安全披露政策

负责任的漏洞披露

EnHeng AI 重视安全研究者的工作。如果你发现了安全问题, 请通过以下渠道负责任地告知我们 — 我们承诺认真对待每一份报告。

如何提交报告

请将漏洞详情发送至:security@enheng.ai

报告应包含:

  • ·漏洞类型(XSS / SSRF / 权限绕过等)
  • ·受影响的 URL 或功能点
  • ·复现步骤(越详细越好)
  • ·潜在影响描述
  • ·你的联系方式(用于后续沟通)

响应时间承诺

24h

初步确认收到报告

72h

给出初步分类与影响评估

14天

提供处理方案或修复计划

90天

协作公开披露(如双方同意)

范围内(In Scope)

  • enhengai-mu.vercel.app 及所有子域名
  • api.enheng.ai(API 接口)
  • 认证系统、API Key 管理
  • 数据泄露、权限绕过
  • XSS、CSRF、SQL 注入
  • 敏感信息暴露(Key、凭证)

范围外(Out of Scope)

  • 上游模型供应商(OpenAI / Anthropic 等)
  • 社会工程学攻击
  • DoS / DDoS
  • 速率限制绕过(除非导致数据泄露)
  • 已知的第三方库漏洞(非我方直接负责)

我们的承诺

  • 不对善意安全研究者采取法律行动
  • 认真对待每一份报告,及时跟进
  • 漏洞修复后,如研究者同意,我们会在 Changelog 中公开致谢
  • 目前没有 Bug Bounty 计划,但会以其他方式表达感谢

平台安全机制

  • API Key 只保存 hash,创建后只展示一次;旧明文 Key 兼容迁移后应逐步清理。
  • 聊天历史、钱包、账单等用户数据同时使用应用层归属校验和 Supabase RLS。
  • 余额扣费通过数据库 RPC 原子执行,wallet ledger 使用 request_id 幂等防重。
  • 充值 webhook 要求签名校验、订单幂等和后台可追溯日志。
  • 后台管理接口需要 admin session,敏感 RPC 仅允许 service_role 执行。
  • CORS 默认只允许 EnHengAI 自有域名和 Vercel 预览域名。
security.txt →·隐私政策 →·服务条款 →