# Security Policy

## 安全警告与信任模型

### ⚠️ 重要提示

Proxy Gateway 是一个 HTTP 代理服务，使用本服务前请充分了解以下安全风险：

## 1. 数据隐私风险

### 服务端可见性

**所有通过本代理的请求都会被服务端可见**，包括：
- 请求的完整 URL
- 所有请求头 (Headers)
- 请求体 (Body)
- 响应内容

### 禁止发送的内容

**请勿通过本服务发送以下敏感信息：**
- API Keys、访问令牌或密码
- 私钥、助记词或任何加密货币凭证
- 个人隐私数据（姓名、地址、电话等）
- 企业内部敏感信息
- 银行账户或金融凭证
- 任何需要保密的数据

### 建议用途

本服务仅适用于访问**公开信息**：
- 公开网页内容
- 公开 API 数据
- 测试和开发环境
- 非敏感信息检索

## 2. 托管信任模型

### 资金托管

本服务采用**托管模式**：
- 用户将 USDC 充值到平台指定的托管地址
- 平台记录用户余额并授权访问
- 这是一种基于信任的托管模型

### 风险提示

- **资金风险**: 平台可能因技术故障、安全事件或其他原因导致资金损失
- **信任风险**: 您需要信任平台运营者不会滥用资金
- **建议**: 仅充值您能承受损失的金额

### 替代方案

如需完全掌控资金和数据，建议**自托管**：
- 代码完全开源
- 自行部署在自己的服务器上
- 自行管理收款地址

## 3. 本地服务探测

### 端口检查

服务启动时会检查本地 Clash 代理端口（默认 127.0.0.1:7890, 7893, 9090），用于：
- 检测 Clash 代理是否可用
- 获取代理状态信息

### 隐私影响

- 仅检查端口开放状态
- 不会发送实际请求到本地服务
- 不会收集本地网络信息

### 禁用方式

如需禁用端口检查，请修改 `app/managers/proxy_manager.py` 或设置环境变量。

## 4. 安全审计

### 已完成的审计

- ✅ 6轮代码安全审计
- ✅ 13个 P0 级安全问题已修复
- ✅ 输入验证和过滤
- ✅ 防重放攻击保护
- ✅ 原子扣减操作

### 审计报告

详细的安全审计报告位于 `CODE_AUDIT_REPORT.md`。

## 5. 自托管安全建议

### 部署安全

1. **隔离环境**: 在隔离的容器或虚拟机中运行
2. **防火墙配置**: 仅开放必要的端口
3. **日志监控**: 监控异常访问模式
4. **定期更新**: 及时更新依赖包

### 配置安全

1. **强密码**: 使用强随机字符串作为 ADMIN_TOKEN
2. **限制访问**: 配置 CORS 只允许特定域名
3. **HTTPS**: 生产环境必须使用 HTTPS
4. **Redis 安全**: 如使用 Redis，配置密码和访问控制

## 6. 漏洞报告

如果您发现安全漏洞，请通过以下方式报告：

1. **不要** 在公开渠道披露漏洞
2. 发送邮件至安全团队（如有）
3. 提供详细的漏洞描述和复现步骤
4. 等待修复完成后再公开披露

## 7. 免责声明

本服务按"原样"提供，不提供任何明示或暗示的担保。使用本服务的风险由用户自行承担。

---

**最后更新**: 2026-03-23