책임 있는 공개 정책
취약점 보고
보안 취약점에 대해 공개 GitHub 이슈를 생성하지 마십시오.
이메일로 보고하십시오:
security@trigger.fish다음을 포함해 주십시오:
- 설명 및 잠재적 영향
- 재현 단계 또는 개념 증명
- 영향을 받는 버전 또는 구성 요소
- 제안된 수정 사항 (있는 경우)
대응 일정
| 일정 | 조치 |
|---|---|
| 24시간 | 수신 확인 |
| 72시간 | 초기 평가 및 심각도 분류 |
| 14일 | 수정 개발 및 테스트 (중요/높음 심각도) |
| 90일 | 조율된 공개 기간 |
수정이 출시되기 전이나 90일 기간 전에 공개하지 말아 주십시오 (둘 중 먼저 도래하는 것).
범위
범위 내
- Triggerfish 핵심 애플리케이션 (github.com/greghavens/triggerfish)
- 보안 정책 시행 우회 (분류, taint 추적, no-write-down)
- Plugin 샌드박스 탈출
- 인증 또는 권한 부여 우회
- MCP Gateway 보안 경계 위반
- 시크릿 유출 (자격 증명이 로그, 컨텍스트 또는 저장소에 나타남)
- 결정론적 정책 결정에 성공적으로 영향을 미치는 프롬프트 인젝션 공격
- 공식 Docker 이미지 (사용 가능한 경우) 및 설치 스크립트
범위 밖
- 결정론적 정책 계층을 우회하지 않는 LLM 동작 (정책 계층이 동작을 올바르게 차단한 경우 모델이 잘못된 것을 말하는 것은 취약점이 아닙니다)
- Triggerfish가 관리하지 않는 타사 스킬 또는 Plugin
- Triggerfish 직원에 대한 사회 공학 공격
- 서비스 거부 공격
- 입증된 영향 없는 자동 스캐너 보고서
세이프 하버
이 정책에 따라 수행된 보안 연구는 허가됩니다. 선의로 취약점을 보고하는 연구자에 대해 법적 조치를 취하지 않겠습니다. 개인 정보 보호 위반, 데이터 파괴, 서비스 중단을 피하기 위해 선의의 노력을 기울여 주시기 바랍니다.
인정
유효한 취약점을 보고한 연구자는 익명을 선호하지 않는 한 릴리스 노트 및 보안 권고에 크레딧이 부여됩니다. 현재 유료 버그 바운티 프로그램을 운영하지 않지만 향후 도입할 수 있습니다.
PGP 키
보고서를 암호화해야 하는 경우 security@trigger.fish에 대한 PGP 키는 https://trigger.fish/.well-known/security.txt 및 주요 키서버에 게시되어 있습니다.