40 lines
1.5 KiB
Markdown
40 lines
1.5 KiB
Markdown
---
|
||
title: "Security Policy"
|
||
type: source
|
||
tags: [security, open-source, best-practices]
|
||
date: 2026-04-20
|
||
---
|
||
|
||
## Source File
|
||
- [[raw/Agent/agency-agents/SECURITY.md]]
|
||
|
||
## Summary
|
||
本项目安全政策,定义漏洞报告流程、响应时间线和贡献者安全规范。项目包含基于 Markdown 的智能体定义文件(纯提示词,非可执行)和 Shell 脚本两类资产。
|
||
|
||
## Key Claims
|
||
- 安全漏洞必须通过 GitHub Security 标签页私下报告,禁止公开 GitHub Issue
|
||
- 响应时间线:48 小时内确认,7 天内初步评估,修复时间取决于严重程度
|
||
- 智能体文件 (.md) 为非可执行提示词定义,不应存储 API 密钥或凭证
|
||
- Shell 脚本 (scripts/) 为可执行文件,合并前必须审查
|
||
|
||
## Key Quotes
|
||
> "Do NOT open a public GitHub issue for security vulnerabilities. Open a private security advisory via GitHub Security tab." — 漏洞报告规范
|
||
|
||
> "Never commit API keys, tokens, or credentials" — 贡献者最佳实践
|
||
|
||
> "Report suspicious agent definitions that attempt prompt injection" — 提示词注入检测要求
|
||
|
||
## Key Concepts
|
||
- [[提示词注入]]:恶意智能体定义试图通过提示词注入攻击系统安全
|
||
- [[安全响应时间线]]:48h 确认→7 天评估→修复,标准化的漏洞响应流程
|
||
|
||
## Key Entities
|
||
- [[agency-agents]]:包含安全政策的智能体项目仓库
|
||
|
||
## Connections
|
||
- [[提示词设计]] ← 安全规范 ← [[安全响应时间线]]
|
||
- [[Prompt Library]] ← 非可执行约束 ← [[安全政策]]
|
||
|
||
## Contradictions
|
||
- 无已知冲突页面
|