Auto-sync: 2026-04-21 00:02

wiki/sources/SECURITY.md

@@ -0,0 +1,39 @@
+---
+title: "Security Policy"
+type: source
+tags: [security, open-source, best-practices]
+date: 2026-04-20
+---
+
+## Source File
+- [[raw/Agent/agency-agents/SECURITY.md]]
+
+## Summary
+本项目安全政策，定义漏洞报告流程、响应时间线和贡献者安全规范。项目包含基于 Markdown 的智能体定义文件（纯提示词，非可执行）和 Shell 脚本两类资产。
+
+## Key Claims
+- 安全漏洞必须通过 GitHub Security 标签页私下报告，禁止公开 GitHub Issue
+- 响应时间线：48 小时内确认，7 天内初步评估，修复时间取决于严重程度
+- 智能体文件 (.md) 为非可执行提示词定义，不应存储 API 密钥或凭证
+- Shell 脚本 (scripts/) 为可执行文件，合并前必须审查
+
+## Key Quotes
+> "Do NOT open a public GitHub issue for security vulnerabilities. Open a private security advisory via GitHub Security tab." — 漏洞报告规范
+
+> "Never commit API keys, tokens, or credentials" — 贡献者最佳实践
+
+> "Report suspicious agent definitions that attempt prompt injection" — 提示词注入检测要求
+
+## Key Concepts
+- [[提示词注入]]：恶意智能体定义试图通过提示词注入攻击系统安全
+- [[安全响应时间线]]：48h 确认→7 天评估→修复，标准化的漏洞响应流程
+
+## Key Entities
+- [[agency-agents]]：包含安全政策的智能体项目仓库
+
+## Connections
+- [[提示词设计]] ← 安全规范 ← [[安全响应时间线]]
+- [[Prompt Library]] ← 非可执行约束 ← [[安全政策]]
+
+## Contradictions
+- 无已知冲突页面