Спасибо, что помогаете делать PRISM безопаснее.
Не открывайте публичный Issue для уязвимостей. Используйте приватный канал:
- GitHub → вкладка Security → Report a vulnerability (private vulnerability reporting), либо
- напишите мейнтейнеру: ads4.nr@mail.ru.
Опишите проблему, шаги воспроизведения и потенциальное влияние. Мы ответим в разумный срок и согласуем раскрытие после выпуска исправления.
PRISM по замыслу исполняет недоверенный код, сгенерированный нейросетями, в Docker-песочнице. В первую очередь нас интересуют:
- выход из песочницы (escape из контейнера исполнения A или B);
- способ повлиять на оценку извне (подмена результата, обход проверок целостности);
- утечка ключей/секретов через харнесс или адаптеры провайдеров.
Дистрибутив платформы 1С, собранные базы и ключи API в репозиторий не попадают — если заметили обратное, это тоже повод написать.