Skip to content

Security: miaopan607/miaopan-code

Security

SECURITY.md

安全

语言:简体中文 · English

重要说明

我们不接受由 AI 生成的安全报告。我们收到大量此类报告,完全没有资源逐一审查。如果你提交此类报告,将被本项目自动封禁。

威胁模型

概述

miaopan-code 是一款在你的机器上本地运行、由 AI 驱动的编程助手。它提供一套代理系统,可以访问包括 shell 执行、文件操作和网络访问在内的强大工具。

无沙箱

miaopan-code 不会对代理进行沙箱隔离。权限系统是一项用户体验功能,旨在帮助用户了解代理正在执行的操作——它会在执行命令、写入文件等操作前请求确认。不过,它并非为提供安全隔离而设计。

如果你需要真正的隔离,请在 Docker 容器或虚拟机中运行 miaopan-code。

服务器模式

服务器模式仅在用户主动启用时运行。启用后,请设置 MIAOPAN_CODE_SERVER_PASSWORD 以要求 HTTP Basic Auth。如果未设置,服务器将以未认证方式运行(并显示警告)。保护服务器安全是最终用户的责任——服务器提供的任何功能本身都不构成漏洞。

不在范围内

类别 理由
主动启用后的服务器访问 如果你启用了服务器模式,API 访问就是预期行为
沙箱逃逸 权限系统不是沙箱(见上文)
LLM 提供商的数据处理 发送给你所配置 LLM 提供商的数据受该提供商的政策约束
MCP 服务器行为 你配置的外部 MCP 服务器位于我们的信任边界之外
恶意配置文件 用户控制自己的配置;修改配置不属于攻击途径

报告安全问题

感谢你为负责任地披露发现所做的努力,我们会尽力确认你的贡献。

如需报告安全问题,请使用 GitHub Security Advisory 的 “Report a Vulnerability” 标签页。

团队将回复并说明处理报告的后续步骤。首次回复后,安全团队会持续告知你修复及完整公告的进展,并可能请求补充信息或指导。

升级处理

如果你在 6 个工作日内未收到对报告的确认,可以发送电子邮件至 security@anoma.ly

There aren't any published security advisories