
                "yarn".to_string(),
                "yarn build".to_string(),
                "yarn test".to_string(),
                "pnpm".to_string(),
                "pnpm build".to_string(),
                "pnpm test".to_string(),
                "bun".to_string(),
                "bun install".to_string(),
                "bun run".to_string(),
                "bun test".to_string(),
                "npx".to_string(),
                "go".to_string(),
                "go build".to_string(),
                "go test".to_string(),
                "gcc".to_string(),
                "g++".to_string(),
                "clang".to_string(),
                "clang++".to_string(),
                "javac".to_string(),
                "java".to_string(),
                "mvn".to_string(),
                "gradle".to_string(),
                "docker".to_string(),
                "docker-compose".to_string(),
            ],
            deny_list: vec![
                "rm -rf /".to_string(),
                "rm -rf ~".to_string(),
                "rm -rf /*".to_string(),
                "rm -rf /home".to_string(),
                "rm -rf /usr".to_string(),
                "rm -rf /etc".to_string(),
                "rm -rf /var".to_string(),
                "rm -rf /opt".to_string(),
                "rmdir /".to_string(),
                "rmdir /home".to_string(),
                "rmdir /usr".to_string(),
                "shutdown".to_string(),
                "reboot".to_string(),
                "halt".to_string(),
                "poweroff".to_string(),
                "init 0".to_string(),
                "init 6".to_string(),
                "systemctl poweroff".to_string(),
                "systemctl reboot".to_string(),
                "systemctl halt".to_string(),
                "sudo rm".to_string(),
                "sudo chmod 777".to_string(),
                "sudo chown".to_string(),
                "sudo passwd".to_string(),
                "sudo su".to_string(),
                "sudo -i".to_string(),
                "sudo bash".to_string(),
                "su root".to_string(),
                "su -".to_string(),
                "format".to_string(),
                "fdisk".to_string(),
                "mkfs".to_string(),
                "mkfs.ext4".to_string(),
                "mkfs.xfs".to_string(),
                "mkfs.vfat".to_string(),
                "dd if=/dev/zero".to_string(),
                "dd if=/dev/random".to_string(),
                "dd if=/dev/urandom".to_string(),
                "wget --no-check-certificate".to_string(),
                "curl --insecure".to_string(),
                "curl -k".to_string(),
                ":(){ :|:& };:".to_string(), // Fork bomb
                "nohup bash -i".to_string(),
                "exec bash -i".to_string(),
                "eval".to_string(),
                "source /etc/bashrc".to_string(),
                "source ~/.bashrc".to_string(),
                "chmod 777".to_string(),
                "chmod -R 777".to_string(),
                "chown -R".to_string(),
                "chgrp -R".to_string(),
                "rm ~/.ssh/*".to_string(),
                "rm -r ~/.ssh".to_string(),
                "cat /etc/passwd".to_string(),
                "cat /etc/shadow".to_string(),
                "cat ~/.ssh/id_*".to_string(),
                "tail -f /var/log".to_string(),
                "head -n 1 /var/log".to_string(),
            ],
            allow_glob: vec![
                "git *".to_string(),
                "cargo *".to_string(),
                "cargo nextest *".to_string(),
                "rustc *".to_string(),
                "python *".to_string(),
                "python3 *".to_string(),
                "pip *".to_string(),
                "pip3 *".to_string(),
                "node *".to_string(),
                "npm *".to_string(),
                "npm run *".to_string(),
                "yarn *".to_string(),
                "yarn run *".to_string(),
                "pnpm *".to_string(),
                "pnpm run *".to_string(),
                "bun *".to_string(),
                "bun run *".to_string(),
                "npx *".to_string(),
                "go *".to_string(),
                "gcc *".to_string(),
                "g++ *".to_string(),
                "clang *".to_string(),
                "clang++ *".to_string(),
                "javac *".to_string(),
                "java *".to_string(),
                "mvn *".to_string(),
                "gradle *".to_string(),
                "make *".to_string(),
                "cmake *".to_string(),
                "ninja *".to_string(),
                "docker *".to_string(),
                "docker-compose *".to_string(),
                "virtualenv *".to_string(),
                "tar *".to_string(),
                "zip *".to_string(),
                "unzip *".to_string(),
                "gzip *".to_string(),
                "gunzip *".to_string(),
            ],
            deny_glob: vec![
                "rm *".to_string(),
                "sudo *".to_string(),
                "chmod *".to_string(),
                "chown *".to_string(),
                "kill *".to_string(),
                "pkill *".to_string(),
                "systemctl *".to_string(),
                "service *".to_string(),
                "mount *".to_string(),
                "umount *".to_string(),
                "docker run *".to_string(),
                "kubectl *".to_string(),
            ],
            allow_regex: vec![
                r"^(ls|pwd|cat|grep|find|head|tail|wc|echo|printf|date|tree|stat|file|sort|uniq|cut|awk|sed|tar|zip|unzip|gzip|gunzip)\b".to_string(),
                r"^git (status|diff|log|show|branch|remote)\b".to_string(),
                r"^cargo (check|build|test|run|doc|clippy|fmt|tree|metadata|nextest)\b".to_string(),
                r"^rustc\b".to_string(),
                r"^(python|python3) (-m | )?\w*".to_string(),
                r"^(pip|pip3)\b".to_string(),
                r"^virtualenv\b".to_string(),
                r"^(node|npm|yarn|pnpm|bun|npx)\b".to_string(),
                r"^go\b".to_string(),
                r"^(gcc|g\+\+|clang|clang\++)\b".to_string(),
                r"^(javac|java)\b".to_string(),
                r"^(mvn|gradle)\b".to_string(),
                r"^(make|cmake)\b".to_string(),
                r"^(docker|docker-compose)\b".to_string(),
            ],
            deny_regex: vec![
                r"rm\s+(-rf|--force)".to_string(),
                r"sudo\s+.*".to_string(),
                r"chmod\s+.*".to_string(),
                r"chown\s+.*".to_string(),
                r"docker\s+run\s+.*--privileged".to_string(),
                r"kubectl\s+(delete|drain|uncordon)".to_string(),
            ],
        }
    }
}