安全
负责任披露政策
Camile AI 欢迎安全研究社区的反馈。我们致力于维护用户数据的安全和隐私。如果你在 Camile AI 的任何系统中发现了安全漏洞,我们鼓励你负责任地进行报告,以便我们能够快速处理并保护我们的用户。
我们的承诺
如果你遵守我们的负责任披露政策,我们承诺:
- 在 3个工作日内 确认收到你的报告
- 在 5个工作日内 提供初步评估和修复时间表
- 在整个修复过程中随时向你通报进展
- 诚信行事,及时处理报告的问题
- 不对遵守本政策的研究人员采取法律行动
- 在我们的安全鸣谢中认可你的贡献(经你许可)
报告指南
报告漏洞时,请:
- 将报告发送至 security@camileai.com
- 包含漏洞的详细描述及其潜在影响
- 提供复现问题的逐步说明
- 附上任何概念验证代码或材料(如适用)
- 附上你的联系方式以便后续跟进
- 如果漏洞敏感,请使用我们的 PGP 公钥(可在我们安全页面上获取)进行加密通信
适用范围
本政策适用于以下 Camile AI 系统和服务:
- Camile AI 网络应用(
*.camileai.com) - Camile AI API 端点
- Camile AI 移动应用程序
- Camile AI 在 GitHub 上托管的开源项目
以下情况 不在范围 内:
- 非 Camile AI 拥有或运营的第三方服务或应用程序
- 针对 Camile AI 人员的物理安全、社会工程或钓鱼攻击
- 拒绝服务(DoS/DDoS)攻击
- 垃圾邮件或自动化内容生成
- 自我利用(针对自己账户运行攻击)
我们对你的期望
在进行安全研究时,我们请求你:
- 诚信行事,避免可能损害 Camile AI 或其用户的行为
- 仅访问演示漏洞所需的最少数据
- 在我们有合理机会修复之前,不公开披露漏洞
- 不超出演示漏洞所需的范围利用漏洞
- 遵守所有适用法律法规
安全港
Camile AI 认为按照本政策进行的安全研究是授权行为。我们不会对以下研究人员提起民事或刑事诉讼:
- 遵守本负责任披露政策
- 诚信努力避免隐私侵犯、数据破坏和服务中断
- 不访问或窃取超出演示漏洞最低必要范围的数据
- 未经我们事先同意不公开披露漏洞
鸣谢
经你许可,我们将公开鸣谢负责任报告安全漏洞的研究人员。如果你希望保持匿名,只需告知我们即可。
我们目前不运营付费的漏洞赏金计划,但我们可以酌情提供认可和其他形式的感谢。
提交报告至:security@camileai.com