Skip to content

Programa de Recompensas por Errores

Damos la bienvenida a la investigación de seguridad responsable. Reporte vulnerabilidades y gane recompensas de hasta $2,000 por ayudar a mantener JieGou seguro.

Alcance

Sistemas dentro del alcance

console.jiegou.ai — Aplicación principal
mcp.jiegou.ai — Servidor MCP
jiegou.ai — Sitio web de marketing
Extensión de Chrome JieGou — Extensión del navegador (Chrome Web Store)

Fuera del alcance

  • Servicios de terceros (Firebase, AWS, Stripe, proveedores de LLM)
  • Ataques de ingeniería social contra empleados de JieGou
  • Ataques de denegación de servicio (DoS/DDoS)
  • Ataques de seguridad física
  • Escaneos automatizados sin aprobación previa
  • Cualquier prueba que pueda degradar la disponibilidad del servicio

Niveles de recompensa

Crítico $500 – $2,000
  • Ejecución remota de código (RCE)
  • Bypass de autenticación
  • Inyección SQL/NoSQL que conduce al acceso a datos
  • Escalada de privilegios (Viewer a Admin/Owner)
  • Acceso no autorizado a datos de clientes entre cuentas
Alto $200 – $500
  • Cross-site scripting (XSS) con impacto demostrado
  • Cross-site request forgery (CSRF) en acciones sensibles
  • Server-side request forgery (SSRF)
  • Referencias directas a objetos inseguras (IDOR) que exponen datos sensibles
  • Exposición de claves API o credenciales en respuestas
Medio $50 – $200
  • Divulgación de información (trazas de pila, info de depuración, IPs internas)
  • Encabezados de seguridad faltantes con ruta de explotación demostrada
  • Fijación de sesión
  • Toma de control de subdominio
Bajo Reconocimiento
  • Encabezados de buenas prácticas faltantes sin ruta de explotación
  • Clickjacking en páginas no sensibles
  • Mensajes de error detallados sin datos sensibles
  • Mejoras de configuración SSL/TLS

Reglas de participación

  1. 1 No acceda, modifique ni elimine datos de clientes. Si accede accidentalmente a datos de clientes, deténgase inmediatamente e infórmelo.
  2. 2 No realice acciones que puedan degradar la disponibilidad del servicio (sin pruebas de carga, DoS, agotamiento de recursos).
  3. 3 Use solo cuentas de prueba dedicadas. Cree su propia cuenta para pruebas; no pruebe contra las cuentas de otros usuarios.
  4. 4 Reporte las vulnerabilidades con prontitud y permita un tiempo razonable para la remediación antes de la divulgación pública.
  5. 5 No use escáneres automatizados contra sistemas de producción sin aprobación escrita previa.
  6. 6 Cumpla con todas las leyes aplicables.

Cómo reportar

Enviar reportes a

security@jiegou.ai

Por favor incluya

  • Descripción de la vulnerabilidad
  • Instrucciones de reproducción paso a paso
  • Prueba de concepto (capturas de pantalla, videos o código)
  • Evaluación del impacto
  • Remediación sugerida (opcional)
  • Su información de contacto para seguimiento

Cronograma de respuesta

1
Acuse de recibo
48 horas
2
Triaje y evaluación de severidad
5 días hábiles
3
Remediación (Crítico)
7 días
4
Remediación (Alto)
30 días
5
Remediación (Medio/Bajo)
90 días
6
Pago de recompensa
30 días después de la verificación de la corrección

Puerto Seguro

JieGou no tomará acciones legales contra investigadores que:

  • Sigan esta política y las reglas de participación
  • Reporten vulnerabilidades de buena fe
  • No exploten vulnerabilidades más allá de lo necesario para demostrarlas
  • No accedan, modifiquen ni exfiltren datos de clientes

Este programa no constituye una relación de empleo o contratista. Las recompensas son discrecionales y determinadas por JieGou según la severidad, el impacto y la calidad del reporte. JieGou se reserva el derecho de modificar o terminar este programa en cualquier momento.

security@jiegou.ai Volver a Seguridad