协调式漏洞披露。

报告敏感漏洞

对于以下任一类别,请勿开放公共 issue:

• 认证或授权绕过。
• 客户数据外泄或跨租户泄漏。
• 远程代码执行。
• 供应链危害(已签名制品完整性、CI / CD)。
• 我方协议中的密码学弱点。
• 针对生产中部署模型且影响生产的对抗或模型规避发现。
• 自主决策流水线中的任何漏洞。

创始人直接阅读 security@。轮换至专门安全团队的安排在变更日志中公告。PGP 指纹于下方公布。

邮箱: [email protected]
PGP 密钥: /.well-known/pgp-key.asc

我们对披露者的承诺

• 收到后 24 小时内回执。
• 5 个工作日内完成初步范围确认。
• 10 个工作日内沟通修复时间表。
• 在修复就绪部署时进行协调披露。
• 安全港:对善意研究无法律追究;披露不要求 NDA。