Token Forest 安全政策
最后更新 2026-07-08
发布者:Poietic Studio
本页为英文版《安全政策》的中文翻译。如中英文之间存在任何歧义,以英文版为准;删除排行榜记录等隐私请求请见《隐私声明》页。
Token Forest 是由 Poietic Studio 发布的闭源桌面应用。我们认真对待有关其安全与隐私行为的报告——尤其是任何与我们已发布的《隐私声明》不一致的情形。
受支持的版本
除非发布说明另有说明,否则只有最新的公开版本会获得安全修复。较旧的版本和开发快照不受支持——请升级。
报告漏洞
请私下报告疑似漏洞:
- ✦首选:GitHub 私密漏洞报告——https://github.com/Ericcccccc777/Poietic-TokenForest/security
- ✦邮件:security@tokenforest.com.au(邮箱将在首个公开版本前启用)
请不要为未修复的漏洞开公开 issue。普通的 bug 和功能建议欢迎提交到公开 issue 跟踪器。
报告中请勿包含:你的 Claude/Codex 日志、提示词或对话内容、源代码、access/refresh 令牌,或其他用户的排行榜数据。如需相关材料,我们会安排一种最小化的私密方式来分享。
报告应包含的内容
- ✦Token Forest 版本及确切的下载文件名(若可能,附上其 SHA-256);
- ✦操作系统与架构;
- ✦清晰的影响说明,以及可复现的步骤或概念验证;
- ✦报告时排行榜处于关闭、暂停还是开启;
- ✦该问题是否已在其他地方披露;
- ✦你希望以何种方式署名(或选择匿名)。
受理范围
- ✦任何对本地日志、提示词、对话内容或源代码文件的上传;
- ✦排行榜关闭时的任何网络请求(应用承诺为零);
- ✦同意确认/《隐私声明》与实际发送内容之间的不一致;
- ✦排行榜认证或行级安全绕过(读取或修改其他用户的记录);
- ✦access/refresh 令牌泄露;
- ✦本地存储可被操作系统的其他用户跨账户读取;
- ✦任意代码执行、不安全的归档/更新处理、DLL 或库劫持;
- ✦篡改官方下载、校验值或签名;
- ✦已宣称的排行榜删除流程失效。
请只使用你自己的账户和测试数据,并在问题得到证实后立即停止。
通常不在受理范围
- ✦UI、动画或布局 bug;功能建议;
- ✦可由我们已记录的度量定义解释的 token 计数差异;
- ✦在签名/哈希本身有效时,SmartScreen 提示新文件“不常被下载”的警告;
- ✦需要事先完全控制用户操作系统账户才能触发的问题;
- ✦没有实际影响证明的自动化扫描器输出;
- ✦针对团队成员的社会工程。
对于暴露真实用户风险的范围外报告,我们仍可能采取行动。
我们的响应
以下是目标而非保证:在 3 个工作日内确认收到;在 7 个工作日内完成初步评估;对已确认的问题至少每 14 天同步一次进展。对于严重问题,我们可能立即下架受影响的下载。修复会从干净的提交重新构建,在适用时重新签名,以新的校验值重新发布,并在发布说明中公告;被撤下的二进制文件会保留标记,而不会被悄悄改写。
如果你出于善意行事——避免造成隐私损害、只使用你自己的数据、给予合理的修复时间——我们会与你合作,并在征得你同意后在发布说明中致谢。
隐私请求
删除排行榜记录的请求或有关数据处理的问题不属于漏洞——请参见《隐私声明》的联系方式部分。切勿将你的 account.json 令牌发送给任何人。
发行真实性
官方下载只来自本网站和产品仓库的 GitHub Releases,每个都附带 SHA-256 校验值和已声明的签名状态。请不要运行未通过校验的下载——将其删除,从官方渠道重新下载,若不一致仍然存在请报告。