请不要通过公开 GitHub Issue 报告安全漏洞。

请直接发送邮件到 sam@harnetics.dev。

我们通常会在 48 小时内回复。如果你没有收到回复，请再次跟进，确保邮件已成功送达。

请尽量提供以下信息：

• 漏洞类型（如缓冲区溢出、SQL 注入、XSS 等）
• 与漏洞相关的源文件完整路径
• 受影响代码的位置（tag / branch / commit 或直接 URL）
• 复现问题所需的特殊配置
• 逐步复现说明
• PoC 或利用代码（如果可以提供）
• 漏洞影响范围，以及攻击者可能如何利用它

Harnetics 采用 local-first（本地优先） 设计：

• 默认不上传云端数据 —— 文档处理默认在本地完成
• 没有多租户边界 —— 当前以单用户部署模型为主
• MVP 阶段没有认证层 —— 默认用于本地或可信网络环境
• LLM 集成为可选项 —— 使用本地模型（如 Ollama）时可完全离线运行

• 我们会在 48 小时内确认收到漏洞报告
• 我们会在 7 天内给出修复计划或预估时间
• 漏洞修复完成后会通知你
• 如果你愿意公开署名，我们会在 release note 中致谢；如需匿名也完全可以

我们接受 中文 与 English 的漏洞报告。