报告里请包含什么
- 受影响的页面、API 接口、桌面端版本或公开文件
- 复现步骤
- 预期结果和实际结果
- 可能影响,以及是否可能影响其他用户数据
- 如果问题涉及你自己的账号,请提供账号邮箱
- 截图、日志或请求样本,但请先脱敏密钥和个人信息
安全
报告安全漏洞
如果你认为 ShotMind 存在安全漏洞,请通过邮件报告,我们会按负责披露流程排查和修复。
发送安全报告善意测试边界
我们欢迎谨慎的漏洞报告,但测试必须遵守以下边界:
- 不要访问、修改、删除或导出不属于你的数据
- 不要进行拒绝服务、垃圾请求、暴力破解或高频自动化测试
- 不要进行社工、钓鱼、物理攻击,也不要攻击第三方服务商
- 在我们确认收到报告并有合理时间响应前,不要公开披露漏洞细节
响应时限
- 1我们目标在 3 个工作日内确认收到安全报告。
- 2对于确认有效的高风险问题,目标在 7 个工作日内给出分级结果或缓解计划。
- 3可能暴露用户数据、支付状态、账号访问或生产凭据的严重问题会优先处理。
当前范围
范围内:shotmind.net、App / API / Admin 接口、账单和账号流程、macOS 桌面端分发路径、公开下载基础设施。浏览器扩展当前不属于本轮公开上线范围,除非未来明确重新启用。