专测时间：11月4日-11月20日

提交报告标题备注【豆包专测】

重点漏洞类型

• 直接获取核心系统权限的漏洞：

包括但不限于服务器环境的远程命令执行漏洞、任意代码执行漏洞、SQL 注入获取系统可执行权限、回显SSRF获取系统权限（需通字节内网）

• 泄露大量核心敏感数据的漏洞/情报：

包括但不仅限于核心 DB（身份信息、账密）的 SQL 注入、权限绕过、可获取大量核心用户的身份信息、账户信息、数字分身、用户原始音色、用户和智能体聊天记录等接口漏洞引起的敏感信息泄露；（敏感数据界定：身份信息、银行卡号、手机号、账密、详细地址等需至少2种数据类型关联）。

• 重大影响的逻辑漏洞：

包括但不限于批量任意账号密码重置、任意用户登陆。

敏感数据定义

补充说明：

1. 数据泄露对应量级：严重>100万条、高危>5000条、中低危<1000条。

2. 豆包客户端/插件本身的漏洞均以目前业务最新版为准。

3. 其他未提及的信息数据可以提交后由内部与业务共同商议评估。