// docs / quotas & limits

配额和限制

下面每个配额和速率限制值都在构建时来自权益模块，因此这个页面不会偏离服务器实际执行的规则。

各套餐权益

	免费	兴趣	专业	无限
扫描 / 月	3	50	200	Unlimited 计划¹
项目（已验证域名）	1	1	5	20
API tokens	0	1	5	20
Webhook 端点	0	1	5	20
主动探测	否	是	是	是
GitHub 仓库扫描	否	否	是	是
计划重新扫描	否	否	≥3h 频率	≥6h cadence
实时威胁检测	否	否	否	是
可分享的报告	否	否	是	是
保留时间	7 天	30 天	90 天	365 天
团队席位	1	1	1	5
支持	标准	标准	优先	专属

¹ The Unlimited plan's scan quota is subject to fair use — see Terms. ² The project cap defaults to 20 active-monitoring domains at ≥6h cadence. Contact support@fixvibe.app to raise it in exchange for a longer scheduled cadence.

API 速率限制

每个 /api/v1/* 和 /api/mcp 请求都会按 bearer token 的 hash 计数，并经过两个窗口：

Burst: 每秒 10 个请求。
Steady: 每分钟 60 个请求。
Per signed-in user: 30 scan submissions per 10 minutes — a soft cap above the per-plan monthly quota that absorbs bursts without exhausting the daily budget.

发生 429 时，响应包含：

http

HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200

{
  "error": "rate_limited",
  "message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
  "retry_after_seconds": 47
}

触发的窗口会在消息中命名（burst (10/s) vs steady (60/min)），所以客户端退避可以自适应。

Free 计划扫描速率限制(按 IP/24)

On top of the per-org 3-scans-per-month cap, Free plan users face an additional per-IP/24 rate limit: 3 scans per rolling 24 hours per IP /24 block. The same limiter covers anonymous instant scans, which prevents farming Free quota through throwaway accounts on one IP. Requests exceeding the limit return HTTP 429 Too Many Requests with a Retry-After header.

每个 IP/24 在 24 小时内允许 5 次成功注册,用以防止自动化创建 Free 计划账户。被限速的回调会重定向到 /sign-in?error=rate_limited。

保留

Scans + findings 会按上表自动清理。匿名一次性扫描会在创建 24h 后过期。Audit logs 保留 18 个月。Monitor snapshots 清理到最近 7 天，外加每个 (domain, signal) 的最新 baseline。已 dismissed alerts 会在 90 天后清理。所有保留规则每天由 /api/cron/retention-cleanup 执行。

各套餐权益

API 速率限制

Free 计划扫描速率限制(按 IP/24)

注册限流（按 IP/24）

保留