免责声明与限制

FixVibe 对你提交的 URL 和主机名运行自动化检查。这些检查是启发式的:它们寻找通常与安全错误配置和漏洞相关的模式。模式匹配从根本上是有损耗的。我们可能——有时确实会——产生误报和漏报。

FixVibe 不是:

• 人工渗透测试或合格安全工程师审查的替代品;
• 在未发现任何问题时保证你的应用程序安全的承诺;
• 保证任何发现在你的环境中可被利用的承诺;
• 任何形式的专业或法律建议;
• 合规认证工具(FixVibe 不是 SOC 2、ISO 27001、PCI DSS、HIPAA 或任何其他框架的“官方”审计机构——请查看我们的可接受使用政策,了解我们证明和不证明的内容)。

误报。标记为“严重”的发现并不总是意味着你的应用程序存在严重漏洞。该检查可能是因为你特定技术栈中无害的模式而触发的——例如,边缘防火墙正确拦截请求时返回的 403 响应,而非文件暴露。我们努力抑制误报,但无法完全消除。

漏报。扫描结果清洁并不能证明你的应用程序安全。启发式检查会遗漏需要领域知识、业务逻辑理解、多步骤链或我们尚未实现的测试用例的漏洞。未发现问题不等于安全保证。

对于安全性对业务至关重要的系统,你应将 FixVibe 与定期的专业渗透测试、漏洞赏金计划和严格的代码审查相结合。

某些 FixVibe 发现包含建议的修复方案——书面说明、代码片段或旨在传递给 AI 编码助手的文本。这些建议是自动生成的,在某些情况下由大型语言模型生成。它们旨在作为你自己调查的起点,而非即插即用的代码。

在应用任何建议的修复方案之前,包括我们标记为“提示”或“修复”的任何文本,你必须:

1. 完整阅读并确认你理解其所做的更改;
2. 确认它适合你的特定技术栈、框架版本和配置;
3. 在镜像生产环境的预演环境中进行测试;
4. 合并前与合格人员审查差异;
5. 如果更改导致意外行为,准备好回滚。

在未经审查的情况下将 AI 生成的建议直接粘贴到生产代码中,风险由你自负。EGO HERO LLC 对因未经独立验证即应用 FixVibe 建议修复而导致的停机、数据丢失、安全回归或其他损害不承担任何责任。

Active scans perform bounded verification against your application. While we rate-limit, use a distinctive User-Agent (FixVibeScanner/1.0), and avoid known destructive patterns, active probing can in rare cases:

• 导致速度变慢或错误激增;
• 通过注入探测在你的数据库中创建测试行;
• 触发你的监控、呼叫或 WAF 黑名单;
• 消耗第三方 API 配额(例如,上游搜索提供商、SMS 网关),如果你的端点代理到它们。

我们强烈建议在预演环境中运行主动扫描。如果必须扫描生产环境,请在维护窗口期间进行。通过启动主动扫描,你确认并接受这些风险。

我们的严重性标签(严重、高、中、低、信息)是根据典型 Web 应用程序校准的。它们不考虑你的具体威胁模型、用户群体、监管环境或资产价值。对于处理客户资金的金融科技公司,“低”级别的发现可能是重大风险;对于静态博客,“严重”级别的发现可能无关紧要。你最有能力将发现转化为现实世界的风险。

你全权负责确认你有权对提交的每个 URL 或主机名进行测试。即使我们要求所有权验证,主动扫描也不能免除你的这一责任——验证证明你控制目标的 DNS 或 HTTP 响应,而非你拥有对其进行测试的法律或合同权限(例如,你在自己控制的域名子域上运营的 SaaS 应用程序可能仍受其云提供商可接受使用规则的约束)。完整内容请参阅我们的可接受使用政策。

EGO HERO LLC 对因你使用 FixVibe 而产生的任何索赔的责任,由服务条款第 10 条管辖,包括对总损害赔偿的上限。使用 FixVibe 即表示你确认已阅读并理解该条款。

support@fixvibe.app。