מדיניות חשיפה אחראית
דיווח על פגיעות
אל תפתחו issue ציבורי ב-GitHub עבור פגיעויות אבטחה.
דווחו בדוא"ל:
security@trigger.fishאנא כללו:
- תיאור והשפעה פוטנציאלית
- שלבים לשחזור או הוכחת היתכנות
- גרסאות או רכיבים מושפעים
- תיקון מוצע, אם יש
לוח זמנים לתגובה
| לוח זמנים | פעולה |
|---|---|
| 24 שעות | אישור קבלה |
| 72 שעות | הערכה ראשונית וסיווג חומרה |
| 14 יום | תיקון פותח ונבדק (חומרה קריטית/גבוהה) |
| 90 יום | חלון חשיפה מתואם |
אנו מבקשים שלא תחשפו באופן ציבורי לפני חלון 90 היום או לפני שחרור תיקון, לפי המוקדם מביניהם.
היקף
בהיקף
- אפליקציית הליבה של Triggerfish (github.com/greghavens/triggerfish)
- עקיפות של אכיפת מדיניות אבטחה (סיווג, מעקב זיהום, אין-כתיבה-למטה)
- חריגה מארגז החול של תוספים
- עקיפות אימות או הרשאות
- הפרות גבול אבטחה של שער MCP
- דליפת סודות (אישורים המופיעים ביומנים, בהקשר, או באחסון)
- מתקפות הזרקת פרומפט שמשפיעות בהצלחה על החלטות מדיניות דטרמיניסטיות
- תמונות Docker רשמיות (כאשר זמינות) וסקריפטי התקנה
מחוץ להיקף
- התנהגות LLM שאינה עוקפת את שכבת המדיניות הדטרמיניסטית (המודל אומר משהו שגוי אינו פגיעות אם שכבת המדיניות חסמה נכון את הפעולה)
- מיומנויות או תוספים של צד שלישי שאינם מתוחזקים על ידי Triggerfish
- מתקפות הנדסה חברתית נגד עובדי Triggerfish
- מתקפות מניעת שירות
- דוחות סורקים אוטומטיים ללא השפעה מודגמת
נמל מבטחים
מחקר אבטחה המתבצע בהתאם למדיניות זו מורשה. לא ננקוט בצעדים משפטיים נגד חוקרים המדווחים על פגיעויות בתום לב. אנו מבקשים שתעשו מאמץ בתום לב להימנע מהפרות פרטיות, השמדת נתונים ושיבוש שירות.
הכרה
אנו מזכים חוקרים המדווחים על פגיעויות תקפות בהערות השחרור ובייעוצי האבטחה שלנו, אלא אם כן אתם מעדיפים להישאר אנונימיים. איננו מציעים כרגע תוכנית תגמולים בתשלום על באגים אך עשויים להציג אחת בעתיד.
מפתח PGP
אם עליכם להצפין את הדיווח, מפתח ה-PGP שלנו עבור security@trigger.fish מפורסם ב- https://trigger.fish/.well-known/security.txt ובשרתי מפתחות ראשיים.