责任披露/漏洞披露政策

漏洞悬赏计划 – 暂时关闭

2025 年 10 月 23 日起,由于需求过大和自动/扫描仪报告数量过多,我们的公共漏洞赏金计划将暂时关闭。 您仍可提交安全报告,但在计划暂停期间,这些报告将被视为仅供参考没有资格获得金钱奖励。 如果您认为您有一个经过验证的紧急问题,证明您有能力访问或外泄用户私人数据,请发送电子邮件至 security@gowinston.ai。

目的

Winston AI 的首要任务是保护用户数据。我们不是在实施一个促销性的漏洞悬赏计划;本页面解释了报告真实的、范围内的安全问题的狭义的、负责任的流程。

范围(范围内)

  • app.gowinston.ai(生产应用程序)
  • dev.gowinston.ai(开发人员环境)
  • api.gowinston.ai(公共应用程序接口)

超出范围

  • gowinston.ai(公共/信息营销网站)–不允许奖励或测试。
  • 任何针对我们的支持人员或第三方的社会工程、网络钓鱼或企图。

不要报告(提供信息/无奖励)–节省我们双方的时间

为使本计划专注于影响较大的问题,请不要提交以下项目的报告,除非这些项目明显属于导致用户私人数据外泄的漏洞利用的一部分。仅显示以下项目之一的报告将被视为信息报告,有资格获得付款。

请勿报告以下内容(示例):

  • 电子邮件/用户名枚举(例如,显示账户是否存在的不同错误信息或回复)。
  • 时序差异或微小的时序侧信道,除非它们与外泄 PII 的 PoC 相连。
  • 安全标头(Content-Security-Policy、X-Frame-Options、HSTS)缺失或配置错误,但它们不会导致数据外泄。
  • 轻微的用户界面问题、需要用户交互的点击劫持或不安全的 CSP 警告,但不会导致 PII 暴露。
  • 已经公开或可通过 robots.txt、网站地图或有意公开非敏感数据的公共应用程序接口访问的信息。
  • 仅披露过时的库/版本号或软件版本(除非漏洞利用显示数据被盗)。
  • 自动扫描仪输出,无需人工验证 PoC 或清晰的复制步骤。
  • 报告限速行为或暴力尝试,除非它们启用了账户接管或数据导出。
  • 低影响 XSS 仅限于用户控制的预览字段,不能接触其他用户或访问存储的私人数据。
  • 拒绝服务 (DoS) 攻击或体积滥用尝试 – 我们不奖励 DoS 测试。
  • 社会工程、网络钓鱼或针对员工的技术。这些都是不允许的。
  • 您无权测试的第三方服务或软件中的漏洞(向供应商报告这些漏洞)。
  • 仅通过使用从其他被入侵网站泄露的凭据而显示的凭据填充/账户访问。仅显示通过重复使用凭据获得访问权的报告(我们的系统中没有使该访问权得以实现的明显漏洞)是信息性的,不符合付款条件。
  • 有关一般安全建议、五项测试服务或不可操作问题的请求(请使用support@gowinston.ai)。

如果您认为上述信息问题是更大漏洞的一部分:请提供可验证的 PoC,说明如何利用该问题访问或渗出用户隐私数据(必要时进行编辑)。如果您无法安全地提供 PoC,请在进一步测试前联系security@gowinston.ai寻求指导。

我们支付的费用

我们将考虑酌情奖励经过验证的漏洞,这些漏洞必须能够大规模外泄用户隐私数据或实现服务器端入侵用户隐私数据包括电子邮件地址、账户密码或密码等价令牌以及上传的用户内容。

资格规则

  • 符合奖励条件的发现包括以下漏洞
    • 批量导出或自动获取用户记录(例如,可编写脚本提取大量记录的未经验证或保护不力的应用程序接口);
    • 服务器端远程代码执行、完整的数据库导出或其他可用于访问许多用户的存储用户数据的服务器妥协;或
    • 任何可证明能自动、重复入侵大量账户或文件的漏洞。
  • 除非报告人提供可验证的 PoC,证明可扩展性/自动化,否则 不符合奖励条件(视为信息):
    • 单一账户接管方案,只影响一个账户,没有显示出自动化或规模化的路径;
    • 孤立的逻辑/用户界面错误、时序侧通道或需要用户交互的错误,这些错误无法自动处理,对许多用户造成影响;
    • 扫描仪输出或未经人工验证的 PoC 无法执行的报告。
    • 仅通过凭证填充或从外部漏洞中重复使用凭证访问的账户 – 除非报告显示了单独的服务器端漏洞(例如,泄漏凭证的端点或可大规模使用泄漏凭证的旁路),否则这些报告只是信息性的,不符合赔付条件。

影响证明要求

报告必须包含可验证的 PoC,以安全地证明其影响(可接受经编辑的屏幕截图或日志),方可考虑付款。请勿外泄真实用户数据。如果您无法安全地提供 PoC,请在进一步测试前联系security@gowinston.ai以获得指导。

接战规则/安全测试

  • 不要外泄真实用户数据。 使用安全、经过编辑的证据演示概念验证,在不暴露用户的情况下证明问题。
  • 请勿访问、修改或删除用户内容。
  • 当我们的安全团队提出要求时,请停止测试。
  • 请勿执行拒绝服务、破坏性测试或社交工程。

如何提交

电子邮件 security@gowinston.ai

  • 问题简述
  • 复制步骤(PoC)或录制的 PoC 的链接(经编辑)
  • 影响评估(受影响用户/数据类型的大致数量)

由于我们收到的申请数量非常大(许多是重复申请和自动扫描报告),因此确认和分流可能会延迟。我们将尽快确认收到并提供下一步措施。重要提示:如果在您提交报告之前,我们已经收到了针对同一漏洞的合格报告,那么随后的重复报告将被视为信息报告,没有资格获得付款。为避免延误,请提供清晰、可验证的 PoC,并且不要再次提交相同的问题。

付款与验证

经过验证的报告有资格获得酌情付款(最高 5,000 美元)。支付金额取决于影响、可利用性、提供的证据和修复的复杂性。最终奖励金额由 Winston AI 自行决定,需要经过我们安全团队的 PoC 验证和成功确认。对于重复报告、低质量 PoC 或滥用行为,我们保留拒绝支付或减少支付的权利。

法律和安全港

如果您遵守上述参与规则并真诚地帮助我们确保系统安全,我们将不会对您的测试采取法律行动。如果测试违反了我们的规则或适用法律,我们保留拒绝提供安全港的自由裁量权。

反骚扰政策

重复的主动请求、敲诈或骚扰(包括要求付款、威胁或协调公开信息以迫使付款)将被忽略,并可能被举报。该计划的目的是负责任地处理合法的安全报告,而不是收入或勒索渠道。

联系方式

security@gowinston.ai