SECURITY · 安全披露

Coordinated Vulnerability Disclosure

LYG.AI 欢迎来自客户安全团队、第三方研究员、监管机构的安全反馈。本页面是 LYG.AI 与你完成漏洞披露 / vendor security review / 合规问询的统一接口, 遵循 RFC 9116 标准。

LAST UPDATED · 2026-05-17 · v1.0

如何报告

请通过以下任一渠道报告:

邮件 (主): security@lyg.ai — 工作日 24 小时内首次响应, 严重漏洞 4 小时内
RFC 9116: https://lyg.ai/.well-known/security.txt
PGP 公钥: pending (按需向报告者点对点提供, 联系上方邮箱索取)

请不要通过公开渠道 (GitHub Issues / Twitter / 微信群) 披露未修复的漏洞。

范围 (In Scope)

以下系统在我们的协调披露范围内:

*.lyg.ai — LYG.AI 官方网站及子域
*.lygai.cn — 国内备用域
LYG Ark 一体机产品 (部署在客户机房内) — 仅限有 PoC/购买授权的客户测试环境
LYG Lumen Agent / LYG Foundry 平台 — 同上
对外发布的 SDK / API 文档相关接口

范围外 (Out of Scope)

第三方依赖未修复但已公开披露的 CVE (请直接报告给上游供应商)
仅理论可行、无实际利用路径的攻击 (e.g. self-XSS, missing security headers without impact)
SPF / DMARC / DNSSEC 等邮件域配置 (除非可证明业务影响)
用户在自己机房内部署后的客户化配置问题 (责任在客户安全团队)
未授权情况下的渗透测试、密码爆破、DDoS、社工攻击

安全港 / Safe Harbor

只要研究员遵守本政策, LYG.AI 承诺:

不会对你提起诉讼或追究法律责任
不会联系你所在的雇主 / 同行透露你的研究行为
会公开致谢 (除非你选择匿名 — 见致谢墙)

条件: 研究仅在 In Scope 系统上进行, 不破坏数据 / 服务可用性, 不访问超出验证 PoC 所需的数据, 漏洞不向第三方公开直到我们修复或公开协调。

响应 SLA

阶段	SLA
首次响应	工作日 24 小时内 · 严重漏洞 4 小时内
分类 (triage)	72 小时内告知严重程度评估与下一步
修复时间 (按 CVSS)	Critical: 30 天 · High: 60 天 · Medium: 90 天 · Low: 下一发布窗口
公开披露	修复发布 + 30 天后, 或与报告者协调时间, 取后者

严重程度判定

采用 CVSS 3.1。判定结果由 LYG.AI 安全团队给出, 必要时与报告者协商。我们不接受"碰瓷型"漏洞 (e.g. 仅含 missing security header 没有可证明的攻击链)。

客户 Vendor Security Review

客户安全团队进行 vendor security review 时, 请联系 security@lyg.ai, 我们 48 小时 内提供:

技术架构说明 (含数据流图)
等保三级合规承诺函 / 国产化适配清单
ISO 27001 / SOC 2 准备态报告
子处理者 (sub-processor) 清单 — 我们不使用任何境外 AI 推理服务作为产品依赖
BCM / DR / 数据隔离架构说明

详见 Trust Center。

致谢墙 · Hall of Thanks

感谢以下安全研究员对 LYG.AI 安全的贡献:

暂无对外披露条目 · 你可以是第一个 — security@lyg.ai

本政策版本

v1.0 · 2026-05-17 — 初始版本