Update nexus wiki content

wiki/sources/security.md

@@ -0,0 +1,42 @@
+---
+title: "Security Policy"
+type: source
+tags: []
+date: 2026-05-01
+---
+
+## Source File
+- [[Agent/agency-agents/SECURITY.md]]
+
+## Summary（用中文描述）
+- 核心主题：agency-agents 项目的安全漏洞报告政策和贡献者安全最佳实践
+- 问题域：开源 agent 项目的安全漏洞管理与代码安全规范
+- 方法/机制：通过 GitHub Security 私密报告渠道、明确响应时间线、分层安全范围（Agent 文件 vs Shell 脚本）、贡献者行为准则
+- 结论/价值：为 agent 项目的安全运营提供了清晰的治理框架，强调 prompt 注入风险
+
+## Key Claims（用中文描述）
+- 安全漏洞应通过 GitHub Security 私密渠道报告，而非公开 GitHub Issues
+- 漏洞响应时间线：48 小时内确认，7 天内完成初步评估，修复时间视严重程度而定
+- Agent Markdown 文件为非可执行内容，不应存储 API keys 或凭证
+- Shell 脚本（install.sh、convert.sh、lint-agents.sh）为可执行文件，合并前必须审查
+- 贡献者应主动举报可疑的 prompt 注入式 agent 定义
+
+## Key Quotes
+> "Do NOT open a public GitHub issue for security vulnerabilities. Open a private security advisory via GitHub Security tab." — 安全报告原则
+> "Shell scripts must be reviewed before merging" — Shell 脚本合并要求
+
+## Key Concepts
+- [[PromptInjection]]：可疑 agent 定义试图注入恶意 prompt 的行为，需主动上报
+- [[SecurityAdvisory]]：GitHub 私密安全咨询渠道，用于负责任的漏洞披露
+- [[AgentSecurity]]：Agent Markdown 文件的安全边界——非可执行、无凭证存储
+
+## Key Entities
+- [[AgencyAgents]]：该安全政策所属的 agent 定义仓库项目
+
+## Connections
+- [[Contributing]] ← informs ← [[SecurityPolicy]]
+- [[SecurityPolicy]] ← governs ← [[AgentFiles]]
+- [[SecurityPolicy]] ← governs ← [[ShellScripts]]
+
+## Contradictions
+- （无冲突检测到此页面与现有 Wiki 内容存在矛盾）