# 安全政策
## 报告安全问题
如果发现可能泄露账号、Cookie、签名、私有响应或会误导用户执行变更类操作的问题,请通过 GitHub Security Advisory 或私下联系维护者,不要在公开 issue 中粘贴敏感数据。
## 不要公开提交的内容
- `account.toml`
- Cookie、`SESSDATA`、`bili_jct`、`buvid3`
- 原始 Probe 输出
- 账号私有响应、私信、通知、创作中心数据
- 真实手机号、邮箱、IP、设备标识
- 未脱敏的签名 URL 或请求头
## 变更类接口
以下能力可能改变账号状态或消耗资产,示例和测试必须显式 opt-in:
- 点赞、投币、收藏、关注、评论、发弹幕
- 发布、删除、置顶、编辑内容
- 开播、关播、直播间管理
- 漫画购买、电池支付、积分兑换
- 登录态刷新、二维码登录、短信登录
运行这类测试时必须确认目标账号和目标资源,且设置 `BPI_MUTATING_TEST=1`。
## 探针输出
探针输出默认写入 `target/`,不要提交。提升为 `tests/contracts/**` 前必须脱敏,并保留足够字段用于模型验证。