感谢你愿意认真看这个文件。
如果你在茶掌柜里发现了安全问题,比如越权、未授权访问、敏感信息泄露、可被利用的接口缺陷,麻烦先不要直接公开发 Issue,也不要把 PoC、密钥或完整利用步骤贴到公开页面上。
目前仓库还没有搭建很正式的安全响应流程,但我会认真处理这类问题。
你可以优先用下面这种方式联系我:
- 微信:扫描 README 底部的二维码 加我,备注"安全反馈"
- GitHub:如果仓库启用了 Security Advisory,也欢迎直接走 Private vulnerability reporting 入口
如果你一时联系不到我,也可以先开一个公开 Issue,但请只描述现象和影响范围,不要附上利用细节、账号、密钥、数据库文件或完整复现脚本。
- 未登录或低权限用户可以访问高权限数据
- 密钥、令牌、数据库文件、调试信息被公开暴露
- 上传、下载、导出功能存在可利用漏洞
- AI / SQL 相关能力被绕过限制,导致读取到不该读的数据
- 任何你觉得“这个如果上了生产会很危险”的问题
我不敢保证每次都能秒回,但一般会尽快确认这几件事:
- 这是不是安全问题
- 影响范围大不大
- 是先临时止血,还是直接修复
如果你愿意一起配合复现和验证,我会很感谢。
如果你只是遇到普通 bug、安装问题、兼容性问题,直接提 Issue 就可以,不用走这个流程。
目前只维护 main 分支的最新版本。如果你发现的问题存在于旧版本,建议先确认最新版是否还能复现。