目前只接受以下范围内的安全问题报告:
- 当前仓库默认分支上的最新代码
- 安装脚本、配置解析、Telegram 控制面、
launchd脚本 - 与本仓库直接相关的本地状态文件和权限边界问题
当前不接受这些内容作为安全漏洞:
- 用户自己错误配置 Telegram 白名单导致的暴露
- 用户把 bot 放进公开群或不受信群组导致的风险
- 第三方服务、Telegram 平台、Codex CLI 本身的漏洞
如果你发现的是敏感安全问题,请不要公开提交 issue。
建议优先使用这些方式:
- 如果仓库启用了 GitHub 的私密漏洞报告,请直接使用它。
- 如果没有启用,请联系仓库维护者的私密联系方式,或先在仓库主页寻找最新的安全联系说明。
请尽量提供这些信息:
- 影响范围
- 复现步骤
- 最小可复现配置
- 预期影响
- 如果你已经有修复建议,也可以一并附上
目标处理方式:
- 先确认问题是否可复现
- 再判断是否属于本仓库安全边界
- 修复完成后再决定公开披露方式
对于明显会造成用户暴露、权限绕过、敏感信息泄露或远程可滥用的问题,会优先处理。