关于Zibll AI插件安全性的官方声明与技术说明

关于近期部分平台及用户对我司插件安全问题的关切，我司高度重视并进行了全面技术复核，现就相关不实信息及我司安全实践统一说明如下：

首先，经我司严格核查，相关反馈中提及的“wp_ajax_nopriv无权限验证”、“密钥明文存储”、“REST API权限放任”等问题，在我司插件的历史及当前版本中均不存在。 相关描述与事实严重不符，可能基于对不完整代码或旧有错误信息的误解。我司插件自研发之初，即在所有涉及权限与数据交互的关键环节内置了严格的安全校验机制。

我司始终将安全置于产品开发的核心位置，并构建了贯穿设计、开发、测试与发布全流程的纵深防御体系：

1. 权限与访问控制体系

• 身份与能力校验：所有自定义API接口（包括REST API及AJAX端点）均遵循“最小权限”原则，集成用户身份验证，不存在未经授权即可访问的敏感端点。

• 密钥与敏感信息管理：所有API密钥、令牌等敏感信息均采用业界标准加密算法进行安全存储与处理，杜绝在客户端、前端代码或日志中以明文形式暴露的风险。

• 访问频率与来源管控：关键接口内置请求频率限制（Rate Limiting）及来源验证机制，有效防范滥用与恶意攻击。

2. 数据安全与处理规范

• 输入验证与清理：对所有用户输入及外部数据进行强制性验证、过滤与转义，涵盖数据类型、长度、格式及内容安全性，从根本上防御SQL注入、XSS等常见攻击。

• 输出编码与防护：所有输出至前端的数据均进行适当的编码，确保在浏览器环境中安全渲染。

3. 代码安全与维护

• 我们关注到社区对eval用法的讨论。我司插件中使用的eval仅限于特定加密代码的自解密过程，从未用于执行任何形式的用户输入。即便如此，我们已在新版本中对相关代码调整

• 插件发布前均经过自动化安全扫描与人工代码审查，确保符合WordPress官方安全编码规范。

4. 日志与运维安全

• 调试日志功能严格遵循“按需开启”原则，仅当用户主动启用WordPress调试模式后，非敏感的操作日志才会写入受保护的服务器路径。我们建议用户在生产环境中关闭调试模式。

对于用户安全的承诺与支持：
我们郑重承诺，若任何经权威第三方安全机构确认并披露的我司插件安全漏洞，导致您的网站遭受直接损失，我司将第一时间启动应急响应，协助您进行修复与影响评估，并依法依规承担相应的责任。

• 请您通过我司官网公布的官方客服渠道进行反馈。

• 我们强烈建议您始终从我司官网等正规渠道下载与更新插件，以确保文件完整性。

我们坚信，透明、负责的沟通是建立信任的基石。对于持续捏造并传播不实漏洞信息，对我司商誉造成损害的行为，我司将保留依法追究其法律责任的权利。

我们诚挚邀请所有用户、开发者及安全专家对我司产品进行监督。您可以通过官方渠道提交任何安全疑虑或改进建议，我们将认真对待每一条反馈，并持续投入，为您提供更安全、可靠的产品与服务。

让我们共同营造一个安全、健康的WordPress生态系统。