安全政策 / Security Policy¶

繁體中文 | 简体中文 | English

这个 repo 是一份精选学习路线图（主要是 Markdown 教材 + 少量示例代码），不是一个会部署的软件产品。即便如此，有几类安全问题仍然值得报告，尤其因为本教材教读者实际运行 agent / MCP / tool-use。

支持范围¶

本项目采用滚动式维护，没有版本化 release。只有 main 分支的最新状态会被修正。

请报告以下情况：

被劫持 / 恶意的第三方链接 —— catalog 里某个 repo 链接指向了钓鱼站、恶意包，或项目已被恶意接管
示例代码的供应链风险 —— examples/、walkthroughs/、scripts/ 里的代码会引导不安全的依赖包、泄露密钥的写法，或可被注入的命令
教材中外泄的密钥 —— 文件里不小心贴出真实 API key / token / 凭证
命令注入式的教学内容 —— 某段教学会诱导读者在自己机器上跑出危险后果（例如未沙箱化地对 untrusted input 运行 agent）

不属于本 repo 安全范围的：第三方项目本身的漏洞。那些请直接报告给上游项目的维护者，并可同时开 issue 提醒我们把该 entry 标注或移除。

请不要在公开 issue 里贴出可被利用的细节。

首选：用 GitHub 的 私人漏洞报告（repo 的 Security 分页 → Report a vulnerability）。只有维护者看得到。
若该功能不可用：请通过 GitHub 私信 @WenyuChiou，说明问题影响与受影响的文件 / 链接，我们会私下接续。请勿开公开 issue——即使不贴 exploit 细节，公开的标题与标签也会对外暴露“有一个未修补的问题”。

报告时请尽量附上：受影响的文件 / 链接、问题说明、可能的影响，以及（若有）修正建议。

这是一个社区维护的教育项目，没有 SLA，但我们会尽快处理。一般而言：

谢谢你帮忙让这份教材对所有学习者都更安全。