Skip to content

Divulgación Responsable

Damos la bienvenida a la investigación de seguridad responsable. Si descubre una vulnerabilidad en JieGou, por favor divúlguela de manera responsable.

Report to security@jiegou.ai Read the substrate first →

Alcance

Sistemas dentro del alcance

console.jiegou.ai — Aplicación principal
mcp.jiegou.ai — Servidor MCP
jiegou.ai — Sitio web de marketing
Extensión de Chrome JieGou — Extensión del navegador (Chrome Web Store)

AI-specific vulnerabilities — explicitly encouraged

AI-substrate-specific vulnerabilities are where operator-grade research has the highest impact. The categories below are explicitly in scope and receive priority triage — we want to find these classes of bugs before they reach a customer's production workflow.

  • Prompt injection that bypasses approval gates or escalates agent permissions
  • Data exfiltration via context manipulation, tool-chaining, or RAG poisoning
  • Model jailbreak that produces actions outside the declared workflow scope
  • Audit-trail tampering, hash-chain forgery, or evidence-export bypass
  • Cross-tenant data leakage in multi-customer deployments (managed cloud shape)
  • BYOK key exfiltration or downgrade attacks against customer-supplied encryption

Fuera del alcance

  • Servicios de terceros (Firebase, AWS, Stripe, proveedores de LLM)
  • Ataques de ingeniería social contra empleados de JieGou
  • Ataques de denegación de servicio (DoS/DDoS)
  • Ataques de seguridad física
  • Escaneos automatizados sin aprobación previa
  • Cualquier prueba que pueda degradar la disponibilidad del servicio

Reglas de participación

  1. 1 No acceda, modifique ni elimine datos de clientes. Si accede accidentalmente a datos de clientes, deténgase inmediatamente e infórmelo.
  2. 2 No realice acciones que puedan degradar la disponibilidad del servicio (sin pruebas de carga, DoS, agotamiento de recursos).
  3. 3 Use solo cuentas de prueba dedicadas. Cree su propia cuenta para pruebas; no pruebe contra las cuentas de otros usuarios.
  4. 4 Reporte las vulnerabilidades con prontitud y permita un tiempo razonable para la remediación antes de la divulgación pública.
  5. 5 No use escáneres automatizados contra sistemas de producción sin aprobación escrita previa.
  6. 6 Cumpla con todas las leyes aplicables.

Cómo reportar

Enviar reportes a

security@jiegou.ai

Por favor incluya

  • Descripción de la vulnerabilidad
  • Instrucciones de reproducción paso a paso
  • Prueba de concepto (capturas de pantalla, videos o código)
  • Evaluación del impacto
  • Remediación sugerida (opcional)
  • Su información de contacto para seguimiento

Cronograma de respuesta

1
Acuse de recibo
48 horas
2
Triaje y evaluación de severidad
5 días hábiles
3
Remediación (Crítico)
7 días
4
Remediación (Alto)
30 días
5
Remediación (Medio/Bajo)
90 días

Puerto Seguro

JieGou no tomará acciones legales contra investigadores que:

  • Sigan esta política y las reglas de participación
  • Reporten vulnerabilidades de buena fe
  • No exploten vulnerabilidades más allá de lo necesario para demostrarlas
  • No accedan, modifiquen ni exfiltren datos de clientes

Este programa no constituye una relación de empleo o contratista. JieGou se reserva el derecho de modificar o terminar esta política en cualquier momento.

security@jiegou.ai Volver a Seguridad