用 opencode 接入公司私有部署的 Qwen/DeepSeek（OpenAI-compatible API），日常写代码、改文档基本够用，还能省掉订阅费与 token 焦虑；关键是把 TLS 自签证书这关过掉，别用“关掉校验”这种野路子。

CVE-2025-68121 涉及 Go crypto/tls 的两个会话恢复（session resumption）问题：Config.Clone 复制了自动生成的 session ticket keys，导致不同 tls.Config 之间意外共享会话票据；以及服务端在判断会话是否可恢复时，只检查 leaf 证书过期而忽略完整证书链，可能让过期链条下的会话继续被恢复。