責任ある情報開示ポリシー
脆弱性の報告
セキュリティ脆弱性についてはGitHubのパブリックIssueを開かないでください。
以下のメールで報告してください:
security@trigger.fish以下の情報を含めてください:
- 説明と潜在的な影響
- 再現手順または概念実証
- 影響を受けるバージョンまたはコンポーネント
- 提案する修正(あれば)
対応タイムライン
| タイムライン | アクション |
|---|---|
| 24時間 | 受領の確認 |
| 72時間 | 初期評価と重大度分類 |
| 14日間 | 修正の開発とテスト(重大/高重大度) |
| 90日間 | 協調開示ウィンドウ |
90日間のウィンドウが経過するか修正がリリースされる前(どちらか早い方)に公開しないよう お願いします。
スコープ
スコープ内
- Triggerfishコアアプリケーション (github.com/greghavens/triggerfish)
- セキュリティポリシー強制のバイパス(分類、taint追跡、ライトダウン禁止)
- プラグインサンドボックスのエスケープ
- 認証または認可のバイパス
- MCP Gatewayセキュリティ境界の違反
- シークレット漏洩(認証情報がログ、コンテキスト、またはストレージに現れる)
- 決定論的ポリシー決定に成功裏に影響するプロンプトインジェクション攻撃
- 公式Dockerイメージ(利用可能な場合)とインストールスクリプト
スコープ外
- 決定論的ポリシーレイヤーをバイパスしないLLMの動作(ポリシーレイヤーがアクションを 正しくブロックした場合、モデルが間違ったことを言うのは脆弱性ではない)
- Triggerfishによって管理されていないサードパーティのSkillやプラグイン
- Triggerfishの従業員に対するソーシャルエンジニアリング攻撃
- サービス拒否攻撃
- 実証された影響なしの自動スキャナーレポート
セーフハーバー
このポリシーに従って実施されたセキュリティ研究は許可されています。誠意を持って 脆弱性を報告した研究者に対して法的措置を取ることはありません。プライバシー違反、 データ破壊、サービスの混乱を避けるための誠意ある努力をお願いします。
謝辞
有効な脆弱性を報告した研究者の方々は、匿名を希望しない限り、リリースノートと セキュリティアドバイザリでクレジットします。現在は有償のバグバウンティプログラムを 提供していませんが、将来的に導入する可能性があります。
PGPキー
レポートを暗号化する必要がある場合、security@trigger.fishのPGPキーは https://trigger.fish/.well-known/security.txt および主要なキーサーバーで公開されています。