보안 취약점을 발견하셨다면 공개 이슈 대신 비공개로 연락해 주세요.
- GitHub Security Advisory를 통해 비공개 보고
- 또는 이메일로 연락 (저장소 관리자에게 문의)
- 취약점 설명
- 재현 방법
- 영향 범위
- 가능한 해결 방안 (선택)
48시간 내에 응답드리겠습니다.
이 봇은 다음과 같은 보안 기능을 포함하고 있습니다:
.env 파일의 ALLOWED_USER_IDS에 등록된 사용자만 봇을 사용할 수 있습니다.
ALLOWED_USER_IDS=123456789012345678,987654321098765432중요: 반드시 신뢰할 수 있는 사용자만 등록하세요!
위험한 시스템 명령어는 자동으로 차단됩니다:
| 차단 명령어 | 이유 |
|---|---|
shutdown |
시스템 종료 |
restart |
시스템 재시작 |
del /s, rm -rf |
대량 파일 삭제 |
format |
드라이브 포맷 |
rd /s, rmdir |
디렉토리 삭제 |
net user |
사용자 계정 조작 |
reg delete |
레지스트리 삭제 |
taskkill /f |
프로세스 강제 종료 |
모든 명령어에는 타임아웃이 적용됩니다:
| 명령어 유형 | 기본 타임아웃 | 설정 변수 |
|---|---|---|
| CMD 명령어 | 30초 | COMMAND_TIMEOUT |
| AI CLI 도구 | 300초 (5분) | AI_CLI_TIMEOUT |
-
.env파일을 절대 git에 커밋하지 마세요 - Discord Bot Token을 공유하지 마세요
-
ALLOWED_USER_IDS에 신뢰할 수 있는 사용자만 등록하세요 - Git Hooks를 설정하세요 (
setup-hooks.bat)
- 봇을 비공개 서버에서만 사용하세요
- 정기적으로 Bot Token을 재생성하세요
- AI CLI 작업 디렉토리를 민감하지 않은 폴더로 설정하세요
Discord Bot Token이 노출되었다면:
- 즉시 Discord Developer Portal에서 Reset Token
.env파일의 토큰 업데이트- 봇 재시작
- git 히스토리에 토큰이 있다면 히스토리 정리 필요
# 토큰 재생성 후
# 1. .env 파일 수정
# 2. 봇 재시작| 버전 | 보안 지원 |
|---|---|
| 1.x (최신) | ✅ 지원 |
| < 1.0 | ❌ 미지원 |
최신 버전 사용을 권장합니다.