目的声明：Anthropic 正在构建能够更快速、更低成本发现软件漏洞的 AI 工具，并正致力于形成一个清晰框架来处理已识别漏洞；该框架既考虑现有行业最佳实践，也预判这些 AI 工具所带来的速度与规模方面的独特挑战。

范围：这些运营原则适用于 Anthropic 在开源软件中发现的漏洞，以及在 Anthropic 已获得适当授权开展安全研究的闭源软件中发现的漏洞。它通常不涵盖外部研究人员向 Anthropic 提交的报告；此类报告受 Anthropic 的负责任披露政策约束。

一般原则：Anthropic 旨在遵循行业标准的 90 天披露期限，尽可能提供经人工审核并附有建议修复方案的报告，并按照维护者实际能够消化的节奏提交。

目标漏洞披露时间表：我们旨在尽快通知供应商和维护者相关漏洞；除非我们认定存在有说服力的安全相关理由不宜如此，否则我们计划在 90 天后，或补丁发布后（以较早者为准），向防御方公开分享细节。我们可能因多种原因偏离这一默认时间表，包括以下情况：

• 如果供应商或维护者在 90 天期限临近时仍在积极参与并推动修复，我们可应请求给予 14 天延期。
• 对于正在被主动利用的严重漏洞，我们的目标是 7 天内提供补丁或缓解措施。如果维护者正在积极修复并请求更多时间，我们可再给予 7 天延期。
• 当某项发现反映出同时影响多个项目的生态系统级模式时，我们旨在通知受影响方，并在该发现公开前，向每位维护者提供其响应所需的信息和支持。
• 当我们与维护者对某项发现的严重程度存在分歧时，我们通常会尊重维护者的评估。不过，也可能存在例外，例如我们掌握了漏洞正被主动利用的可信证据；在这种情况下，无论维护者如何分类该缺陷，压缩后的 7 天目标时间表都将适用。如果维护者在收到我们的初始报告后 30 天内未作回应，我们将力求将该发现升级提交给外部漏洞协调方，并在适用时间表到期后进行公开披露。
• 在情有可原的情况下，例如超出我们合理控制范围的事件，或需要异常复杂补救措施的发现，我们保留调整期限的权利，并将在适当情况下说明任何调整及其理由。

补丁细节：一旦补丁可用，我们通常会等待 45 天再发布完整技术细节。其目的是在详细利用信息公开之前，给下游用户部署修复留出时间。如果相关细节已通过其他渠道公开，或更早发布将实质性帮助防御方识别并缓解正在发生的攻击，我们可能缩短这一缓冲期。当补丁部署异常复杂，或受影响范围异常广泛时，我们可能延长该缓冲期。

漏洞披露报告与协调：我们发送的每份报告通常都反映了一项已由人工安全研究人员审查并确认的发现。源自 AI 驱动发现的报告会被明确标注为此类来源。在我们能够访问源代码且工具生成了潜在候选补丁的情况下，我们会将其纳入报告，标注其来源，并提出与维护者合作制定生产级修复方案。我们不会在未先联系并尝试就维护者可持续承受的节奏达成一致前，向单个项目提交大量发现。正在被主动利用的漏洞不受节奏限制，通常遵循上述压缩时间表。