nexus/wiki/sources/security.md

---
title: "Security Policy"
type: source
tags: []
date: 2026-05-01
---

## Source File
- [[Agent/agency-agents/SECURITY.md]]

## Summary（用中文描述）
- 核心主题：agency-agents 项目的安全漏洞报告政策和贡献者安全最佳实践
- 问题域：开源 agent 项目的安全漏洞管理与代码安全规范
- 方法/机制：通过 GitHub Security 私密报告渠道、明确响应时间线、分层安全范围（Agent 文件 vs Shell 脚本）、贡献者行为准则
- 结论/价值：为 agent 项目的安全运营提供了清晰的治理框架，强调 prompt 注入风险

## Key Claims（用中文描述）
- 安全漏洞应通过 GitHub Security 私密渠道报告，而非公开 GitHub Issues
- 漏洞响应时间线：48 小时内确认，7 天内完成初步评估，修复时间视严重程度而定
- Agent Markdown 文件为非可执行内容，不应存储 API keys 或凭证
- Shell 脚本（install.sh、convert.sh、lint-agents.sh）为可执行文件，合并前必须审查
- 贡献者应主动举报可疑的 prompt 注入式 agent 定义

## Key Quotes
> "Do NOT open a public GitHub issue for security vulnerabilities. Open a private security advisory via GitHub Security tab." — 安全报告原则
> "Shell scripts must be reviewed before merging" — Shell 脚本合并要求

## Key Concepts
- [[PromptInjection]]：可疑 agent 定义试图注入恶意 prompt 的行为，需主动上报
- [[SecurityAdvisory]]：GitHub 私密安全咨询渠道，用于负责任的漏洞披露
- [[AgentSecurity]]：Agent Markdown 文件的安全边界——非可执行、无凭证存储

## Key Entities
- [[AgencyAgents]]：该安全政策所属的 agent 定义仓库项目

## Connections
- [[Contributing]] ← informs ← [[SecurityPolicy]]
- [[SecurityPolicy]] ← governs ← [[AgentFiles]]
- [[SecurityPolicy]] ← governs ← [[ShellScripts]]

## Contradictions
- （无冲突检测到此页面与现有 Wiki 内容存在矛盾）