Tiếng Việt bên dưới / Vietnamese below

Do not open a public GitHub Issue for security vulnerabilities.

Report privately via:

• GitHub Security Advisories (preferred): repo → Security tab → Report a vulnerability
• Email: phamlongh230@gmail.com — include Yana AI SECURITY in the subject line

We will acknowledge reports within 48 hours and aim to patch critical issues within 7 days.

Yana AI is a governance and safety framework for AI-assisted development. It is not a production authentication, authorization, or secrets-management system.

We treat the following as security-critical:

Out of scope:

• Vulnerabilities in Cursor, Aider, GitHub Copilot, Gemini, OpenRouter, or other third-party AI tools themselves
• Issues in third-party tools invoked by agents, such as gitleaks, semgrep, gh, git, Docker, or cloud CLIs
• Misconfiguration in downstream projects after Yana AI is installed
• Advisory-only behavior for engines where runtime hooks are not wired (see Runtime enforcement below)

Gate layers (each backed by rules in core/rules/ and hooks in core/hooks/):

• L0 — Audit chain: append-only, hash-chained logs; tampering breaks the chain and locks execution
• L1 — Pre-execution guards: anti-evasion (pipe-to-shell, encoded commands), agent hierarchy/tier limits, resource quotas
• L2 — Sanitize & middleware: shell quoting/sanitize_arg, env-var integrity (LD_PRELOAD, PATH), the 9-step tool middleware pipeline
• L3 — Isolation & egress: sandboxed execution, SSRF/metadata-endpoint blocking, API security checklist
• L4 — Supply chain: dependency vetting, typosquat detection, SLSA/provenance checks
• L5 — Boundary: workspace path-traversal blocks, protected-file write gate
• L6 — Cognitive reliability (ADR-006): guards agent reports — completion claims, evidence, scope — behavioral today, gate tooling planned

Core surface integrity is pinned by a SHA-256 manifest. Verify any checkout with:

bash core/scripts/verify-core-lock.sh   # exit 0 = intact

Runtime enforcement is active when hooks are wired in .claude/settings.json (Claude Code) or via the Rust runtime yana-rt.

For other engines (Cursor, Windsurf, Kiro, Antigravity, Aider, Copilot, Gemini, OpenCode, Zed, …) the adapters generated by core/scripts/switch-engine.sh are advisory unless the engine supports equivalent runtime hooks.

We follow coordinated disclosure. We will:

• Credit reporters in CHANGELOG.md, unless anonymity is requested
• Avoid public disclosure until a fix or mitigation is available
• Not take legal action against good-faith security research that follows this policy
• Prioritize fixes based on severity, exploitability, and impact on release-artifact safety

Official artifacts are published only through these channels:

All channels are published automatically from a version tag by .github/workflows/publish.yml (PyPI uses OIDC trusted publishing — no long-lived tokens).

Do not install Yana AI from copied folders, unknown archives, or modified release packs. After installing, run bash core/scripts/verify-core-lock.sh to confirm the core surface matches the pinned manifest.

Không mở GitHub Issue công khai cho các lỗ hổng bảo mật.

Báo cáo riêng tư qua:

• GitHub Security Advisories (ưu tiên): repo → tab Security → Report a vulnerability
• Email: phamlongh230@gmail.com — ghi Yana AI SECURITY trong tiêu đề

Chúng tôi sẽ xác nhận báo cáo trong 48 giờ và nhắm vá các vấn đề nghiêm trọng trong 7 ngày.

Yana AI là framework quản trị và an toàn cho phát triển có AI hỗ trợ. Đây không phải hệ thống xác thực, phân quyền hay quản lý secret cho production.

Các loại vấn đề được coi là nghiêm trọng về bảo mật:

Ngoài phạm vi:

• Lỗ hổng trong Cursor, Aider, GitHub Copilot, Gemini, OpenRouter và các AI tool bên thứ ba
• Vấn đề trong công cụ bên thứ ba mà agent gọi (gitleaks, semgrep, gh, git, Docker, cloud CLI)
• Cấu hình sai trong các dự án downstream sau khi cài Yana AI
• Hành vi chỉ-tư-vấn trên engine chưa nối runtime hook (xem Thực thi runtime bên dưới)

Các tầng gate (mỗi tầng có rule trong core/rules/ và hook trong core/hooks/):

• L0 — Chuỗi audit: log append-only, hash-chain; giả mạo làm đứt chuỗi và khóa thực thi
• L1 — Guard tiền thực thi: chống né tránh (pipe-to-shell, lệnh mã hóa), giới hạn tier/cấp bậc agent, quota tài nguyên
• L2 — Sanitize & middleware: quoting shell/sanitize_arg, toàn vẹn biến môi trường (LD_PRELOAD, PATH), pipeline middleware 9 bước
• L3 — Cô lập & egress: thực thi trong sandbox, chặn SSRF/metadata endpoint, checklist API security
• L4 — Chuỗi cung ứng: thẩm định dependency, phát hiện typosquat, kiểm tra SLSA/provenance
• L5 — Ranh giới: chặn path-traversal khỏi workspace, gate ghi file được bảo vệ
• L6 — Độ tin cậy nhận thức (ADR-006): giám sát báo cáo của agent — tuyên bố hoàn thành, bằng chứng, phạm vi — hiện là hành vi, tooling gate đang lên kế hoạch

Bề mặt core được ghim bằng manifest SHA-256. Kiểm tra bất kỳ bản checkout nào:

bash core/scripts/verify-core-lock.sh   # exit 0 = nguyên vẹn

Thực thi runtime hoạt động khi hook được nối trong .claude/settings.json (Claude Code) hoặc qua Rust runtime yana-rt.

Với engine khác (Cursor, Windsurf, Kiro, Antigravity, Aider, Copilot, Gemini, OpenCode, Zed, …), adapter do core/scripts/switch-engine.sh sinh ra mang tính tư vấn trừ khi engine hỗ trợ runtime hook tương đương.

Chúng tôi tuân theo quy trình tiết lộ có phối hợp:

• Ghi nhận người báo cáo trong CHANGELOG.md (trừ khi yêu cầu ẩn danh)
• Không tiết lộ công khai cho đến khi có bản vá hoặc giải pháp tạm thời
• Không có hành động pháp lý với nghiên cứu bảo mật thiện chí theo chính sách này
• Ưu tiên vá dựa trên mức độ nghiêm trọng, khả năng khai thác và tác động đến an toàn artifact phát hành

Artifact chính thức chỉ được công bố qua các kênh:

Tất cả kênh được phát hành tự động từ version tag bởi .github/workflows/publish.yml (PyPI dùng OIDC trusted publishing — không có token sống lâu).

Không cài Yana AI từ thư mục sao chép, archive không rõ nguồn gốc, hoặc gói đã bị chỉnh sửa. Sau khi cài, chạy bash core/scripts/verify-core-lock.sh để xác nhận bề mặt core khớp manifest đã ghim.