漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客
漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客
漏洞盒子 2025-04-01 19:17
清明小长假倒计时!
挖蛙的踏青计划表已经写满
追春风、放纸鸢、啃青团……
但总感觉少了点什么?
哦对!差点忘了带上蛙的新伙伴
TA不仅会写诗、画图、剪视频
还能用AI一眼看穿代码里的“小心思”
没错——
阶跃星辰安全应急响应中心
正式入驻漏洞盒子啦!
即日起
阶跃星辰SRC欢迎广大白帽积极反馈安全漏洞
携手阶跃星辰,安全跃向未来
01
关于阶跃星辰
阶跃星辰以“智能阶跃,十倍每一个人的可能”为使命,专注于多模态大模型研发与通用人工智能(AGI)探索。依托Step系列千亿至万亿参数规模大模型矩阵,覆盖语音、图像、视频等多模态生成与理解,阶跃星辰已推出“阶跃AI”智能助手,并在智能汽车、手机终端、IoT设备等领域与吉利汽车、OPPO等头部企业达成深度合作,推动AI技术融合与产业升级。
阶跃星辰安全应急响应中心(Stepfun Security Response Center)非常欢迎广大白帽子向我们提交公司产品和业务的安全漏洞,以帮助我们提升产品和业务的安全性。
02
漏洞奖励计划
01
漏洞提交地址
https://stepfun.vulbox.com/home
02
漏洞奖励计划
严重:¥ 400-6000
高危:¥ 200-2000
中危:¥ 40-600
低危:¥ 20-120
03
漏洞测试范围
核心系统:
*.stepfun.com(platform.stepfun.com除外)
核心的IT或运营系统
阶跃ai相关app,小程序等
*详见阶跃星辰SRC页面公告
04
漏洞注意事项
1.以测试漏洞为借口,利用漏洞进行以下行为的,不适用于本项目,同时厂商保留采取进一步法律行动的权利。
-
利用越权或SQL注入等可以获取敏感数据的漏洞,批量获取10条以上数据;
-
损害用户利益、盗取用户数据;
-
未经厂商授权、在厂商完成修复前传播漏洞细节;
-
使用高并发测试/CC攻击/DDoS攻击等影响厂商业务正常运行;
-
突破网络边界后进行内网渗透;
-
发动社会工程攻击。
2.撞洞说明:
-
同一漏洞定义:同一个漏洞源产生的多个漏洞算同一个漏洞。如:全局函数、全局配置导致的问题、同一配置影响的多个文件、同一漏洞的不同利用方式、同一函数导致漏洞等、同一文件在不同目录、不同版本的同一漏洞、同一微服务部署在不同域名下等。
-
原则上以提交时间作为漏洞接收顺序,多人同时提交内容一致的报告,以第一个提交者为准,且只收录一次。
3.内容安全相关问题不适用于本项目。
4.越权相关漏洞,请尽量提供测试账号,因测试账号导致无法复现的漏洞将会被忽略;登录后台相关的漏洞需要给出详尽的登录过程,否则漏洞会被忽略
5.POC需要尽可能详细,除了截图外,还需要包含详细的URL、填写明确的文本(尤其是诱导ai所使用的提示词、对话输入)。因POC过于简单导致无法复现的漏洞将会被忽略。
6.对于第三方组件、产品服务导致的漏洞,如果是已公开漏洞,将会被忽略;如果是未公开漏洞,根据漏洞对产品和业务的影响进行独立评估。
7.阶跃星辰及相关公司员工不得参与或通过朋友参与本项目。
8.本项目最终解释权归StepSRC所有。
严正声明
-
在漏洞未修复前,我们希望您不要公开和传播。我们承诺:对每一份报告,都会有专门的安全人员进行评审、跟进并及时反馈最新的处理结果,并且我们会按照“漏洞奖励方案”对您的付出表示感谢。
-
我们鼓励采用合法合规的方式测试漏洞。白帽子的所有行为应在保障阶跃星辰的安全稳定运行,以及维护阶跃星辰网络数据的完整性、保密性和可用性的前提下开展安全漏洞挖掘行为。
3.对于利用漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播漏洞或数据等涉嫌违反法律、行政法规规定或违反阶跃星辰SRC管理规定、网站协议等的违法行为,阶跃星辰SRC均将保留追究法律责任的权利。
<<< END >>>
想要了解更多企业SRC信息
点击下方图片查看详情
如有任何问题
请联系小莎莎QQ:3459476393