سیاست افشای مسئولانه
گزارش آسیبپذیری
برای آسیبپذیریهای امنیتی Issue عمومی GitHub باز نکنید.
از طریق ایمیل گزارش دهید:
security@trigger.fishلطفاً موارد زیر را شامل کنید:
- توضیحات و تأثیر بالقوه
- مراحل بازتولید یا اثبات مفهوم
- نسخهها یا مؤلفههای تحت تأثیر
- اصلاح پیشنهادی، در صورت وجود
زمانبندی پاسخ
| زمانبندی | اقدام |
|---|---|
| ۲۴ ساعت | تأیید دریافت |
| ۷۲ ساعت | ارزیابی اولیه و طبقهبندی شدت |
| ۱۴ روز | اصلاح توسعه و آزمون شده (شدت بحرانی/بالا) |
| ۹۰ روز | پنجره افشای هماهنگ |
از شما درخواست میکنیم قبل از پنجره ۹۰ روزه یا قبل از انتشار اصلاح — هر کدام زودتر باشد — بهصورت عمومی افشا نکنید.
محدوده
در محدوده
- برنامه اصلی Triggerfish (github.com/greghavens/triggerfish)
- دورزدن اجرای سیاست امنیتی (طبقهبندی، ردیابی Taint، عدم نوشتن به پایین)
- فرار از سندباکس Plugin
- دورزدن احراز هویت یا مجوزدهی
- نقض مرز امنیتی MCP Gateway
- نشت رمزها (بیانات اعتبار در گزارشها، زمینه یا ذخیرهسازی ظاهر شوند)
- حملات تزریق prompt که با موفقیت بر تصمیمات سیاست قطعی تأثیر بگذارند
- تصاویر رسمی Docker (وقتی در دسترس باشند) و اسکریپتهای نصب
خارج از محدوده
- رفتار LLM که لایه سیاست قطعی را دور نمیزند (اینکه مدل چیز نادرستی بگوید آسیبپذیری نیست اگر لایه سیاست اقدام را بهدرستی مسدود کرده باشد)
- Skillها یا Pluginهای شخص ثالث که توسط Triggerfish نگهداری نمیشوند
- حملات مهندسی اجتماعی علیه کارکنان Triggerfish
- حملات انکار سرویس
- گزارشهای اسکنر خودکار بدون تأثیر اثباتشده
پناهگاه امن
تحقیقات امنیتی انجامشده مطابق با این سیاست مجاز است. ما علیه محققانی که آسیبپذیریها را با حسن نیت گزارش میدهند اقدام حقوقی انجام نخواهیم داد. از شما درخواست میکنیم تلاش با حسن نیت برای اجتناب از نقض حریم خصوصی، تخریب داده و اختلال در سرویس داشته باشید.
تقدیر
از محققانی که آسیبپذیریهای معتبر گزارش میدهند در یادداشتهای انتشار و مشاورههای امنیتی ما تقدیر میکنیم، مگر اینکه ترجیح دهید ناشناس بمانید. در حال حاضر برنامه پاداش باگ پولی ارائه نمیدهیم اما ممکن است در آینده معرفی کنیم.
کلید PGP
اگر نیاز به رمزنگاری گزارش خود دارید، کلید PGP ما برای security@trigger.fish در https://trigger.fish/.well-known/security.txt و روی سرورهای کلید اصلی منتشر شده است.