2025-12-14 01:55:51 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 百度安全应急响应中心(BSRC)发布了漏洞收录规范的特殊说明，明确了18类不予收录的漏洞情况，旨在规范白帽子的提交流程。这些情况包括AI模型的提示注入与响应内容问题、非隐私数据泄露、沙箱环境内正常功能、无法利用的SSRF、轰炸类漏洞、非安全相关的产品BUG、过时软件的二进制漏洞以及非百度直接运营的业务漏洞等。该规范还强调了提交报告时需提供原始数据包、准确域名和一致的漏洞证明，以确保审核通过。 综合评分： 91 文章分类： SRC活动,漏洞分析,漏洞预警,安全建设

cover_image

BSRC漏洞收录规范特殊说明

百度安全应急响应中心

2025年10月29日 19:15 北京

为进一步规范漏洞的收录与评分标准，BSRC《漏洞收录规范特殊说明》正式发布！该说明将明确特殊场景漏洞的处理细则，为各位白帽的漏洞提交提供更清晰的指引。每一次严谨的漏洞报告，都是网络安全的坚实防线，此规范最终以BSRC官网公告为准，感谢各位白帽对 BSRC 的支持！

非信息安全漏洞导致的内容安全风险、模型提示与响应内容相关的问题暂不收录，请通过对应产品或网站的客服反馈渠道直接提交相关问题。如有对产品可造成额外的、可直接验证的安全影响（如获取训练数据、篡改模型架构、信息泄漏，越权获取他人对话内容等），则正常收录（测试过程请使用测试账号进行测试）。禁止使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材，同时禁止上传至BSRC平台。

a.模型提示与响应内容相关的问题暂不收录举例：
模型提示类：越狱/安全绕过（如DAN等相关提示词）
响应内容类：大模型输出恶意内容（如违规营销信息、恶意代码等）
模型幻觉类：诱导大模型模拟计算机终端并执行命令等
非隐私数据泄露相关的Al服务风险（如Jailbreak、Prompt Leak 等）暂不收录。
本身符合业务预期的产品功能不进行收录，如沙箱环境中的代码/命令执行等。若能进行有效逃逸到宿主机/物理机或发现敏感信息，则正常收录。
内部已知漏洞或重复漏洞，不收录。
不能访问百度内网的SSRF漏洞。
对于利用条件异常苛刻或无法利用的安全漏洞，不收录。
短信/邮件等横向轰炸漏洞（对不同号码发送轰炸信息）不收录。
不涉及安全问题的 BUG。包括但不仅限于产品功能缺陷、网页乱码、样式混乱、静态文件目录遍历、应用兼容性等问题不进行收录。
PC 端二进制类漏洞，如果该软件已经超过半年没有更新或非最新版本（例如百度浏览器），不进行收录。
对于百度不直接参与运营的业务(如百度外卖、91 助手、千千音乐、太合音乐、纵横文学、度小满金融、百度云租户等) ，建议将其相关的漏洞直接反馈给该业务现在归属的公司，此类漏洞将不在 BSRC 奖励计划之内。
PDF渲染造成的相关XSS不收取，非百度域下的XSS不在收取范围内，如：bcebos.com，针对自身账户无法完成数据外带的XSS不在收取范围内。
无敏感操作的CSRF漏洞将忽略（敏感操作定义：金额支付/用户密码/修改用户核心信息等）。
相关租户使用域名不在收录范围内，如：bceapp.com、jomoxc.com。
通过返回包报错或前端文件导致的sql语句泄漏、服务器绝对路径泄露漏洞按照无危害处理。
业务接口资源消耗导致的拒绝服务，不收录，拒绝服务漏洞收录以网络层面为主。
无法重现的漏洞、只有“简要概述”的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测、未经过验证的问题、无实际危害证明的扫描器结果。
漏洞证明需要读取到具体的机器信息，如hostname、id等，不应以dnslog等相关请求回包为漏洞存在依据（百度内部存在较多爬虫请求，可能会存在信息干扰）。18.漏洞提交需要满足以下要素，方能保证顺利通过审核：
涉及的网络请求需要使用纯文本或附件的形式提交发送的原始数据包文本内容原文，不可仅提交截图。
提交的站点域名要求准确，报告内容中需围绕提交域名站点进行说明；应用程序应提交包名作为站点域名。
提交漏洞名称和报告证明漏洞需一致，漏洞名称中不应出现报告中无法证明的漏洞危害。