Политика раскрытия уязвимостей
Плагин «ИИ-корректор для вычитки текста» · backend ai.edagency.ru · обновлено: апрель 2026
Контакт
Сообщения об уязвимостях просим направлять на edagency22@gmail.com. По возможности приложите шаги воспроизведения, версию плагина, снимок экрана или лог.
Область действия
- backend-сервис
https://ai.edagency.ru и его API-эндпоинты;
- Figma-плагин «ИИ-корректор для вычитки текста» (клиентский код
code.js, ui.html);
- страницы, размещённые на домене
ai.edagency.ru.
Вне области действия
- DoS/DDoS, объёмные атаки, брутфорс;
- социальная инженерия и фишинг в адрес пользователей или автора;
- уязвимости сторонних сервисов (Figma, Anthropic, Supabase, Let's Encrypt, Nginx и т.п.) — такие находки просим адресовать напрямую этим сервисам;
- теоретические риски без подтверждённого воспроизведения;
- проблемы в устаревших клиентских браузерах и средах, не поддерживаемых Figma.
Safe harbor
Добросовестное исследование безопасности в рамках этой политики приветствуется. Мы не будем инициировать юридические действия против ресёрчеров, которые:
- действуют без вреда для пользователей и их данных;
- не получают, не изменяют и не удаляют чужие данные сверх минимально необходимого для подтверждения уязвимости;
- сообщают о находке в частном порядке и дают разумное время на исправление до публикации.
Процесс и сроки
- Подтверждение получения отчёта — в течение 72 часов.
- Первичная оценка критичности — в течение 7 дней.
- Ориентир по исправлению: критические — до 14 дней, остальные — до 90 дней.
- Период координированного раскрытия — 90 дней с момента отчёта (может быть продлён по взаимному согласию).
Раскрытие
По просьбе ресёрчера мы публично поблагодарим его в разделе acknowledgements после выпуска исправления. Детали уязвимости публикуются только после фикса.
Вознаграждение
Платная bug-bounty программа сейчас не действует. Благодарим за ответственное раскрытие — при желании указываем имя и ссылку на профиль исследователя в публикации после фикса.
Security Vulnerability Disclosure Policy
Plugin "AI Proofreader for Text" · backend ai.edagency.ru · last updated: April 2026
Contact
Please report security vulnerabilities to edagency22@gmail.com. Where possible, include reproduction steps, the plugin version, a screenshot or log.
Scope
- the backend service
https://ai.edagency.ru and its API endpoints;
- the Figma plugin "AI Proofreader for Text" (client code
code.js, ui.html);
- pages hosted on the
ai.edagency.ru domain.
Out of scope
- DoS/DDoS, volumetric attacks, brute force;
- social engineering and phishing targeting users or the author;
- vulnerabilities in third-party services (Figma, Anthropic, Supabase, Let's Encrypt, Nginx, etc.) — please report those directly to the vendor;
- theoretical issues without a working proof-of-concept;
- problems in outdated client browsers or runtimes not supported by Figma.
Safe harbor
Good-faith security research under this policy is welcome. We will not pursue legal action against researchers who:
- act without harming users or their data;
- do not access, modify, or delete other people's data beyond the minimum required to confirm the issue;
- report privately and allow reasonable time for remediation before public disclosure.
Process and timelines
- Acknowledgement of the report — within 72 hours.
- Initial severity assessment — within 7 days.
- Target remediation: critical — up to 14 days, others — up to 90 days.
- Coordinated-disclosure window — 90 days from the initial report (may be extended by mutual agreement).
Disclosure
At the researcher's request we will publicly credit them in an acknowledgements section after the fix ships. Vulnerability details are published only after the issue is resolved.
Reward
A paid bug-bounty program is not currently in place. We appreciate responsible disclosure and, if you wish, will attribute the finding to you by name and profile link once the fix is published.