Skip to content

Verantwortungsvolle Offenlegung

Wir begrüßen verantwortungsvolle Sicherheitsforschung. Wenn Sie eine Schwachstelle in JieGou entdecken, teilen Sie uns dies bitte verantwortungsvoll mit.

Report to security@jiegou.ai Read the substrate first →

Geltungsbereich

Systeme im Geltungsbereich

console.jiegou.ai — Hauptanwendung
mcp.jiegou.ai — MCP-Server
jiegou.ai — Marketing-Website
JieGou Chrome-Erweiterung — Browser-Erweiterung (Chrome Web Store)

AI-specific vulnerabilities — explicitly encouraged

AI-substrate-specific vulnerabilities are where operator-grade research has the highest impact. The categories below are explicitly in scope and receive priority triage — we want to find these classes of bugs before they reach a customer's production workflow.

  • Prompt injection that bypasses approval gates or escalates agent permissions
  • Data exfiltration via context manipulation, tool-chaining, or RAG poisoning
  • Model jailbreak that produces actions outside the declared workflow scope
  • Audit-trail tampering, hash-chain forgery, or evidence-export bypass
  • Cross-tenant data leakage in multi-customer deployments (managed cloud shape)
  • BYOK key exfiltration or downgrade attacks against customer-supplied encryption

Außerhalb des Geltungsbereichs

  • Drittanbieterdienste (Firebase, AWS, Stripe, LLM-Anbieter)
  • Social-Engineering-Angriffe gegen JieGou-Mitarbeiter
  • Denial-of-Service-(DoS/DDoS)-Angriffe
  • Physische Sicherheitsangriffe
  • Automatisierte Scans ohne vorherige Genehmigung
  • Jegliche Tests, die die Dienstverfügbarkeit beeinträchtigen könnten

Teilnahmeregeln

  1. 1 Greifen Sie nicht auf Kundendaten zu, ändern oder löschen Sie diese nicht. Wenn Sie versehentlich auf Kundendaten zugreifen, stoppen Sie sofort und melden Sie es.
  2. 2 Führen Sie keine Aktionen durch, die die Dienstverfügbarkeit beeinträchtigen könnten (keine Lasttests, DoS, Ressourcenerschöpfung).
  3. 3 Verwenden Sie nur dedizierte Testkonten. Erstellen Sie Ihr eigenes Konto zum Testen; testen Sie nicht gegen die Konten anderer Benutzer.
  4. 4 Melden Sie Schwachstellen zeitnah und gewähren Sie angemessene Zeit für die Behebung vor der öffentlichen Offenlegung.
  5. 5 Verwenden Sie keine automatisierten Scanner gegen Produktionssysteme ohne vorherige schriftliche Genehmigung.
  6. 6 Halten Sie alle geltenden Gesetze ein.

So melden Sie

Berichte senden an

security@jiegou.ai

Bitte fügen Sie bei

  • Beschreibung der Schwachstelle
  • Schritt-für-Schritt-Reproduktionsanweisungen
  • Proof of Concept (Screenshots, Videos oder Code)
  • Auswirkungsbewertung
  • Vorgeschlagene Behebung (optional)
  • Ihre Kontaktdaten für Rückfragen

Reaktionszeitplan

1
Eingangsbestätigung
48 Stunden
2
Triage und Schweregradbewertung
5 Werktage
3
Behebung (Kritisch)
7 Tage
4
Behebung (Hoch)
30 Tage
5
Behebung (Mittel/Niedrig)
90 Tage

Safe Harbor

JieGou wird keine rechtlichen Schritte gegen Forscher einleiten, die:

  • Diese Richtlinie und die Teilnahmeregeln befolgen
  • Schwachstellen in gutem Glauben melden
  • Schwachstellen nicht über das zur Demonstration Notwendige hinaus ausnutzen
  • Keine Kundendaten zugreifen, ändern oder exfiltrieren

Dieses Programm begründet kein Arbeits- oder Auftragsverhältnis. JieGou behält sich das Recht vor, diese Richtlinie jederzeit zu ändern oder zu beenden.

security@jiegou.ai Zurück zu Sicherheit