感谢你关注 Coding Claw 的安全性。

当前仓库仍处于早期演进阶段，默认只对 main 分支的最新代码提供安全修复与响应支持。

如果你发现了安全问题，请不要直接公开提交 issue、PR 或漏洞利用细节。

请通过以下方式私下联系维护者：

• Email: zhangbin_1012@icloud.com

为了帮助尽快确认和修复问题，建议在报告中尽量提供：

• 问题类型与影响范围
• 复现步骤
• 受影响的环境或配置
• 是否涉及凭据泄露、权限绕过、任意命令执行、敏感文件读取等高风险场景
• 如可行，附带最小复现样例或日志片段（请先脱敏）

收到安全报告后，维护者会尽力按以下流程处理：

1. 确认是否能够复现问题
2. 评估影响范围与风险等级
3. 制定修复方案
4. 在合适时机发布修复
5. 视情况决定是否公开披露细节

目前项目仍在快速迭代中，因此响应时间不承诺固定 SLA，但会尽量及时处理有效报告。

以下问题通常属于本仓库安全范围内：

• 权限审批绕过
• 工作区外路径读写保护失效
• 危险 shell / Bash 执行保护失效
• 敏感信息泄露
• 不安全的默认配置导致明显风险暴露
• 飞书交互回调、审批或 session 管理中的安全缺陷

以下情况通常不视为本仓库本身的安全漏洞：

• 用户自行错误配置飞书平台权限
• 用户主动暴露自己的 token / secret
• 本地开发环境自身已被攻陷后的连带影响
• 第三方平台或上游服务本身的漏洞

提交安全报告时，请不要发送：

• 真实生产密钥
• 未脱敏 token / cookie / app secret
• 包含私人代码或工作区敏感内容的完整日志

如果必须提供相关信息，请先进行最小化和脱敏处理。