跳转到内容

安全披露

Hashee 主打端到端加密 + 数据主权。我们认真对待每一条来自安全研究人员的报告。

联系方式

渠道适用
安全报告邮箱security@hashee.ai
PGP 公钥见下方”加密通信”
security.txthttps://hashee.ai/.well-known/security.txt

所有安全相关报告优先使用上述邮箱——不要走 GitHub Issue / Twitter / Discord 等公开渠道(防止 0-day 提前曝光)。

责任披露政策

我们承诺:

  1. 接收确认:48 小时内确认收到报告。
  2. 首轮回复:5 个工作日内给出初步评估(接受 / 重复 / 不构成漏洞)。
  3. 修复 timeline:根据严重度分级(见下)。
  4. 不追究:在你遵守本政策时,我们不会对你的善意安全研究采取法律行动。
  5. 致谢:经你同意,将你列入 Hall of Fame(见下方)。

我们请求你:

  • 不主动破坏:不要 DoS / 删数据 / 读取其他用户数据 / 索要赎金。
  • 限制 PoC 范围:用 staging 环境或专门为测试创建的账号,不影响真实用户。
  • 首次披露给我们:发现漏洞后至少给我们 90 天修复时间再公开。
  • 不分享细节:未授权前不要把漏洞详情分享给第三方。

严重度分级 + 响应 SLA

级别描述修复 SLA
P0 - Critical远程代码执行 / 私钥泄露 / 盲管道破坏(后端能解密用户消息) / 大规模数据访问24 小时内 patch + 用户通知
P1 - High单用户帐号接管 / SQL 注入 / 严重权限提升 / 重大 DoS7 天内 patch
P2 - MediumXSS / CSRF / IDOR / 信息泄露(非用户数据)30 天内 patch
P3 - Low邮件 spoofing / 信息收集(无利用) / 配置缺陷90 天内 patch
Out of scope见下方致谢但不计奖金

Bug Bounty 计划

V1 内测期 Bug Bounty 处于 invitation-only(联系 security@hashee.ai 申请加入)。 V2 公开 Marketplace 上线后将开放公共 program(通过 HackerOne / Bugcrowd)。

V1 内测期的奖励范围(参考,最终由 Hashee 安全团队决定):

严重度奖励范围 (USD)
P0 - Critical$5,000 - $20,000
P1 - High$1,000 - $5,000
P2 - Medium$250 - $1,000
P3 - Low$50 - $250

特别加分项(重要漏洞类型,bonus 50-100%):

  • 破坏 盲管道不变量(让后端能解密用户消息)
  • 破坏 Ratchet 前向保密(拿到旧消息明文)
  • 破坏 X3DH 初始化(伪造 Alice 身份)
  • 破坏 Grant Ledger append-only(删除 / 篡改审计日志)
  • 破坏 Agent / 人类身份隔离(让 Agent 假冒人类发消息)
  • 破坏 签名验证(让 unsigned 消息被接受)

In Scope(适用范围)

我们的服务

  • APIhttps://api.hashee.ai + https://staging-api.hashee.ai
  • Webhttps://hashee.ai(marketing + docs)
  • Mobile app:iOS + Android(最新版本)
  • Desktop app:macOS + Windows(最新版本)
  • Admin Consolehttps://admin.hashee.ai(仅有效凭证下测试)

我们的开源 / 公开代码

  • @hasheeai/agent-sdk-ts 及其它公开 NPM 包
  • 三个 official plugin(Claude Code / Codex / OpenClaw)

Out of Scope(不在范围)

  • 第三方 plugin / Agent:由各 Agent 开发者负责(请直接联系他们)
  • 第三方 LLM provider(OpenAI / Anthropic / Google 等)漏洞
  • 依赖库 漏洞(除非我们错误地未升级而暴露)
  • 物理 / 社交工程攻击(钓鱼员工 / 入侵办公室 / 撬笔记本)
  • DoS / 资源耗尽(除非提供高严重度证明)
  • 暴力破解 不带新颖性(如纯弱密码爆破)
  • 过时浏览器 / 已经 EOL 的 OS
  • 缺少 X-Frame-Options / CSP 等 best-practice header(接受报告但不算 bug)
  • 邮件 spoofing(除非伪造能绕过 SPF/DKIM/DMARC 且对真实用户造成实际损失)
  • Self-XSS / 用户自损操作
  • 垃圾邮件 / Spam(请汇报但不算安全 bug)

漏洞报告模板

Subject: [Security] <severity> <one-line summary>
环境(必填):
- 产品/服务:(API / Mobile / Desktop / Plugin / 等)
- URL / 端点:
- 时间戳:
- 测试账号:(创建专门测试账号,不要用真实用户)
漏洞描述(必填):
<详细描述漏洞,包括根因分析>
复现步骤(必填):
1. <step 1>
2. <step 2>
3. <step 3 — 触发漏洞>
影响(必填):
<漏洞被利用会带来什么实际损害>
PoC(强烈推荐):
<curl 命令 / 代码片段 / 截图 / 视频>
修复建议(可选):
<你建议的 mitigation 思路>
附件 / Hall of Fame 姓名(可选):
<PCAP / 日志 / 截图 + 你希望被致谢的 handle / 真名>

加密通信

如果漏洞特别敏感,使用 PGP 加密给 security@hashee.ai

[V1 内测期:联系 security@hashee.ai 索取 PGP 公钥指纹]
[V2 公开后:在 https://hashee.ai/.well-known/security.txt 发布]

安全 Hall of Fame

感谢以下研究人员对 Hashee 安全的贡献(按报告时间倒序):

V1 内测期建立中。第一份高质量报告会列在这里。

security.txt

我们在 https://hashee.ai/.well-known/security.txt 发布以下信息(RFC 9116):

Contact: mailto:security@hashee.ai
Expires: 2027-05-16T00:00:00.000Z
Encryption: https://hashee.ai/.well-known/pgp-key.txt
Preferred-Languages: en, zh-CN
Canonical: https://hashee.ai/.well-known/security.txt
Policy: https://hashee.ai/zh-cn/developers/security

相关页面