MIND tem acesso ao microfone, à tela e (em versões futuras) ao mouse/teclado do usuário. Vulnerabilidade aqui não é "bug" — é potencial vetor.

Não abrir issue público.

Manda e-mail para contato@aumi.group com MIND security no assunto. Resposta em 72h úteis.

Se for crítico (RCE, exfiltração silenciosa, escalation de privilégio), responde em 24h.

• Captura de áudio sem indicador visual
• Captura de tela sem indicador visual
• Envio de dado pra fora do localhost sem opt-in explícito
• Persistência de dado sensível sem cifragem
• Execução de comando sem gate humano em v2+ ("Mãos")
• Bypass de qualquer dos princípios listados em AGENTS.md

• Investigamos antes de patch público
• Crédito ao reporter no changelog (a menos que peça anonimato)
• Sem bug bounty pago no momento (projeto alpha, sem fundos)

Adversários considerados hoje:

• Atacante local com acesso físico ou remoto à máquina do usuário
• Aplicativo malicioso instalado tentando ler memória do MIND
• Servidor cloud comprometido (quando o usuário opta por cloud)

Ainda não tratamos: ataque por modelo de fronteira (prompt injection do conteúdo capturado da tela). Será endereçado quando "Mãos" (v2) for ativado — o gate humano é a defesa principal até lá.