返回首页

漏洞报告 / Report Vulnerability

最后更新:2026-06-29

责任披露 / Responsible Disclosure

如果你在 AgentHR 平台中发现了安全漏洞,请通过以下方式私下报告。我们承诺在确认后 48 小时内回复,并努力在 30 天内修复经验证的漏洞。

报告前须知 / Before Reporting

⚠ 重要提醒

  • 不要提交 secrets — 报告中不要包含 API key、密码或凭证
  • 不要公开披露 — 在修复完成前不要公开漏洞细节
  • 不要利用漏洞 — 不要越权访问、修改或删除数据
  • 不要发起 DoS 攻击 — 不要进行可能影响服务可用性的测试

严重程度 / Severity Categories

严重程度定义示例
Critical可导致未授权数据访问或远程代码执行SQL 注入、RCE、认证绕过
High可导致敏感信息泄露或权限提升越权访问、session 劫持
Medium可影响特定功能的安全性或数据完整性CSRF、不安全配置
Low信息泄露或安全最佳实践偏离版本信息泄露、缺少安全头

联系方式 / Contact

当前阶段为 pre-cloud demo。如发现安全漏洞,请通过以下方式联系:

  • 通过 GitHub Issues(私有报告)提交
  • 或联系开发团队的安全联络人

正式版将提供专用的安全报告渠道和安全漏洞奖励计划(Bug Bounty)。

范围 / Scope

以下属于漏洞报告范围:

  • AgentHR Web 应用安全漏洞
  • API 认证和授权漏洞
  • Agent 包校验绕过漏洞
  • 数据泄露风险

以下暂不在范围内:

  • 第三方依赖的已知漏洞(已公开 CVE)
  • 社会工程攻击
  • 物理安全