当前项目主要维护最新的 main 分支,安全修复优先在最新代码上进行。
如果你发现了安全问题,请先不要公开提交 Issue。
- 请通过私下渠道联系维护者(邮箱或私信)
- 建议提供以下信息:
- 受影响的文件或模块
- 复现步骤
- 影响范围评估
- 修复建议(可选)
我们会尽快确认并协同修复与发布。
- 请在补丁发布前,给维护者合理修复时间。
- 在修复可用前,避免公开利用细节或 PoC。
本项目依赖多个外部组件与服务(OpenAI 兼容 API、企业微信回调、MySQL、Redis、MCP 服务)。整体安全性也依赖以下实践:
- 正确管理密钥与凭据(不要提交
.env) - 谨慎暴露 Webhook / 回调接口到公网
- 外部服务账号遵循最小权限原则