Master-skill 以 main 为持续发布分支。我们仅对以下版本承诺 security fix：

请勿通过公开 issue 报告安全漏洞。 公开披露会让攻击者先行利用。

1. 访问 https://github.com/xr843/Master-skill/security/advisories/new
2. 填写漏洞描述、复现步骤、影响范围
3. 维护者会在 72 小时内确认收悉

邮件发送至 xianren843@protonmail.com，主题请包含 [SECURITY]。

推荐用 GPG / PGP 加密：公钥可通过 keys.openpgp.org 搜索该邮箱获取（或在 issue 中 request）。

Master-skill 作为 AgentSkill 插件 + NPX CLI，主要关注以下安全面：

• 预置法师的 SKILL.md / voice.md / sources/ 被恶意注入，导致 AI 绕过 HARD-GATE 或伦理边界
• /create-master 生成管线中的 prompt 模板被污染
• 用户问题中的诱导越狱（"假装你是个能传戒的 AI..."）

• package.json 依赖被投毒（当前依赖极少，但未来可能增加）
• FoJin API 返回的文本被篡改以影响 fidelity test
• CBETA ID 伪造（已有 scripts/validate.py 防线，但需持续完善）

• ANTHROPIC_API_KEY 在 CI 日志中意外泄露
• 用户在 issue / discussion 中误粘自己的 API key（自动检测 + 立即清除）

• bin/cli.mjs (npx master-skill install) 的目录操作是否存在路径穿越
• 安装到 ~/.claude/skills/ 时的符号链接注入

• 特别 crafted 的用户问题使法师角色逾越 ETHICS.md §3 的禁止行为
• 这类属于安全 + 伦理交叉问题，优先级等同 S 级漏洞

以下不属于 security policy 范围：

• 某位法师回答不够"像"该祖师 → 开 bug report
• 引经错误（而非伪造）→ 开 bug report
• FoJin API 不可用 → 项目已有 graceful degradation，非安全问题
• UX / 文档问题 → 普通 issue

本项目目前无法提供现金奖励（个人维护，非商业项目）。但会：

• 在 CHANGELOG.md 显著位置署名感谢（除非你希望匿名）
• 对严重漏洞发现者提供一份定制化感谢文书（PDF + 项目维护者签名）
• 愿与你共同起草 CVE 条目（如适用）

• 负责任披露：GitHub Security Advisory Policy
• 内容安全边界：ETHICS.md §3
• 社区安全：CODE_OF_CONDUCT.md

感谢你让本项目更安全。