Triggerfish

Deutsch

English (US)
English (UK)
Español (Latinoamérica)
Español (España)
Français
简体中文
繁體中文
한국어
हिन्दी
العربية
Filipino
עברית
فارسی
Português (Brasil)
Italiano
日本語
Norsk
Nederlands
Svenska
اردو
ಕನ್ನಡ
मराठी
தமிழ்
Bahasa Melayu

Deutsch

English (US)
English (UK)
Español (Latinoamérica)
Español (España)
Français
简体中文
繁體中文
한국어
हिन्दी
العربية
Filipino
עברית
فارسی
Português (Brasil)
Italiano
日本語
Norsk
Nederlands
Svenska
اردو
ಕನ್ನಡ
मराठी
தமிழ்
Bahasa Melayu

Richtlinie zur verantwortungsvollen Offenlegung

Eine Schwachstelle melden

Oeffnen Sie kein oeffentliches GitHub-Issue fuer Sicherheitsschwachstellen.

Melden Sie per E-Mail:

security@trigger.fish

Bitte fuegen Sie bei:

  • Beschreibung und potenzielle Auswirkung
  • Schritte zur Reproduktion oder Proof of Concept
  • Betroffene Versionen oder Komponenten
  • Vorgeschlagene Behebung, falls vorhanden

Reaktionszeitplan

ZeitrahmenAktion
24 StundenEmpfangsbestaetigung
72 StundenErste Bewertung und Schweregradeinstufung
14 TageFix entwickelt und getestet (kritischer/hoher Schweregrad)
90 TageKoordiniertes Offenlegungsfenster

Wir bitten Sie, nicht vor dem 90-Tage-Fenster oder vor der Veroeffentlichung eines Fixes oeffentlich zu machen, je nachdem, was zuerst eintritt.

Geltungsbereich

Im Geltungsbereich

  • Triggerfish-Kernanwendung (github.com/greghavens/triggerfish)
  • Umgehungen der Sicherheits-Policy-Durchsetzung (Klassifizierung, Taint-Tracking, No-Write-Down)
  • Plugin-Sandbox-Ausbrueche
  • Authentifizierungs- oder Autorisierungsumgehungen
  • MCP-Gateway-Sicherheitsgrenzenverletzungen
  • Secrets-Lecks (Anmeldedaten erscheinen in Logs, Kontext oder Speicherung)
  • Prompt-Injection-Angriffe, die deterministische Policy-Entscheidungen erfolgreich beeinflussen
  • Offizielle Docker-Images (wenn verfuegbar) und Installationsskripte

Ausserhalb des Geltungsbereichs

  • LLM-Verhalten, das die deterministische Policy-Schicht nicht umgeht (wenn das Modell etwas Falsches sagt, ist es keine Schwachstelle, solange die Policy-Schicht die Aktion korrekt blockiert hat)
  • Skills oder Plugins von Drittanbietern, die nicht von Triggerfish gepflegt werden
  • Social-Engineering-Angriffe gegen Triggerfish-Mitarbeiter
  • Denial-of-Service-Angriffe
  • Automatisierte Scanner-Berichte ohne nachgewiesene Auswirkung

Safe Harbor

Sicherheitsforschung, die in Uebereinstimmung mit dieser Richtlinie durchgefuehrt wird, ist autorisiert. Wir werden keine rechtlichen Schritte gegen Forscher einleiten, die Schwachstellen in gutem Glauben melden. Wir bitten Sie, in gutem Glauben Datenschutzverletzungen, Datenvernichtung und Dienstunterbrechungen zu vermeiden.

Anerkennung

Wir wuerdigen Forscher, die gueltige Schwachstellen melden, in unseren Release-Notes und Sicherheitshinweisen, es sei denn, Sie moechten anonym bleiben. Wir bieten derzeit kein bezahltes Bug-Bounty-Programm an, koennen aber in Zukunft eines einfuehren.

PGP-Schluessel

Wenn Sie Ihren Bericht verschluesseln muessen, ist unser PGP-Schluessel fuer security@trigger.fish veroeffentlicht unter https://trigger.fish/.well-known/security.txt und auf den gaengigen Schluesselsservern.