这份文档说明四叶酒馆 / Siye AI / JiuGuanSJ 的公开安全边界，以及发现问题后的反馈方式。

如果你发现安全漏洞，请不要在公开 Issue 中直接发布利用细节。

建议通过仓库主页、维护者公开联系方式或私下渠道反馈，并尽量说明：

• 受影响模块，例如 backend、admin-web、h5-web、deploy
• 复现步骤
• 影响范围
• 是否涉及账号、聊天记录、订单、上传文件或密钥

开源仓库中不应包含：

• 生产 .env 文件
• 数据库、Redis、后台或支付相关密码
• APP_AUTH_SECRET、APP_RUOYI_JWT_SECRET 等签名密钥
• 模型供应商 API Key、SillyTavern API Key、Telegram Bot Token
• 支付私钥、Webhook Secret、证书、SSH 私钥
• 数据库备份、真实用户数据、聊天记录、订单记录
• 运行日志、上传目录、构建产物、服务器部署压缩包

示例配置只能使用占位值或本地演示值，生产环境请自行替换。

公开部署时建议：

• 使用 HTTPS
• 不直接暴露 MySQL 和 Redis 到公网
• 为后台管理端设置强密码，并限制访问来源
• 只允许可信域名通过 CORS 和 WebSocket Origin
• 将模型、支付、机器人相关密钥放在环境变量或密钥管理系统中
• 定期备份数据库和上传目录

当前开源版本主要用于学习、二次开发和私有化部署参考。真正上线生产环境前，请结合自己的服务器、域名、支付渠道、模型供应商和访问规模完成额外安全加固。