请勿通过公开 GitHub Issue 报告安全漏洞。

如果你发现了安全漏洞，请通过以下方式私下披露：

邮箱：byteforce@qq.com

请在邮件中包含以下信息：

• 漏洞类型（如跨站脚本、原型链污染、路径遍历、任意命令执行等）
• 受影响的源文件路径（含完整路径）
• 触发漏洞所需的特殊配置或操作步骤
• 复现漏洞的步骤
• 概念验证代码或攻击场景（如有）
• 漏洞可能造成的影响，包括攻击者如何利用该漏洞

我们将在 5 个工作日内确认收到你的报告，并在 30 天内提供修复方案或缓解措施的详细说明。

在漏洞修复发布后，我们将在 CHANGELOG.md 中公开披露漏洞详情，并在 GitHub Security Advisories 中发布 CVE（如适用）。

• src/modules/ai-assistant：AI 助手、会话恢复、审批流
• src/modules/skills：Skills 工作台与文件读写
• src-tauri/：Tauri 桌面壳、文件系统访问、IPC 通信
• toolbox-plugin-ai / toolbox-plugin-crypto：加密与 AI 运行时插件

以下内容不在范围内：

• 依赖上游库自身的漏洞（请直接上报上游项目）
• DoS 攻击（尤其针对开发模式本地服务）
• 社会工程学攻击

我们接受中文或英文的漏洞报告。