AI Empire
Responsible disclosure · researchers welcome

Reporta vulnerabilidades aquí

Si encuentras un bug de seguridad · queremos saberlo. Triamos cada reporte con SLA público · documentamos el fix en /changelog · acreditamos al researcher (con permiso) en hall of fame.

Pre-revenue · no tenemos bug bounty con cash todavía · pero sí credit · reference letter · y CVE acknowledgement cuando aplica.

Cómo reportar

Email · security@aiempire.software

Canal principal · respondemos siempre · cifrado PGP disponible bajo petición

/.well-known/security.txt

RFC 9116 compliant · contacts · expiration · policy URL · canonical

Encrypted · PGP key

https://aiempire.software/.well-known/pgp-key.txt (coming Q3 2026)

Información a incluir

  • Descripción concisa de la vulnerabilidad
  • Steps to reproduce (ideal con curl o screenshots)
  • Severidad estimada (critical · high · medium · low)
  • Impacto realista (qué se puede hacer · qué no)
  • Tu identidad (real o handle) si quieres aparecer en hall of fame

Política por severidad

Cada severidad tiene SLA público de respuesta y fix. Si nos pasamos del SLA · pedimos disculpas y explicamos por qué.

Critical

Response SLA

<24h hábiles

Fix SLA

<7d

Vulnerabilidad que permite acceso no autorizado a datos sanitarios, exfiltración masiva, RCE en producción, o brecha de aislamiento cross-tenant.

Ejemplos

  • Bypass de RLS Postgres entre clínicas
  • Lectura de mensajes WhatsApp de otra clínica
  • Inyección SQL con extracción PII
  • RCE en Cloudflare Worker (acceso a secretos)
  • Reset password sin auth

High

Response SLA

<48h hábiles

Fix SLA

<30d

Vulnerabilidad explotable con impacto contenido a un único tenant o función. Sin acceso cross-tenant pero con potencial daño operativo.

Ejemplos

  • XSS en panel admin que ejecuta dentro del tenant
  • Bypass de output guardrails LLM (output sensible)
  • Auth bypass con credenciales válidas otro tier
  • CSRF en endpoints sin token
  • Subida de file con contenido malicioso

Medium

Response SLA

<5d hábiles

Fix SLA

<90d

Vulnerabilidad con explotación compleja o impacto limitado. Requiere combinación con otras técnicas.

Ejemplos

  • Information disclosure no sensitive (config interna)
  • Rate limit bypass leve
  • Privilege escalation dentro de mismo tier
  • Open redirect controlado
  • Disclosure de stack trace en error 500

Low

Response SLA

<7d hábiles

Fix SLA

Best effort

Issues de hardening · mejoras de seguridad sin explotación directa.

Ejemplos

  • Headers HTTP seguridad missing
  • TLS configuration suboptimal
  • Cookie sin Secure flag (cuando no necesario)
  • Verbose error messages
  • Dependencies con CVEs de severidad media sin path explotación
Hall of Fame

Researchers que han reportado vulnerabilidades

Acreditados públicamente (con su permiso). Los que prefieren permanecer anónimos · respetamos. Reference letter disponible para incluir en tu CV.

Aún sin disclosures recibidas

Pre-revenue · 0 clientes facturando · poca superficie pública · pocos researchers atraídos todavía. Cuando llegue el primero · será reconocido aquí prominentemente. Reserva de honor al primer disclosure.

Out of scope

Lo que NO consideramos disclosure válido

Para evitar tu tiempo y el nuestro · estos NO son disclosures que triaremos como vulnerabilidad:

Self-XSS / clickjacking sin impacto cross-tenant

Sin path explotación realista en nuestro setup actual.

Spam / phishing / social engineering

No es vulnerabilidad técnica · es operativa de seguridad humana.

Denial of Service / volumetric attacks

Cloudflare WAF y rate limits gestionan esto · reportar a Cloudflare directamente.

Vulnerabilidades en third-party MCP / tools sin afectar nuestro stack

Reporta a Supabase · OpenAI · Meta · Stripe · etc. · ellos tienen sus propios programas.

Información pública obtenible vía Google / GitHub público

Si está público intencionalmente · no es vulnerabilidad.

Safe harbor · garantía investigación

Si tu investigación se ajusta a las siguientes reglas · no vamos a tomar acciones legales contra ti:

  • No accedes a datos de pacientes reales · usas cuentas de test o las tuyas propias
  • No exfiltras · destruyes · modificas data de producción
  • No ejecutas attacks que causen interrupción servicio (DoS · floods)
  • Mantienes confidencialidad de la vulnerabilidad hasta fix shipped + 30 días
  • No vendes la vulnerabilidad a terceros

Listo para reportar?

Acuse de recibo en <24h hábiles. Triage en <72h. Fix + postmortem público en /changelog cuando aplique.

Email security@Ver security posturesecurity.txt (RFC 9116)