负责任的披露政策
报告漏洞
不要为安全漏洞开设公开的 GitHub issue。
通过电子邮件报告:
security@trigger.fish请包括:
- 描述和潜在影响
- 重现步骤或概念验证
- 受影响的版本或组件
- 建议的修复方案(如有)
响应时间表
| 时间 | 操作 |
|---|---|
| 24 小时 | 确认收到 |
| 72 小时 | 初步评估和严重性分类 |
| 14 天 | 修复开发和测试(严重/高严重性) |
| 90 天 | 协调披露窗口 |
我们要求你在 90 天窗口期或修复发布之前(以先到者为准)不要公开披露。
范围
在范围内
- Triggerfish 核心应用 (github.com/greghavens/triggerfish)
- 安全策略执行绕过(分类、taint 跟踪、禁止降级写入)
- Plugin 沙箱逃逸
- 认证或授权绕过
- MCP Gateway 安全边界违规
- 密钥泄露(凭证出现在日志、上下文或存储中)
- 成功影响确定性策略决策的提示注入攻击
- 官方 Docker 镜像(可用时)和安装脚本
超出范围
- 不绕过确定性策略层的 LLM 行为(如果策略层正确阻止了操作,模型说错话不是漏洞)
- 非 Triggerfish 维护的第三方技能或插件
- 针对 Triggerfish 员工的社会工程攻击
- 拒绝服务攻击
- 没有证明影响的自动扫描器报告
安全港
根据本政策进行的安全研究是被授权的。我们不会对善意报告漏洞的研究人员采取法律行动。我们要求你善意努力避免隐私侵犯、数据破坏和服务中断。
致谢
我们在发行说明和安全公告中感谢报告有效漏洞的研究人员,除非你希望保持匿名。我们目前不提供付费漏洞赏金计划,但未来可能会推出。
PGP 密钥
如果你需要加密报告,我们的 security@trigger.fish PGP 密钥发布在 https://trigger.fish/.well-known/security.txt 和主要密钥服务器上。