原力金智SRC上线漏洞盒子 | 「企业SRC」新住客

漏洞盒子 2025-05-08 10:03

oi！——

节后上班摸鱼的你，别划了！

本蛙要给大家介绍一位新朋友

在本蛙的度假旅程中

从扫码买单到人脸验证

这位朋友始终一路随行

提供24小时在线的满满安全感

---

原力金智安全应急响应中心

入驻漏洞盒子啦！

让我们一起挖漏洞、补短板

共同守护金融智能的安全底线

01
/
漏洞提交地址

yljz.vulbox.com

02
/
关于原力金智

原力金智是一家行业领先的人工智能企业，专注于金融领域的人工智能技术研发与应用，致力于通过技术创新推动行业的智能化升级。公司深耕“泛金融”和“泛互联网”两大核心领域，通过自研算法与模型创新，将人工智能AI技术深度融合到金融和实体经济中。原力金智的核心产品包括人脸识别、大模型智慧文档处理等，广泛服务于银行、保险、互联网金融、出行、社交等行业客户及个人开发者。公司的使命是让身份认证和风险管理更加智能、安全、可信。通过持续的技术创新和优质的服务，原力金智希望成为客户值得信赖的合作伙伴，共同推动金融行业的智能化发展。

原力金智安全应急响应中心（Yuanli Security Response Center）非常欢迎广大用户和白帽子向公司提交安全漏洞，以帮助提升产品和业务的安全性。公司高度重视安全问题，通过与安全社区的合作，不断优化安全防护措施，确保用户数据和系统的安全。

03

漏洞奖励范围

核心系统

严重安全问题：￥2000-3000/个

高危安全问题：￥1000-2000/个

中危安全问题：￥200-1000/个

低危安全问题：￥80-200/个

普通系统

严重安全问题：￥1000-2000/个

高危安全问题：￥500-1000/个

中危安全问题：￥100-500/个

低危安全问题：￥20-100/个

一般系统

严重安全问题：￥500-1000/个

高危安全问题：￥200-500/个

中危安全问题：￥50-200/个

低危安全问题：￥0-50/个

04

资产范围

【核心业务】api.yljz.com、api-idn.yljz.com

【普通业务】www.yljz.com（FinAuth官网控制台）、aidoc-console.yljz.com（FinDocx平台）等其他除核心业务以外的其他业务线产品及域名

【一般业务】除上述核心、普通业务以外的其他业务线产品及域名

注：本SRC目前仅接收原力金智域名、ip下的系统或产品相关的漏洞，暂不接收其他金智相关公司的漏洞。

05

漏洞注意事项

我们鼓励白帽子对我们的系统进行安全测试，但为保证业务的正常运行和用户数据的安全，测试过程中请遵循以下规则：

1. 禁止在线上环境进行拒绝服务测试【dos与ddos】。

2. 测试sql注入或信息泄露漏洞时，获取敏感信息请不要超过十条。

3. 测试过程中，请自行申请账号进行测试，不要篡改系统原有账号的相关信息。

4. 禁止针对我司用户、员工进行社会工程学测试。

5. 测试报告请详细说明漏洞利用方式及具体危害，针对危害描述不清晰的会进行降级或拒收处理。

6.内容一致的报告按照提交时间顺序收取，只收取一次。

1. 请不要提交扫描器批量扫描出的但无法造成实际危害的漏洞。

2. 漏洞修复前，请不要泄露漏洞相关信息。漏洞修复后，在收到我司的明确书面授权之前，请不要向外部披露漏洞详情。

3. 如发现可能对我司产生影响的漏洞，但是复现会对业务造成较大影响，请不要尝试对业务进行破坏型攻击，并积极提交相关信息，我们会在内部核实后给出相应的奖励。

10.漏洞标题中必须按照 ：域名+漏洞类型的格式进行填写，如：xxx.xxx.com存在sql注入漏洞，因报告格式问题而导致的忽略，需要白帽子重新提交漏洞。

11.本项目最终解释权归原力金智SRC所有。

ATTENTION

严正声明

1. 在漏洞未修复前，我们希望您不要公开和传播。我们承诺：对每一份报告，都会有专门的安全人员进行评审、跟进并及时反馈最新的处理结果，并且我们会按照“漏洞奖励方案”对您的付出表示感谢。

2.我们鼓励采用合法合规的方式测试漏洞。白帽子的所有行为应在保障原力金智的安全稳定运行，以及维护原力金智网络数据的完整性、保密性和可用性的前提下开展安全漏洞挖掘行为。

3.对于利用漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播漏洞或数据等涉嫌违反法律、行政法规规定或违反原力金智安全应急响应中心管理规定、网站协议等的违法行为，我们均将保留追究法律责任的权利。

想要加入
漏洞盒子企业SRC

或了解更多企业SRC信息

点击下方图片查看详情

如有任何问题

请联系小莎莎QQ：3459476393