当前以 main 分支上的最新代码为维护重点。历史版本是否修复安全问题取决于维护者评估与精力；建议始终跟踪 main 并在生产环境自行做版本与变更审计。

若你发现可利用的安全漏洞（例如未授权访问他人数据、远程代码执行、敏感信息泄露等），请不要在公开 Issue 中讨论。

请通过以下方式私信维护者（任选其一，避免在 Issue 中暴露细节）：

• 在 GitHub 上向仓库所有者发起私密安全公告（若仓库已启用 Security advisories），或
• 通过你在仓库主页或提交记录中能联系到的维护者渠道（例如用户公开的邮箱），邮件主题建议包含 [KB-Copilot Security]。

请尽量提供：

• 漏洞类型与影响范围
• 复现步骤或概念验证（PoC）思路
• 受影响版本或提交范围（若已知）

维护者会在合理时间内阅读并回复；修复进度可能因复杂度而异。在修复发布前，请避免对外公开细节，以便保护仍在使用旧版本的用户。

• 勿将真实 .env、数据库口令、JWT/Fernet 密钥提交到 Git。
• 生产环境关闭开发用选项（例如密码重置 token 仅出现在 API 响应中等），并配置 HTTPS、最小权限数据库账号与向量库访问控制。