CodexManager 当前仍在快速迭代，但会尽量处理合理范围内的安全问题报告。

优先关注的问题包括：

• 账号 token、RPC token、平台 key 泄露风险
• Web 访问密码绕过
• 本地网关未授权访问
• 敏感日志泄露
• 影响桌面端、service、web 三端的高危远程利用问题

请不要在公开 Issue 中直接披露可复现的敏感漏洞细节、有效 token 或账号数据。

建议通过以下方式私下联系维护者：

• GitHub 仓库所有者主页联系方式
• 已建立的私下沟通渠道

如果暂时只能通过 Issue 联系，请只描述影响范围，不要附带：

• 有效 access token
• refresh token
• id token
• RPC token
• API key 明文
• 可直接复用的攻击脚本

请尽量提供：

1. 影响范围
2. 复现步骤
3. 触发条件
4. 预期结果与实际结果
5. 是否需要登录 / 是否需要本地网络条件
6. 日志片段或截图（注意脱敏）

提交日志、截图、配置前，请先脱敏以下内容：

• Authorization 头
• Cookie
• Set-Cookie
• access_token
• refresh_token
• id_token
• CODEXMANAGER_RPC_TOKEN
• 任何可直接复用的代理账号或平台密钥

• 不要把真实 token、密码、cookie、API key 提交到仓库。
• 不要在 README、Issue、PR、文档里贴可直接使用的敏感值。
• 新增日志时，优先记录结构化上下文，不直接输出明文敏感数据。
• 新增设置项时，区分“适合持久化的配置”和“只能在环境变量中提供的敏感值”。

• 项目默认面向本地部署与自托管使用场景，不承诺公网暴露下的全自动安全加固。
• 如果启用 0.0.0.0 监听或将 Web / service 暴露到局域网或公网，部署者需要自行承担网络暴露风险，并配合：
  • 强密码
  • 反向代理访问控制
  • 网络边界限制

• 能确认的问题会尽量复现并评估影响等级。
• 修复完成后，会在合适版本中发布，不会在公开渠道提前暴露敏感细节。
• 如问题不属于仓库本身，而是部署配置不当，也会给出边界说明。