负责任披露
我们欢迎负责任的安全研究。如果您发现 JieGou 的漏洞,请负责任地向我们报告。
范围
范围内系统
console.jiegou.ai — 主应用程序
mcp.jiegou.ai — MCP 服务器
jiegou.ai — 营销网站
JieGou Chrome 扩展程序 — 浏览器扩展程序(Chrome Web Store)
范围外
- 第三方服务(Firebase、AWS、Stripe、LLM 提供商)
- 针对 JieGou 员工的社会工程攻击
- 拒绝服务(DoS/DDoS)攻击
- 物理安全攻击
- 未经事先批准的自动扫描
- 任何可能降低服务可用性的测试
参与规则
- 1 不得访问、修改或删除客户数据。如果意外访问了客户数据,请立即停止并报告。
- 2 不得执行可能降低服务可用性的操作(禁止负载测试、DoS、资源耗尽)。
- 3 仅使用专用测试账户。创建自己的账户进行测试;不得针对其他用户的账户进行测试。
- 4 及时报告漏洞,并在公开披露前给予合理的修复时间。
- 5 未经事先书面批准,不得对生产系统使用自动扫描器。
- 6 遵守所有适用法律。
如何报告
响应时间表
1
确认收到
48 小时 2
分类和严重性评估
5 个工作日 3
修复(严重)
7 天 4
修复(高)
30 天 5
修复(中/低)
90 天 安全港
JieGou 不会对以下研究人员采取法律行动:
- 遵守本政策和参与规则
- 善意报告漏洞
- 不会超出证明漏洞所需范围利用漏洞
- 不会访问、修改或窃取客户数据
本计划不构成雇佣或承包关系。JieGou 保留随时修改或终止本政策的权利。