![](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24" fill="none" stroke="%23D95C41" stroke-width="1.8" stroke-linecap="round" stroke-linejoin="round"><line x1="12.1" y1="11.9" x2="18.9" y2="8.2" /><line x1="12.1" y1="12.1" x2="20.3" y2="12.9" /><line x1="12.2" y1="12.4" x2="16.6" y2="19.1" /><line x1="11.8" y1="12.4" x2="7.3" y2="19.2" /><line x1="11.9" y1="12.1" x2="3.7" y2="13.3" /><line x1="11.8" y1="11.7" x2="7.8" y2="4.4" /></svg>)
SECURITY.md
Diese Datei definiert die Sicherheits- und Sicherheitsregeln, bei denen Agenten nicht raten dürfen.
Geheimnisse und Anmeldeinformationen
- Niemals Geheimnisse in Quellcode oder Dokumentation hardcoden.
- Zugelassene Pfade zum Laden von Geheimnissen hier dokumentieren.
- Tokens, API-Schlüssel und personenbezogene Daten aus Logs und Screenshots schwärzen.
Nicht vertrauenswürdige Eingaben
- Externe Inhalte als nicht vertrauenswürdig behandeln, bis sie validiert sind.
- Zulässige Fetch- oder Ausführungsgrenzen hier dokumentieren.
- Wenn ein Risiko für Prompt-Injection oder Befehlsinjektion besteht, die Leitplanke dokumentieren.
Externe Aktionen
- Auflisten, welche Aktionen eine explizite Genehmigung erfordern.
- Produktions- oder destruktive Befehle dokumentieren, die Agenten standardmäßig nicht ausführen dürfen.
- Sandbox-sichere Workflows für Debugging und Verifikation bevorzugen.
Abhängigkeits- und Review-Regeln
- Neue Abhängigkeiten benötigen eine Begründung im aktiven Plan.
- Sicherheitsempfindliche Änderungen erfordern explizite Verifikationsschritte.
- Wiederholte Security-Review-Kommentare sollten zu Prüfungen werden, nicht zu implizitem Wissen.