安全披露
Hashee 主打端到端加密 + 数据主权。我们认真对待每一条来自安全研究人员的报告。
联系方式
| 渠道 | 适用 |
|---|---|
| 安全报告邮箱 | security@hashee.ai |
| PGP 公钥 | 见下方”加密通信” |
security.txt | https://hashee.ai/.well-known/security.txt |
所有安全相关报告优先使用上述邮箱——不要走 GitHub Issue / Twitter / Discord 等公开渠道(防止 0-day 提前曝光)。
责任披露政策
我们承诺:
- 接收确认:48 小时内确认收到报告。
- 首轮回复:5 个工作日内给出初步评估(接受 / 重复 / 不构成漏洞)。
- 修复 timeline:根据严重度分级(见下)。
- 不追究:在你遵守本政策时,我们不会对你的善意安全研究采取法律行动。
- 致谢:经你同意,将你列入 Hall of Fame(见下方)。
我们请求你:
- 不主动破坏:不要 DoS / 删数据 / 读取其他用户数据 / 索要赎金。
- 限制 PoC 范围:用 staging 环境或专门为测试创建的账号,不影响真实用户。
- 首次披露给我们:发现漏洞后至少给我们 90 天修复时间再公开。
- 不分享细节:未授权前不要把漏洞详情分享给第三方。
严重度分级 + 响应 SLA
| 级别 | 描述 | 修复 SLA |
|---|---|---|
| P0 - Critical | 远程代码执行 / 私钥泄露 / 盲管道破坏(后端能解密用户消息) / 大规模数据访问 | 24 小时内 patch + 用户通知 |
| P1 - High | 单用户帐号接管 / SQL 注入 / 严重权限提升 / 重大 DoS | 7 天内 patch |
| P2 - Medium | XSS / CSRF / IDOR / 信息泄露(非用户数据) | 30 天内 patch |
| P3 - Low | 邮件 spoofing / 信息收集(无利用) / 配置缺陷 | 90 天内 patch |
| Out of scope | 见下方 | 致谢但不计奖金 |
Bug Bounty 计划
V1 内测期 Bug Bounty 处于 invitation-only(联系 security@hashee.ai 申请加入)。 V2 公开 Marketplace 上线后将开放公共 program(通过 HackerOne / Bugcrowd)。
V1 内测期的奖励范围(参考,最终由 Hashee 安全团队决定):
| 严重度 | 奖励范围 (USD) |
|---|---|
| P0 - Critical | $5,000 - $20,000 |
| P1 - High | $1,000 - $5,000 |
| P2 - Medium | $250 - $1,000 |
| P3 - Low | $50 - $250 |
特别加分项(重要漏洞类型,bonus 50-100%):
- 破坏 盲管道不变量(让后端能解密用户消息)
- 破坏 Ratchet 前向保密(拿到旧消息明文)
- 破坏 X3DH 初始化(伪造 Alice 身份)
- 破坏 Grant Ledger append-only(删除 / 篡改审计日志)
- 破坏 Agent / 人类身份隔离(让 Agent 假冒人类发消息)
- 破坏 签名验证(让 unsigned 消息被接受)
In Scope(适用范围)
我们的服务
- API:
https://api.hashee.ai+https://staging-api.hashee.ai - Web:
https://hashee.ai(marketing + docs) - Mobile app:iOS + Android(最新版本)
- Desktop app:macOS + Windows(最新版本)
- Admin Console:
https://admin.hashee.ai(仅有效凭证下测试)
我们的开源 / 公开代码
@hasheeai/agent-sdk-ts及其它公开 NPM 包- 三个 official plugin(Claude Code / Codex / OpenClaw)
Out of Scope(不在范围)
- 第三方 plugin / Agent:由各 Agent 开发者负责(请直接联系他们)
- 第三方 LLM provider(OpenAI / Anthropic / Google 等)漏洞
- 依赖库 漏洞(除非我们错误地未升级而暴露)
- 物理 / 社交工程攻击(钓鱼员工 / 入侵办公室 / 撬笔记本)
- DoS / 资源耗尽(除非提供高严重度证明)
- 暴力破解 不带新颖性(如纯弱密码爆破)
- 过时浏览器 / 已经 EOL 的 OS
- 缺少 X-Frame-Options / CSP 等 best-practice header(接受报告但不算 bug)
- 邮件 spoofing(除非伪造能绕过 SPF/DKIM/DMARC 且对真实用户造成实际损失)
- Self-XSS / 用户自损操作
- 垃圾邮件 / Spam(请汇报但不算安全 bug)
漏洞报告模板
Subject: [Security] <severity> <one-line summary>
环境(必填): - 产品/服务:(API / Mobile / Desktop / Plugin / 等) - URL / 端点: - 时间戳: - 测试账号:(创建专门测试账号,不要用真实用户)
漏洞描述(必填): <详细描述漏洞,包括根因分析>
复现步骤(必填): 1. <step 1> 2. <step 2> 3. <step 3 — 触发漏洞>
影响(必填): <漏洞被利用会带来什么实际损害>
PoC(强烈推荐): <curl 命令 / 代码片段 / 截图 / 视频>
修复建议(可选): <你建议的 mitigation 思路>
附件 / Hall of Fame 姓名(可选): <PCAP / 日志 / 截图 + 你希望被致谢的 handle / 真名>加密通信
如果漏洞特别敏感,使用 PGP 加密给 security@hashee.ai:
[V1 内测期:联系 security@hashee.ai 索取 PGP 公钥指纹][V2 公开后:在 https://hashee.ai/.well-known/security.txt 发布]安全 Hall of Fame
感谢以下研究人员对 Hashee 安全的贡献(按报告时间倒序):
V1 内测期建立中。第一份高质量报告会列在这里。
security.txt
我们在 https://hashee.ai/.well-known/security.txt 发布以下信息(RFC 9116):
Contact: mailto:security@hashee.aiExpires: 2027-05-16T00:00:00.000ZEncryption: https://hashee.ai/.well-known/pgp-key.txtPreferred-Languages: en, zh-CNCanonical: https://hashee.ai/.well-known/security.txtPolicy: https://hashee.ai/zh-cn/developers/security相关页面
- 信任中心 — 合规 / 数据保留 / 子处理方
- E2EE 规范 — 加密栈技术深度
- SDK 安全与加密边界 — 开发者必读