---
title: "Security Policy"
type: source
tags: [security, open-source, best-practices]
date: 2026-04-20
---

## Source File
- [[raw/Agent/agency-agents/SECURITY.md]]

## Summary
本项目安全政策，定义漏洞报告流程、响应时间线和贡献者安全规范。项目包含基于 Markdown 的智能体定义文件（纯提示词，非可执行）和 Shell 脚本两类资产。

## Key Claims
- 安全漏洞必须通过 GitHub Security 标签页私下报告，禁止公开 GitHub Issue
- 响应时间线：48 小时内确认，7 天内初步评估，修复时间取决于严重程度
- 智能体文件 (.md) 为非可执行提示词定义，不应存储 API 密钥或凭证
- Shell 脚本 (scripts/) 为可执行文件，合并前必须审查

## Key Quotes
> "Do NOT open a public GitHub issue for security vulnerabilities. Open a private security advisory via GitHub Security tab." — 漏洞报告规范

> "Never commit API keys, tokens, or credentials" — 贡献者最佳实践

> "Report suspicious agent definitions that attempt prompt injection" — 提示词注入检测要求

## Key Concepts
- [[提示词注入]]：恶意智能体定义试图通过提示词注入攻击系统安全
- [[安全响应时间线]]：48h 确认→7 天评估→修复，标准化的漏洞响应流程

## Key Entities
- [[agency-agents]]：包含安全政策的智能体项目仓库

## Connections
- [[提示词设计]] ← 安全规范 ← [[安全响应时间线]]
- [[Prompt Library]] ← 非可执行约束 ← [[安全政策]]

## Contradictions
- 无已知冲突页面