ClawPlay 当前处于持续迭代阶段，默认以 main 分支的最新代码作为维护对象。

如果你发现的问题涉及以下范围，都欢迎反馈：

• 管理后台认证与会话安全
• 投稿、审核、发布相关接口
• 原始 Soul 下载接口
• 环境变量、部署配置和数据暴露风险
• SEO / OG / 路由实现里可能导致的信息泄露问题

如果你认为问题可能带来真实安全风险，请不要直接公开创建 issue 并附带可复现攻击细节。

更合适的方式是：

1. 优先使用 GitHub 的私密安全报告渠道（如果仓库已启用）
2. 如果私密安全报告不可用，请通过仓库 owner 的 GitHub 联系方式私下说明
3. 只有在风险已经解除或明确不敏感时，再考虑公开披露

请尽量提供以下信息：

• 问题影响范围
• 复现步骤
• 预期结果与实际结果
• 是否需要认证
• 可能的影响等级
• 如有修复建议，也欢迎一起提供

当前没有企业级 SLA，但会尽量按以下节奏处理：

• 72 小时内确认是否已收到
• 尽快判断严重性与影响范围
• 修复后再讨论是否公开披露细节

出于善意、最小影响原则进行的安全研究与负责任披露，会被视为对项目有帮助的行为。

请不要：

• 破坏数据
• 大规模抓取或压测生产服务
• 访问、修改或导出不属于你的数据
• 公开仍未修复的敏感细节