MiraFrame 同时使用自身应用控制、外部基础设施和 AI 模型服务商,因此安全性既依赖产品层面的保护措施,也依赖用户的合理操作。
当前安全措施
加密传输
MiraFrame 的公开页面和需要登录的页面均通过 HTTPS 提供,以保护浏览器与服务之间传输的数据。但 HTTPS 无法保护重复使用的弱密码或未经授权上传的素材。
私有账号页面
账号设置、账单、积分、生成活动、管理后台和 API 路由不会用于公开搜索索引。需要保护的工作流会应用相应的身份验证和权限检查。
限制浏览器能力
MiraFrame 使用安全响应头限制页面嵌入、MIME 类型猜测、来源信息泄露,以及不必要的摄像头、麦克风和位置功能访问。
限制数据共享范围
生成请求可能会发送给当前工作流选择的模型服务商。除非你有权根据对应服务商条款处理相关素材,否则不要上传机密信息或属于第三方的内容。
保护账号的建议
- 使用未在其他服务重复使用的独立密码。
- 保护用于登录的邮箱账号。
- 不要分享验证码、会话信息或私有 API 密钥。
- 及时检查异常账号、账单或生成活动。
- 在公共或共享设备上使用后退出登录。
负责任地报告安全问题
请将疑似安全问题发送至 [email protected],邮件主题使用“安全问题报告”。
建议包含:
- 受影响的 URL 或工作流;
- 清晰的复现步骤;
- 预期行为和实际行为;
- 可能造成的影响;
- 已移除密钥和个人信息的截图或日志。
不要超出证明问题所需的范围进行利用,不要访问其他用户数据、干扰服务、执行破坏性测试或在问题解决前公开披露。
范围与限制
本页说明当前实践,不代表任何认证、担保,也不保证能够阻止所有安全风险。安全措施会随产品、服务商和基础设施变化而调整。隐私政策 和 服务条款 仍是正式政策文件。