techdeveloper-org/anthropic-bug-bounty-guide
GitHub: techdeveloper-org/anthropic-bug-bounty-guide
一份社区维护的 Anthropic HackerOne Bug Bounty 指南,帮助安全研究者从零开始系统性地发现、记录和提交漏洞。
Stars: 0 | Forks: 0
# Anthropic Bug Bounty 指南 🔐
[](https://hackerone.com/anthropic?type=team)
[](LICENSE)
[](CONTRIBUTING.md)
## 这是什么?
[Anthropic](https://anthropic.com) —— Claude AI 背后的公司 —— 在 HackerOne 上运行一项**官方 Bug Bounty 项目**。这意味着:
- ✅ 你**在法律上被授权**测试 Anthropic 的系统(在范围内)
- ✅ 你可以因有效的安全发现**获取赏金**(奖励)
- ✅ 你在帮助让 AI 对每个人都更安全
本指南解释了:
1. Bug Bounty 项目是什么
2. HackerOne 的平台标准是如何运作的
3. 如何发现、记录和提交漏洞
4. 如何使用 AI 安全代理来辅助你的研究
## 快速开始
1. **创建 HackerOne 账户** → [hackerone.com](https://hackerone.com)
2. **加入 Anthropic 的项目** → [hackerone.com/anthropic](https://hackerone.com/anthropic?type=team)
3. **阅读项目政策**(范围、范围外、奖励)
4. **阅读本指南** → 查看 [docs/](docs/) 文件夹
5. **开始测试!** → 遵循 [methodology/](methodology/)
## 目录
| 文档 | 你将学到什么 |
|----------|-------------------|
| [docs/what-is-bug-bounty.md](docs/what-is-bug-bounty.md) | Bug Bounty 基础、法律授权、奖励 |
| [docs/program-rules.md](docs/program-rules.md) | ⭐ 官方 Anthropic 项目规则、范围外、联系方式 |
| [docs/hackerone-standards.md](docs/hackerone-standards.md) | HackerOne 平台标准(IDOR、严重性等) |
| [docs/anthropic-program.md](docs/anthropic-program.md) | Anthropic 范围、两个赛道、奖励、设置指南 |
| [docs/severity-rating.md](docs/severity-rating.md) | 如何评估严重性(CVSS v4.0、HackerOne 标准) |
| [methodology/recon.md](methodology/recon.md) | 侦察 —— 收集目标信息 |
| [methodology/api-testing.md](methodology/api-testing.md) | API 安全测试方法论 |
| [methodology/auth-testing.md](methodology/auth-testing.md) | 身份验证与授权测试 |
| [methodology/report-writing.md](methodology/report-writing.md) | 如何撰写一份优秀的 HackerOne 报告 |
| [tools/ai-agents.md](tools/ai-agents.md) | 使用 AI 代理进行研究(+ AI 报告警告) |
| [examples/](examples/) | 真实报告示例(已脱敏) |
## 这本指南面向谁?
- 🆕 **初学者** —— 以前从未参与过 Bug Bounty?从 [docs/what-is-bug-bounty.md](docs/what-is-bug-bounty.md) 开始
- 🔁 **中级** —— 了解基础知识但刚接触 AI 目标?查看 [docs/anthropic-program.md](docs/anthropic-program.md)
- 🏆 **高级** —— 想要使用 AI 代理进行自动化测试?查看 [tools/ai-agents.md](tools/ai-agents.md)
## 为什么 Anthropic 的 Bug Bounty 很重要
Anthropic 正在构建世界上最强大的 AI 系统之一。Claude 的 API 或平台中的安全漏洞可能会:
- 暴露**用户数据**和对话
- 促成 **prompt injection** 攻击
- 允许**未经授权的访问** AI 功能
- 损害保持 Claude 对齐的**安全机制**
通过负责任地报告漏洞,你正在帮助让 AI 对每个人都更安全。🌍
## 重要规则
⚠️ **务必:**
- 仅在 HackerOne 列出的**批准范围内**进行测试
- 遵循**负责任的披露** —— 首先(FIRST)向 Anthropic 报告
- 遵循 HackerOne 的**行为准则**
- 如果发现敏感内容(PII、私人数据),请停止测试
🚫 **绝不:**
- 访问超出证明 bug 所需范围之外的其他用户数据
- 运行导致 DoS / 服务中断的自动化扫描器
- 在漏洞被修复之前公开发布(协调披露)
- 使用破坏性 payload 测试生产系统
## 免责声明
本指南仅用于**教育目的**和**授权的安全研究**。在测试之前,请务必阅读 Anthropic 的项目政策。作者不对滥用此信息的行为负责。
*由安全社区用 ❤️ 制作 | 欢迎贡献!*
标签:CVSS评分, 人工智能安全, 合规性, 安全测试指南, 网络安全, 防御加固, 隐私保护