🇧🇷 葡萄牙語版本
我们为以下版本中的安全漏洞提供补丁:
| 版本 | 支持状态 |
|---|---|
| 2.1.x | ✅ |
| < 2.1 | ❌ |
我们在 SynkraAI 非常重视安全。如果您在 AIOX 中发现安全漏洞,请负责任地报告。
请勿为安全漏洞创建公开的 GitHub issue。
而是请通过以下其中一个渠道报告安全漏洞:
-
GitHub 安全公告(首选)
- 前往 安全公告
- 点击"报告漏洞"
- 填写详细信息表单
-
电子邮件
- 发送电子邮件至:[email protected]
- 主题行:
[SECURITY] 简要描述
请在您的报告中包含以下内容:
- 描述:对漏洞的清晰描述
- 影响:攻击者使用此漏洞可以达到什么目的?
- 重现步骤:详细的重现问题的步骤
- 受影响的版本:哪些版本受到影响?
- 可能的修复:如果您对如何修复问题有建议
- 您的信息:您的名字/昵称用于确认(可选)
- 确认:我们会在 48 小时内确认收到
- 初始评估:我们将在 5 个工作日内提供初步评估
- 更新:我们将及时通知您我们的进展
- 解决:我们的目标是在 30 天内解决关键问题
- 披露:我们将与您协调披露时间
我们认为按照本政策进行的安全研究属于以下情况:
- 在适用的反黑客法律方面获得授权
- 在相关的反规避法律方面获得授权
- 豁免我们服务条款中可能干扰进行安全研究的限制
我们不会因为本政策的意外、善意违反而提起民事诉讼或向执法部门投诉。
使用 AIOX 框架时,我们建议:
- 永远不要将
.env文件提交到版本控制 - 使用
.env.example作为模板,不包含实际值 - 定期轮换 API 密钥和机密
- 仅启用来自可信源的 MCP 服务器
- 启用前审查 MCP 服务器代码
- 在可用时使用沙盒执行环境
- 将 MCP 服务器权限限制为最小必需
- 谨慎对待执行系统操作的代理命令
- 在生产环境中执行之前审查生成的代码
- 对敏感操作使用适当的访问控制
- 保持依赖关系更新
- 定期运行
npm audit - 审查 pull request 中的依赖关系更改
AIOX 框架执行 AI 生成的代码和命令。用户应该:
- 了解 AI 代理可以执行任意代码
- 对不受信任的环境使用适当的沙盒
- 在生产部署前审查 AI 生成的输出
- AIOX 可能通过 AI 提供商处理敏感数据
- 审查您的 AI 提供商的数据处理政策
- 使用 AI 功能时考虑数据分类
安全更新通过以下方式宣布:
- GitHub 安全公告
- CHANGELOG.md
- GitHub 发布
我们感谢以下研究人员负责任地披露安全问题:
尚无报告 - 成为第一个!
本安全政策自 2024 年 12 月起生效。 最后更新:2025-12-11