負責任揭露政策
報告漏洞
請勿為安全漏洞開啟公開的 GitHub issue。
透過電子郵件報告:
security@trigger.fish請包含:
- 描述和潛在影響
- 重現步驟或概念驗證
- 受影響的版本或元件
- 建議的修復方式(如有)
回應時程
| 時程 | 行動 |
|---|---|
| 24 小時 | 確認收到 |
| 72 小時 | 初步評估和嚴重性分類 |
| 14 天 | 開發和測試修復(重大/高嚴重性) |
| 90 天 | 協調揭露窗口 |
我們要求您在 90 天窗口之前或修復發布之前(以先到者為準)不要公開揭露。
範圍
在範圍內
- Triggerfish 核心應用程式 (github.com/greghavens/triggerfish)
- 安全策略執行繞過(分類、taint 追蹤、禁止降級寫入)
- Plugin 沙箱逃脫
- 驗證或授權繞過
- MCP Gateway 安全邊界違規
- 密鑰洩漏(憑證出現在日誌、上下文或儲存中)
- 成功影響確定性策略決策的提示注入攻擊
- 官方 Docker 映像(可用時)和安裝腳本
不在範圍內
- 不繞過確定性策略層的 LLM 行為(如果策略層正確封鎖了操作,模型說了錯誤的話不算漏洞)
- 非 Triggerfish 維護的第三方技能或 plugin
- 針對 Triggerfish 員工的社交工程攻擊
- 阻斷服務攻擊
- 沒有展示影響的自動掃描器報告
安全港
根據此政策進行的安全研究是被授權的。我們不會對善意報告漏洞的研究人員採取法律行動。我們要求您善意地避免隱私侵犯、資料銷毀和服務中斷。
認可
我們在發行說明和安全公告中認可報告有效漏洞的研究人員,除非您偏好保持匿名。我們目前不提供付費漏洞獎勵計畫,但未來可能引入。
PGP 金鑰
如果您需要加密報告,security@trigger.fish 的 PGP 金鑰發布在 https://trigger.fish/.well-known/security.txt 和主要的金鑰伺服器上。