Bug Bounty Program - Mouwoo/VTubeStudio GitHub Wiki

漏洞披露: 一般信息

感谢你帮助维护 VTube Studio 安全 😄

VTube Studio 以用户安全为核心构建。然而,VTube Studio 的各个部分都暴露在本地网络和互联网上,因此肯定存在恶意行为者试图通过 VTS 潜在的安全漏洞入侵你的 PC,窃取你的个人数据或模型的风险。

如果你是安全研究员并希望分析/研究 VTube Studio,你拥有完全的权限。只要遵循本页上概述的 责任披露指南 ,也可以为 特定的高用户影响漏洞 提供赏金(更多信息见下文),。

有关 VNet 如何保护用户数据的信息,请参阅以下内容: https://github.com/Mouwoo/VTubeStudio/wiki/VNet-Security

所有报告应仅发送至邮箱 [email protected]。为了保持流程有序,请勿使用任何其他渠道。

请随意报告你认为可能相关的任何内容。不过,我更关注其中的一部分,而有一部分我认为无关紧要。

声明

以文本形式或二进制形式重新分发 VTube Studio 的资产和代码是严格禁止的。包括提供修改 VTube Studio 源代码的工具。

高度关注:

  • 与 RCE 相关的任何内容,这意味着你可以通过网络向运行 VTS 的 PC 发送特制的数据包,从而在运行 VTS 的 PC 上执行任意代码,包括:
    • 通过 VTS API(经过身份验证或未经身份验证的插件)
    • 通过 VNet 协作系统
    • 通过跟踪数据服务器
  • 无需被邀请加入会话或拥有会话密码就能够通过 VNet 远程窃取解密的模型。
  • 只需知道一个或多个参与者的 Steam ID就能从未受邀参加的 VNet Collab 中获取任何类型的个人信息或数据。
  • 在没有受邀或没有会话密码的情况下强行进入 VNet 协作。
  • 使用远程插件访问 VTS API(意味着它在网络浏览器中运行,而不是在本地运行),而无需先对插件进行身份验证。
  • 访问 VNet 服务器管理控件。

一般关注:

  • 能够列出 VNet 服务器上的文件。这些文件是加密的,但攻击者仍然不应该能够获得所有文件的列表。
  • 能够“猜测”未受邀或没有密码的协作的 VNet 文件 URL。
  • 获得 VTube Studio 网站管理面板访问权限的漏洞。
  • 获得 VTube Studio 社交媒体或 Discord/Steam/电子邮件帐户访问权限的漏洞。
  • 以Live2D Cubism Core库为目标的漏洞,用于加载Live2D模型。请 直接向 Live2D Inc 报告 如果你计划分析他们的软件,请记得先获得 Live2D Inc. 的许可,因为 Live2D Inc. 的 EULA 可能禁止这种行为。

不太关注:

  • 任何需要攻击者已在目标 PC 上运行进程/应用程序的情况。在这种情况下,应认为系统已被完全入侵,因此需要此条件的任何漏洞都与 VTS 用户的网络安全无关。
  • 获得邀请并知晓密码的参与者能够储存模型文件。我们在产品文档中已明确说明该特性,并通过醒目标识提醒用户——借助专业黑客工具可绕过常规防护实现此操作。虽然可通过反作弊系统或DRM加密等侵入性方案进行防范,但基于以下考量我们暂不实施:首先VNet定位为熟人协作场景,不存在开放匹配机制;其次现有社区使用数据表明,私密小团体的信任基础已形成有效风险缓冲。
  • VNet服务器的未授权上传/下载行为。所有文件将在24小时后自动删除。
  • "拒绝服务"类攻击,例如通过VNet、追踪数据服务器或VTS API发送大量数据包。计划未来增加防护措施,但当前无需优先处理。

如果你认为这些内容相关,请随时举报,但我可能不会采取任何行动。

请务必先在你自己的系统上、使用你自己的模型文件对漏洞进行利用测试(前提是不对VTube Studio或任何第三方造成损害),然后再联系我。绝对禁止尝试利用漏洞攻击与你无关的其他VTube Studio用户。

漏洞赏金

漏洞赏金适用于对VTS用户具有高危害性的漏洞,特别是"高度关注"类别所列漏洞。若提供包含可运行概念验证(PoC)的逐步利用说明,此类漏洞赏金最高可达 1000美元 (具体金额取决于严重性)。"中度关注"类别漏洞将支付较低额度赏金( 最高500美元 )。

赏金资格:

  • 漏洞必须未公开披露。
  • 报告须包含漏洞影响范围与可利用性的详细分析。
  • 概念验证(PoC)需清晰展示漏洞利用步骤(含工具、载荷、预期与实际结果对比)。
  • 欢迎提交漏洞复现视频。
  • 理论性漏洞或单纯崩溃不纳入赏金范围(远程代码执行漏洞/RCEs需提供可利用性证明)。
  • 测试必须使用你自己的系统和文件进行。

赏金按照先到先得的原则发放。电子邮件的时间戳将决定第一个报告者。后续的重复报告除非包含重要新信息,否则将无资格获得奖励,在此情况下,我可以自行决定是否发放部分赏金。

支付将在验证漏洞后的 14 天内处理,可以通过 PayPal、SEPA 或 SWIFT 进行。

从 VTube Studio 的漏洞中获取除漏洞赏金以外的任何收益是严格禁止的。

如何报告漏洞

  1. 所有报告应发送至 [email protected]. 为确保流程顺畅清晰,请不要以任何其他方式联系我报告漏洞。
  2. 在你的首次报告电子邮件中,请发送所有相关信息。
  3. 收到报告后,我会在合理的时间内进行处理。第一次回复最长不超过 14 天。
  4. 一旦我阅读了报告,我将通过电子邮件与你联系,确认收到报告。
  5. 一旦我分析了所提供的信息并确认了漏洞的有效性,我将再次与你联系,并提供计划修复的详细时间表。然后我会等待你的确认。
  6. 届时,我还会支付漏洞赏金(通过 PayPal 或 SWIFT/SEPA)。
  7. 如果支付了漏洞赏金,除非你获得书面许可,否则你不能公开披露漏洞的详细信息。你可以公开自己收到了赏金的事实,但你不能透露有关已修复漏洞性质的任何细节。你也会在VTS更新日志中得到如下的官方认可: Fixed vulnerability reported by <YOUR-NAME> that allowed attackers to <WHAT-WAS-POSSIBLE>
  8. 如果漏洞不符合赏金漏洞的资格,但我仍计划修复它,你可以在修复后根据我提供的时间表公开漏洞。当然,你也将获得 VTS 变更日志中修复漏洞的官方认可。
  9. 如果我不打算修复漏洞,你可以自行决定公开披露。我将提供一份声明解释我的决定,并要求将其包含在你的披露文件的开头。

如果你遇到了任何该手册中没有回答的问题,请到 VTube Studio Discord !!

⚠️ **GitHub.com Fallback** ⚠️