我们非常重视 iroha-cli (iroha code) 的安全性。作为一个拥有 Shell 命令执行能力并存储大模型 API 密钥的 AI 智能体终端工具,确保系统执行边界的安全和凭证不被泄露是我们的最高优先级。
如果您发现任何安全漏洞,请不要直接在 GitHub 上公开创建 Issue,而是通过本安全策略所述的私密渠道向我们报告。
目前仅以下版本处于安全维护状态,并会积极接收安全补丁:
| 版本系列 | 状态 | 是否接收安全更新 |
|---|---|---|
v1.3.x (最新发布版) |
🟢 活跃维护中 | 是 (Yes) |
< v1.3.0 |
🔴 已停止维护 | 否 (No) |
如果您正在使用旧版本,我们强烈建议您升级到最新的安全版本。
如果您怀疑或确认发现了安全漏洞(例如:安全沙箱越狱、恶意命令注入绕过、敏感配置/API Key 静默泄露等),请通过以下方式私密提报:
- GitHub 私密漏洞报告(首选): 访问 GitHub 仓库的 Security 选项卡,选择 Vulnerabilities,然后点击 Report a vulnerability 进行私密提交。
- 安全邮箱提报:
发送详细邮件至:security@planckbaka.com 。
- 注:请尽量包含详细的复现步骤、PoC 脚本以及您运行的环境配置。
我们将在 48 小时内 确认您的提报,并在分析评估后为您提供漏洞修补的更新进展。
- 切勿在公开 Issue 中贴出配置:当您提报 Bug 附带日志或配置截图时,请务必对
~/.iroha.json文件中的api_key进行脱敏处理。 - 优先使用环境变量:建议在终端中使用
export ZHIPU_API_KEY="..."导入密钥,避免在配置文件中留存明文凭证。
- Auto Mode 双刃剑:
ModeAuto(自动模式) 虽然高效,但它会在通过 AI 审查后自动执行命令。如果您在完全不信任的外部仓库中运行iroha,我们强烈建议您:- 使用默认的 Default Mode(每次写操作都需手动确认);
- 在隔离的 Docker 容器、虚拟机或隔离的沙箱(Sandboxed environment)中启动
iroha调试。