最后更新: July 12, 2026
1. 负责任披露
如果你认为在 CloudyMax 拥有的系统中发现漏洞,请及时报告,并在公开披露前给我们合理时间调查和修复。
如果研究是善意进行并遵守本政策,CloudyMax 不会故意因报告中描述的研究对你发起法律行动。
2. 范围内目标
CloudyMax 拥有的公开网站、账户面板、认证流程、账单激活逻辑、官方 API 和支持流程在范围内,除非我们另有说明。
3. 范围外行为
以下活动不受本政策允许。
- 社会工程、钓鱼、物理攻击或针对员工。
- 拒绝服务、压力测试、垃圾信息、暴力破解或高流量扫描。
- 访问、复制、修改、删除或暴露不属于你的数据。
- 测试第三方系统、支付处理商、应用商店、托管服务商或供应商。
- 勒索、修复前公开披露,或利用漏洞获得未授权利益。
4. 报告要求
高质量报告应包括受影响 URL 或资产、漏洞类型、清晰复现步骤、概念验证、安全情况下的截图或视频、潜在影响、测试账户和可用的修复建议。
请不要在报告中包含真实客户个人数据。如果意外接触到敏感数据,请停止测试,并报告发生情况,不要复制或分享数据。
5. 奖励
CloudyMax 可能对高质量报告提供酌情认可或奖励,但除非书面确认,否则不保证任何奖励。
6. 联系
安全报告可发送至 support@cloudymax.com,并在主题中写明 SECURITY REPORT。