漏洞报告 / Report Vulnerability
最后更新:2026-06-29
责任披露 / Responsible Disclosure
如果你在 AgentHR 平台中发现了安全漏洞,请通过以下方式私下报告。我们承诺在确认后 48 小时内回复,并努力在 30 天内修复经验证的漏洞。
报告前须知 / Before Reporting
⚠ 重要提醒
- 不要提交 secrets — 报告中不要包含 API key、密码或凭证
- 不要公开披露 — 在修复完成前不要公开漏洞细节
- 不要利用漏洞 — 不要越权访问、修改或删除数据
- 不要发起 DoS 攻击 — 不要进行可能影响服务可用性的测试
严重程度 / Severity Categories
| 严重程度 | 定义 | 示例 |
|---|---|---|
| Critical | 可导致未授权数据访问或远程代码执行 | SQL 注入、RCE、认证绕过 |
| High | 可导致敏感信息泄露或权限提升 | 越权访问、session 劫持 |
| Medium | 可影响特定功能的安全性或数据完整性 | CSRF、不安全配置 |
| Low | 信息泄露或安全最佳实践偏离 | 版本信息泄露、缺少安全头 |
联系方式 / Contact
当前阶段为 pre-cloud demo。如发现安全漏洞,请通过以下方式联系:
- 通过 GitHub Issues(私有报告)提交
- 或联系开发团队的安全联络人
正式版将提供专用的安全报告渠道和安全漏洞奖励计划(Bug Bounty)。
范围 / Scope
以下属于漏洞报告范围:
- AgentHR Web 应用安全漏洞
- API 认证和授权漏洞
- Agent 包校验绕过漏洞
- 数据泄露风险
以下暂不在范围内:
- 第三方依赖的已知漏洞(已公开 CVE)
- 社会工程攻击
- 物理安全