🆕ByteSRC暂不收取的业务范围【不定期更新，请点击查看详情】

用户8713

1月26日修改

❌ 通用“忽略”范畴：

•
与字节跳动（中国区）业务无关的漏洞​

•
非字节（中国区）研发/运维的第三方供应商漏洞不收取，如第三方提供维护的小程序、API 站点、服务器、营销活动、外包系统、抖音电商isv等​

•
提交的报告书写过于简单，无法根据报告内容复现，包括但不限于和漏洞审核员反复沟通均无法复现的漏洞 ​

•
内部已知，包括但不限于通用平台如Jenkins等已在网络上公开的漏洞、内部安全人员已经发现的漏洞、已有其他白帽子优先提交的漏洞 ​

•
正在专项排查中漏洞，如某系统、某类型漏洞内部展开统一的专项治理时暂不收取，具体情况以平台审核人员回复为准​

•
无法利用（包括利用条件苛刻）或无危害的报告，包括但不限于恶作剧CSRF（对用户无实际的影响）、无法影响他人的本地拒绝服务 、Self-XSS、非敏感信息泄露（内网IP、域名）、无法远程利用的dll劫持、静态文件目录遍历等​

•
和安全无关的Bug类问题，包括但不限于网页打开比较缓慢、样式杂乱 ​

•
未提供成功案例，只是说明理论可行的，包括但不仅限于纯属用户猜测、无法重现、未经验证、无意义的扫描报告的问题， 例如只提供dnslog的“log4j2命令执行漏洞” ​

•
用户名遍历、SPF邮件伪造漏洞不收取​

•
简单DNS日志型SSRF​

•
火山引擎、BytePlus外部客户的漏洞不收取​

•
基于网络层面的拒绝服务攻击、无法影响他人的本地拒绝服务不收取；在代码应用层面，包括但不限于服务器进程重启等漏洞，鼓励提供思路，作为情报提交，由审核同学进行验证。（如测试存在造成拒绝服务或中断的风险，请停止测试并作为情报提交）​

•
符合业务预期的产品设计​

•
无任何意义或影响的越权，包括无法影响他人的越权不收取​

•
电商业务中的子主账号越权问题暂不收取​

•
「隐私合规」相关问题，暂不收取：​ByteSRC关于隐私合规类问题线索反馈问题 ​

•
hiagent仅限专测期间，定向邀请测试；日常不收取，亦禁止在真实用户环境中测试​

•
与模型提示和响应内容相关的问题暂不收取、非信息安全漏洞导致的内容安全风险不收（同时特别提醒测试规则：禁止使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材，或上传至ByteSRC平台。 ）​

❌ 业务范畴：

序号	发布时间	影响范围	公告详情
35	2026-01-21	appstore.picovr.com 、us-appstore.picovr.com	us-appstore.picovr.com、appstore.picovr.com 漏洞暂不收取
34	2025-10-22	电商业务	电商业务无回显SSRF：若漏洞实际触发方关联的 PSM 归属电商业务范畴，则予以收取；若 PSM 非电商业务所属，且属于特定几个PSM(审核确认)，则暂不收取。最终判定结果以平台审核回复为准。
33	2025-10-16	oladance	因业务调整，以下资产仅收取入侵类高危严重漏洞，包含ssrf、rce、sql注入等，不收账号接管、信息泄露、拒绝服务等漏洞，其他相关漏洞ByteSRC将不再收录。 • oladance商店 • oladance耳机 • APP后台、管理后台 • oladance Android APP • oladance iOS APP
32	2025-10-16	api.daliapp.net、api.daliapp.cn	因业务调整，api.daliapp.net、api.daliapp.cn仅收取高危及以上漏洞，其他相关漏洞ByteSRC将不再收录。
31	2025-9-30	飞书-Meegle/飞书项目	[二期治理]Meegle/飞书项目两个系统漏洞暂不收取。（延期至2025年12月30日重新收取）
30	2025-09-11	srm.moontonapp.net	srm.moontonapp.net为第三方平台，非字节运维，不在收录范围
29	2025-07-25	trendinsight.oceanengine.com	因业务调整，trendinsight.oceanengine.com 下相关系统，仅收取入侵类高危漏洞，其他相关漏洞ByteSRC将不再收录。
28	2025-06-25	大模型相关产品（包括但不限于扣子、豆包）	鉴于近期收到较多AI产品无效报告，为帮师傅们排除「无效选项」，特别梳理暂不收取、正常业务功能的范围👇 1. 非信息安全漏洞导致的内容安全风险不收、与模型提示和响应内容相关的问题暂不收取。如这些问题对产品可造成额外的、可直接验证的安全影响（机密性、完整性、可用性），则正常收取。模型提示和响应内容的相关问题举例： ◦ 模型提示：越狱/安全绕过（如 DAN 等相关提示词） ◦ 模型响应内容：大模型输出恶意内容（如违规营销信息、恶意代码等，可向产品帮助中心反馈：豆包->设置->帮助和反馈->提交反馈；扣子->feedback@coze.cn) ◦ 模型幻觉：让大模型假装成计算机终端并执行命令等 2. 非隐私数据泄露相关的AI服务风险暂不收取（jail break，prompt leak等）。 3. 个人用户从Coze发布至豆包的智能体及插件所引发的安全漏洞不收取（如UGC 内容中用户自身行为导致的信息泄露不收取）。 4. 沙箱环境中的代码执行/命令执行本身是预期的产品功能，如果能逃逸或影响到其他用户容器，则正常评分。（有效条件：逃逸到宿主机/物理机，获取有效敏感信息和权限，或证明通字节内网；可通过ssrf的方法验证通字节内网关于SSRF漏洞测试平台使用说明）
27	2025-06-19	https://99cases.oceanengine.com/	因近期提交https://99cases.oceanengine.com/ 报告师傅较多，特在此说明：该站非字节运维与运营，故不收取。
26	2025-06-17	幕布	因业务调整，幕布漏洞/情报不收取
25	2025-06-13	美中宜和	因近期提交美中宜和报告师傅较多，特在此说明：美中宜和相关产品暂未归属字节运维与运营，故不收取。
24	2025-06-04 16:45	oladance和大十科技	暂不收取oladance和大十科技相关漏洞（2025年9月30日重新收取）
23	2025-03-25 12:00:00	飞书-Meegle/飞书项目	Meegle/飞书项目两个系统漏洞暂不收取（2025年6月3日重新收取）

🆕ByteSRC暂不收取的业务范围【不定期更新，请点击查看详情】 ​

🆕ByteSRC暂不收取的业务范围【不定期更新，请点击查看详情】