# 安全边界

公开 issue 只适合讨论不含敏感细节的安全边界、公开文档措辞、公开链接和公开复现问题。

## 不要公开提交

- 密钥、token、密码、私有配置或凭证。
- 真实账号、真实交易记录、客户数据、私有日志或私有执行链。
- 可以直接攻击真实系统、绕过权限或扩大现实伤害的漏洞利用步骤。
- 任何需要暴露第三方系统、账号、身份线索或非公开环境才能说明的问题。

## 可以公开提交

- 某个公开页面的安全边界写得太宽、太含糊或容易误导。
- 某个公开 demo、schema 或 README 需要更明确地说明限制。
- 某个公开 issue 模板需要增加安全确认项。

如果问题需要敏感细节才能说明，请不要开公开 issue。先保留最小化证据，并使用私密安全报告路径。