FRB 漏洞披露政策

本政策的目的

FRB 依靠研究社区保持我们执行栈的安全。本政策解释了如何报告漏洞、哪些系统在范围内，以及您可以期待我们做什么。遵循这些指南的研究人员被视为合作伙伴而非对手，每项 FRB 漏洞披露都以我们向客户承诺的相同 SLA 处理。

负责任的披露有助于保护 MEV 交易者、验证者和下游基础设施。感谢您帮助我们保持生态系统安全。

范围内的系统

以下资产受本政策覆盖：

• ai-frb.com、文档及相关营销资产。
• 安装程序交付管道、更新端点和发布工件。
• 中继/Jito 配置 API、遥测收集器和认证运营商门户。

针对客户、合作伙伴或云提供商拥有的基础设施进行测试时，也必须遵守其规则。

范围外与安全行为准则

以下活动即使揭示了弱点也是被禁止的：

• 未经明确许可访问、修改或删除客户数据。
• 执行影响其他用户服务可用性的攻击。
• 网络钓鱼 FRB 员工或对合作伙伴进行社会工程攻击。
• 使用产生过多流量的自动扫描器。

不要超出证明影响所必要的范围利用漏洞，切勿涉及真实资金或钱包。

法律与测试边界

只要保持在范围内——我们的公共资产和 FRB Agent——我们将与您合作了解每项发现。实体设施、合作伙伴系统和不相关资产仍在限制范围内，以避免对影响的混淆，当您遵循这些规则时，FRB 人员不会就您的研究采取法律行动。

• 切勿入侵或泄露数据、降低用户体验或访问专有信息或商业秘密。
• 将证明保持在确认漏洞存在所必要的范围内——避免隐私侵犯，一旦证明影响即停止。
• 不要进行网络拒绝服务（DoS 或 DDoS）测试或垃圾邮件尝试；可用性测试超出范围。
• 不要联系外部实体或就您的研究采取法律行动；通过 FRB 协调一切，以确保相关人员持续参与。
• 仅将任何建议用于防御目的，以减轻或修复漏洞；破坏性的概念验证发布会损害生态系统。
• 切勿超出验证发现所需的范围进行数据的蔓延、破坏或操纵。

如需加密通道，请通过 支持/SLA 请求我们的 PGP 密钥并在那里发送日志——我们将保持一切在确认漏洞存在所必要的范围内，同时进行修复。

负责任披露指南

为保持良好信誉，请：

• 确认问题后立即停止测试。
• 在 FRB 解决问题之前，对漏洞详情保密。
• 仅使用您生成的数据；不要泄露生产数据。
• 遵守当地法律并尊重您可能拥有的任何合同义务。

我们为遵守这些指南的善意测试提供安全港。

如何安全报告

在我们审查您的 FRB 漏洞披露时，请遵循这些指南以保持敏感数据安全：

• 在共享日志或钱包元数据之前，使用我们的 PGP 密钥（通过 支持请求）。
• 通过安全文件门户而非电子邮件附件发送大型载荷。
• 仅在需要实时协调时提供 Signal 或电话联系方式；否则优先使用电子邮件。

需要包含的内容

1. 环境（操作系统版本、FRB 构建哈希、使用的中继）。
2. 确切的重现步骤和概念验证输出。
3. 影响评估（如 RCE、数据暴露、DoS）加建议的严重性。
4. 测试期间发现的任何缓解措施或临时解决方案。
5. 您首选的披露时间表和署名姓名/昵称（可选）。

如可能，请加密敏感载荷并共享日志或截图以加速分类。

您可以期待我们做什么

1. 在 48 小时内确认收到。
2. 在五个工作日内提供严重性分类和后续步骤。
3. 合作制定修复时间表并请求协调披露。
4. 修复部署并保护用户后，共享署名（如需要）。

我们相信善意合作。如可能，请加密敏感报告；我们的 PGP 密钥可按需提供。

分类与修复

安全工程团队引入服务所有者，验证漏洞利用，并分配修复工作。关键问题可能触发热修复或协调部署窗口；低严重性错误进入每周发布列车。请参阅 安全概览 了解我们控制层的概述。

随着问题经历修复、验证和发布的过程，我们将保持向您更新，特别是在需要进一步背景信息时。

协调与后续步骤

修复上线后，我们将与您确认修复情况，讨论披露时间表，并——如适用——共享 CVE 或安全公告参考。非安全性后续事项（计费、法律或账户变更）应通过 支持团队 进行，以确保相关人员持续参与。

有关您报告相关数据处理的问题，可通过我们的 隐私政策获得解答。