漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客

漏洞盒子 2025-04-01 19:17

清明小长假倒计时！

挖蛙的踏青计划表已经写满

追春风、放纸鸢、啃青团……

但总感觉少了点什么？

哦对！差点忘了带上蛙的新伙伴

TA不仅会写诗、画图、剪视频

还能用AI一眼看穿代码里的“小心思”

没错——

阶跃星辰安全应急响应中心

正式入驻漏洞盒子啦！

即日起

阶跃星辰SRC欢迎广大白帽积极反馈安全漏洞

携手阶跃星辰，安全跃向未来

01

关于阶跃星辰

阶跃星辰以“智能阶跃，十倍每一个人的可能”为使命，专注于多模态大模型研发与通用人工智能（AGI）探索。依托Step系列千亿至万亿参数规模大模型矩阵，覆盖语音、图像、视频等多模态生成与理解，阶跃星辰已推出“阶跃AI”智能助手，并在智能汽车、手机终端、IoT设备等领域与吉利汽车、OPPO等头部企业达成深度合作，推动AI技术融合与产业升级。

阶跃星辰安全应急响应中心（Stepfun Security Response Center）非常欢迎广大白帽子向我们提交公司产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性。

02

漏洞奖励计划

01

漏洞提交地址

https://stepfun.vulbox.com/home

02

漏洞奖励计划

严重：¥ 400-6000

高危：¥ 200-2000

中危：¥ 40-600

低危：¥ 20-120

03

漏洞测试范围

核心系统：

*.stepfun.com（platform.stepfun.com除外）

核心的IT或运营系统

阶跃ai相关app，小程序等

*详见阶跃星辰SRC页面公告

04

漏洞注意事项

1.以测试漏洞为借口，利用漏洞进行以下行为的，不适用于本项目，同时厂商保留采取进一步法律行动的权利。

• 利用越权或SQL注入等可以获取敏感数据的漏洞，批量获取10条以上数据；

• 损害用户利益、盗取用户数据；

• 未经厂商授权、在厂商完成修复前传播漏洞细节；

• 使用高并发测试/CC攻击/DDoS攻击等影响厂商业务正常运行；

• 突破网络边界后进行内网渗透；

• 发动社会工程攻击。

2.撞洞说明：

• 同一漏洞定义：同一个漏洞源产生的多个漏洞算同一个漏洞。如：全局函数、全局配置导致的问题、同一配置影响的多个文件、同一漏洞的不同利用方式、同一函数导致漏洞等、同一文件在不同目录、不同版本的同一漏洞、同一微服务部署在不同域名下等。

• 原则上以提交时间作为漏洞接收顺序，多人同时提交内容一致的报告，以第一个提交者为准，且只收录一次。

3.内容安全相关问题不适用于本项目。

4.越权相关漏洞，请尽量提供测试账号，因测试账号导致无法复现的漏洞将会被忽略；登录后台相关的漏洞需要给出详尽的登录过程，否则漏洞会被忽略

5.POC需要尽可能详细，除了截图外，还需要包含详细的URL、填写明确的文本（尤其是诱导ai所使用的提示词、对话输入）。因POC过于简单导致无法复现的漏洞将会被忽略。

6.对于第三方组件、产品服务导致的漏洞，如果是已公开漏洞，将会被忽略；如果是未公开漏洞，根据漏洞对产品和业务的影响进行独立评估。

7.阶跃星辰及相关公司员工不得参与或通过朋友参与本项目。

8.本项目最终解释权归StepSRC所有。

严正声明

1. 在漏洞未修复前，我们希望您不要公开和传播。我们承诺：对每一份报告，都会有专门的安全人员进行评审、跟进并及时反馈最新的处理结果，并且我们会按照“漏洞奖励方案”对您的付出表示感谢。

2. 我们鼓励采用合法合规的方式测试漏洞。白帽子的所有行为应在保障阶跃星辰的安全稳定运行，以及维护阶跃星辰网络数据的完整性、保密性和可用性的前提下开展安全漏洞挖掘行为。

3.对于利用漏洞损害用户利益、影响业务运营、盗取用户数据、恶意传播漏洞或数据等涉嫌违反法律、行政法规规定或违反阶跃星辰SRC管理规定、网站协议等的违法行为，阶跃星辰SRC均将保留追究法律责任的权利。

<<<  END >>>

想要了解更多企业SRC信息

点击下方图片查看详情

如有任何问题

请联系小莎莎QQ：3459476393