← Mycelium

Seguridad y divulgación

Última actualización: 2026-05-03

Mycelium opera un programa de divulgación coordinada. Los investigadores que reportan vulnerabilidades de buena fe y siguiendo las reglas a continuación serán reconocidos en nuestro CHANGELOG público y acreditados en cualquier aviso de seguridad relacionado.

1. Reportes

Envía los reportes de vulnerabilidades a adelaida@diazroa.com. Los envíos cifrados son bienvenidos; huella digital de la llave PGP disponible a solicitud.

Por favor incluye:

  • Una descripción clara y reproducible del problema
  • La URL, endpoint, versión o componente afectado
  • Salida de prueba de concepto o pasos que demuestren el impacto
  • Tu nombre preferido para el crédito (o una solicitud de permanecer anónimo)

2. Cronograma de respuesta

  • Acuse de recibo dentro de un día hábil
  • Triage inicial y evaluación de severidad dentro de cinco días hábiles
  • Plan de remediación y fecha objetivo dentro de quince días hábiles
  • Ventana de divulgación pública: noventa días desde el reporte inicial, o antes si una corrección ha salido y la base de clientes ha sido notificada, lo que ocurra primero

3. Alcance

Dentro del alcance:

  • myceliumai.co y todos los subdominios operados por Mycelium
  • La capa de memoria open source en github.com/adelaidasofia/ai-brain-starter
  • Los endpoints del motor de ejecución productizado expuestos a clientes bajo carta de compromiso (sujeto a la Sección 4)

Fuera del alcance:

  • Servicios de terceros (infraestructura de Vercel, Resend, PostHog, Anthropic, OpenAI, etc.). Por favor reporta al proveedor directamente.
  • Ingeniería social a empleados, contratistas o clientes piloto de Mycelium
  • Ataques físicos a oficinas o hardware de Mycelium
  • Pruebas de denegación de servicio o de límites de tasa sin autorización previa por escrito

4. Puerto seguro

La investigación realizada de acuerdo con esta política se considera autorizada y Mycelium no procederá con acción civil ni la reportará a las autoridades policiales. Los investigadores deben evitar acceder o modificar datos del cliente, deben detener las pruebas de inmediato cuando se les solicite, y deben dar a Mycelium tiempo razonable para remediar antes de la divulgación pública.

5. Reconocimiento

Los investigadores que sigan esta política y envíen reportes de vulnerabilidades válidos son reconocidos en el CHANGELOG público y (con el consentimiento del investigador) en cualquier aviso de seguridad publicado. No ofrecemos recompensas en efectivo actualmente; esperamos lanzar un programa pagado después de que la auditoría SOC 2 Type II se complete.

6. Privacidad y consultas de interesados

Para preguntas de privacidad o solicitudes de interesados bajo el RGPD, RGPD del Reino Unido, CCPA o LGPD, escribe a adelaida@diazroa.com.

Mycelium · fundado en 2026