Se você descobrir uma vulnerabilidade de segurança, NÃO abra uma issue pública.

1. Envie um email para o mantenedor com detalhes da vulnerabilidade
2. Inclua:
   • Descrição do problema
   • Passos para reproduzir
   • Impacto potencial
   • Sugestão de correção (se tiver)
3. Aguarde confirmação de recebimento (até 48h)
4. Trabalharemos juntos na correção antes de divulgação pública

• Não divulgue publicamente antes da correção
• Não explore a vulnerabilidade além do necessário para demonstrá-la
• Não acesse dados de outros usuários

O agente inclui proteções contra ataques de prompt injection:

• System prompt com regras de segurança imutáveis
• Validação de escopo (apenas dados imobiliários)
• Bloqueio de comandos de override
• Recusa de tarefas fora do escopo

• API keys via variáveis de ambiente (nunca hardcoded)
• .gitignore configurado para ignorar .env
• Validação fail-fast de configurações
• Secrets nunca logados

• Dependências mínimas e auditadas
• Go modules para versionamento
• CI verifica vulnerabilidades conhecidas

1. Nunca commite API keys - Use variáveis de ambiente
2. Rotacione keys regularmente - Especialmente se expostas
3. Use HTTPS - Em produção, sempre TLS
4. Limite permissões - API keys com escopo mínimo necessário

Nenhuma vulnerabilidade reportada até o momento.

Obrigado por ajudar a manter o IPTU Agent seguro! 🔐