我们重视安全问题。若你认为发现了可利用的漏洞（尤其是账户、OAuth 令牌、加密实现、飞书凭证或与网关通信相关的缺陷），请不要在公开 Issue、讨论区或社交媒体披露细节，以免危及用户。

1. GitHub 私密安全公告（推荐）
   在仓库页面使用 Security → Report a vulnerability（若组织已开启私有漏洞报告）。仅维护者可见，便于协调修复与发布说明。

2. 维护者指定渠道
   若你无法使用上述入口，请开一个 仅标题 的 Issue（例如标题写「需要安全联系方式」），不要在正文中描述漏洞细节；维护者会私信与你对接。

• 我们会在合理时间内确认收到并评估严重性（具体 SLA 随维护者资源变化，但会尽力避免长期搁置）。
• 修复就绪后，我们会协调 公开说明（CVE 或 GitHub Security Advisory 等形式，视情况而定），并在致谢中列出你的名字（若你同意）。

一般 Bug、功能请求请走普通 Issue，不要使用安全渠道。