更新日期：2026-04-08

当前仓库在正式发布稳定版本前，默认只跟进 GitHub 默认分支最新代码的安全问题。

• 如果仓库已经启用 GitHub Private Vulnerability Reporting，请优先通过仓库的 Security 页面私下提交。
• 如果仓库尚未启用该功能，请不要在公开 Issue 中直接披露漏洞细节。
• 在仓库正式公开前，维护者应补充专用安全联系渠道，或启用 GitHub 的私有漏洞报告功能。

• 影响范围与风险等级判断
• 复现步骤或最小复现样例
• 受影响的分支、模块或接口
• 可能的缓解措施或修复建议

• 不要提交 .env、backend/data/engine_config.json、上传素材、输出结果或任何真实 API Key。
• 所有第三方模型服务凭据都应通过本地环境变量、部署平台密钥管理或私有配置注入。
• 如果发现历史提交中曾出现真实密钥，请立即轮换该密钥，并在公开仓库前清理 Git 历史。

• 在漏洞修复完成前，不建议公开披露可直接利用的细节。
• 修复完成后，可以在 Release 或 Changelog 中披露风险范围、修复版本和升级建议。