Richtlinie zur verantwortungsvollen Offenlegung
Camile AI freut sich über Beiträge aus der Sicherheitsforschungsgemeinschaft. Wir verpflichten uns, die Sicherheit und den Datenschutz der Daten unserer Benutzer zu wahren. Wenn Sie eine Sicherheitslücke in einem Camile-KI-System festgestellt haben, empfehlen wir Ihnen, diese verantwortungsbewusst zu melden, damit wir sie schnell beheben und unsere Benutzer schützen können.
Unser Engagement
Wenn Sie unsere Richtlinie zur verantwortungsvollen Offenlegung befolgen, verpflichten wir uns zu Folgendem:
- Bestätigen Sie den Eingang Ihres Berichts innerhalb von 3 Werktage
- Geben Sie einen Zeitplan für die erste Bewertung und Behebung an 5 Werktage
- Halten Sie sich während des gesamten Sanierungsprozesses über den Fortschritt auf dem Laufenden
- Handeln Sie in gutem Glauben, um das gemeldete Problem umgehend zu beheben
- Keine rechtlichen Schritte gegen Forscher einleiten, die diese Richtlinie einhalten
- Erkennen Sie Ihren Beitrag in unseren Sicherheitsbestätigungen an (mit Ihrer Erlaubnis)
Richtlinien zur Berichterstattung
Wenn Sie eine Sicherheitslücke melden, gehen Sie bitte wie folgt vor:
- Senden Sie Ihren Bericht an security@camileai.com
- Fügen Sie eine detaillierte Beschreibung der Schwachstelle und ihrer möglichen Auswirkungen bei
- Geben Sie Schritt-für-Schritt-Anweisungen zur Reproduktion des Problems an
- Fügen Sie etwaigen Proof-of-Concept-Code oder Materialien hinzu (falls zutreffend).
- Geben Sie Ihre Kontaktinformationen für die Nachverfolgung an
- Verwenden Sie unseren öffentlichen PGP-Schlüssel (verfügbar auf unserer Sicherheitsseite) für verschlüsselte Kommunikation, wenn die Schwachstelle empfindlich ist
Umfang
Diese Richtlinie gilt für die folgenden Camile AI-Systeme und -Dienste:
- Die Camile AI-Webanwendung (
*.camileai.com) - Camile AI API-Endpunkte
- Camile AI-Mobilanwendungen
- Auf GitHub gehostete Open-Source-Projekte von Camile AI
Die folgenden sind außerhalb des Geltungsbereichs:
- Dienste oder Anwendungen Dritter, die nicht Eigentum von Camile AI sind oder von Camile AI betrieben werden
- Physische Sicherheit, Social Engineering oder Phishing-Angriffe gegen Camile AI-Personal
- Denial-of-Service-Angriffe (DoS/DDoS).
- Spam oder automatisierte Inhaltsgenerierung
- Selbstausbeutung (Ausnutzen von Exploits gegen das eigene Konto)
Was wir von Ihnen verlangen
Bei der Durchführung von Sicherheitsrecherchen bitten wir Sie:
- Handeln Sie in gutem Glauben und vermeiden Sie Handlungen, die Camile AI oder seinen Benutzern schaden könnten
- Greifen Sie nur auf die Mindestdaten zu, die zum Nachweis der Schwachstelle erforderlich sind
- Geben Sie die Schwachstelle nicht öffentlich bekannt, bevor wir eine angemessene Gelegenheit hatten, sie zu beheben
- Nutzen Sie die Schwachstelle nicht über das zum Nachweis erforderliche Maß hinaus aus
- Halten Sie alle geltenden Gesetze und Vorschriften ein
Sicherer Hafen
Camile AI betrachtet Sicherheitsforschung, die im Einklang mit dieser Richtlinie durchgeführt wird, als autorisiertes Verhalten. Wir werden keine zivil- oder strafrechtlichen Schritte gegen Forscher einleiten, die:
- Befolgen Sie diese Richtlinie zur verantwortungsvollen Offenlegung
- Bemühen Sie sich nach Treu und Glauben, Datenschutzverletzungen, Datenvernichtung und Dienstunterbrechungen zu vermeiden
- Greifen Sie nicht auf Daten zu und exfiltrieren Sie diese nicht über das zum Nachweis der Schwachstelle unbedingt erforderliche Maß hinaus
- Geben Sie die Sicherheitslücke nicht ohne unsere vorherige Zustimmung öffentlich bekannt
Danksagungen
Mit Ihrer Erlaubnis würdigen wir öffentlich Forscher, die verantwortungsbewusst Sicherheitslücken melden. Wenn Sie anonym bleiben möchten, teilen Sie uns dies einfach mit.
Wir betreiben derzeit kein kostenpflichtiges Bug-Bounty-Programm, können jedoch nach unserem Ermessen Anerkennung und andere Formen der Anerkennung gewähren.
Senden Sie Ihren Bericht an: security@camileai.com