Vi bjuder in tekniska researchers att granska Kapacitis publika AI-agent, vårt audit-chain-protokoll och vår öppna verifierare. Syftet är enkelt, vi vill veta när vi har fel. Säkerhet byggs av öppen granskning, inte av tystnad.
Kapaciti AB (under bolagsbildning) positionerar sig som top-3-i-Europa på försvarbar AI-infrastruktur för reglerade industrier. Den positionen kräver oberoende granskning, inte bara interna tester. Anthropic-style transparens, recognition först, cash sedan. Senast uppdaterad 2026-05-19.
Tre huvudområden är i scope för programmet. Detaljerad spec, attack-kategorier och rules of engagement finns i SCOPE-AND-RULES-dokumentet. Vid osäkerhet om en attack är i eller utanför scope, mejla oss för pre-clearance.
Endpoint kapaciti.se/api/chat, system-promptens scope-stay, persona-konsistens, system-prompt-läckage och prompt injection.
Sign-skriptet, verify-skriptet, public-key-hanteringen, hash-kedjan och Ed25519-implementationen i kapaciti-site.
Alla publicerade eval-bundles, /trust-undersidor och programdokumentation. Path traversal, RCE och tampering-resistens.
Out of scope
Vi värdesätter recognition före cash-reward. Researcher kan välja mellan fullt namn, handle, organisation eller anonym kreditering. Hall of Fame är publik på den här sidan och i vårt programrepo, och blir över tid en av de starkaste signalerna för vår trust-positionering.
Fyra steg. Coordinated disclosure med 90 dagars standard-embargo. Vi förlänger i samråd vid komplexa patcher, vi förkortar vid aktivt utnyttjande eller trivial fix.
Skicka rapport till security@kapaciti.se med subject [BOUNTY]. Använd submission-templaten för struktur.
Vi bekräftar mottagande inom 7 dagar med ett tracking-ID. PGP välkommen för fortsatt korrespondens.
Vi triagear inom 30 dagar, tilldelar severity och börjar arbete på patch. Researcher får insyn i fix-PR.
Coordinated disclosure, standard 90 dagar. Security advisory, Hall of Fame-uppdatering, cash-reward per allvarsgrad.
Fyra nivåer från Critical till Low. Utbetalning via banköverföring eller faktura, alternativt avstå cash och välj recognition-only, alternativt rikta till välgörenhetsorganisation. Full struktur i REWARD-STRUCTURE-dokumentet.
5 000 till 15 000 SEKAudit-chain bypass, bevisad PII-leakage, RCE i verifieraren, komplett system-prompt-extraktion, signature forge.
1 000 till 5 000 SEKScope-stay-brott med replikerbar exploit, verifier-side-svaghet, persona-läckage, brist i public-key-hanteringen.
500 till 1 000 SEKHallucination med real-world risk, single-turn-bypass av en kategori, inkonsistens mellan dokumentation och implementation.
Hall of FameDokumentationsfel, smärre förbättringsförslag, brutna länkar. Ingen cash men full kreditering.
Vi sätter intentionellt belopp inom 14 dagar från triage. Faktisk utbetalning inom 30 dagar från att vi får dina betalningsuppgifter. Hall of Fame-uppdatering inom 7 dagar från coordinated disclosure. Du ansvarar för deklaration i ditt hemland.
Använd subject-prefix [BOUNTY]. Strukturera rapporten enligt vår submission-template. PGP-kryptering välkommen för känsliga fynd. Om security-aliaset inte är konfigurerat ännu, använd backup-adressen alex@kapaciti.se.
All programdokumentation publiceras öppet. Versionnummer, datum och changelog. Aktiva submissions handläggs alltid under den version som var aktiv vid submission-tillfället.
SUBMISSION-TEMPLATE.mdFillable form för rapportering, researcher-info, reproduktionssteg, impact-bedömning.
ÖppnaDISCLOSURE-POLICY.mdCoordinated disclosure-tidlinje, embargo-hantering, CVE-koordinering, eskalering.
ÖppnaRepo: github.com/Fluxz-Holding/kapaciti-bounty. Repo publiceras vid registrering av Kapaciti AB. Tills dess refererar länkarna till en placeholder, mejla för direkt access till dokumentationen.
Samma Ed25519-nyckel som signerar våra eval-bundles (adversarial v1, regulatory och comparative). En extern researcher kan verifiera att vår programdokumentation och våra bundles är från samma operator.
ed25519Public key (hex)34cd58b018c65a20d5c2d0e480f3530fbe25789d0d64573ef58edff08851efb4Fingerprintsha256:362a86ea4b2bd495e76519d3b0e9e5673bfa98733370eb1df2bf5f507b8a298cCross-verifiering. Samma public key publiceras på trust/audit-keys, i bundle-headers på trust/eval-results, och i programdokumentations-repots release-tags. Tre oberoende kanaler för fingerprint-jämförelse.
Vi vidtar inga rättsliga åtgärder mot researchers som agerar i god tro per reglerna i SCOPE-AND-RULES. Det inkluderar att vi inte gör GDPR-anmälan, inte civilrättsliga anspråk, inte polisanmäler för aktiviteter inom scope. Vi samarbetar dessutom med dig om en tredje part felaktigt försöker göra anspråk mot dig för en submission inom scope.
Listan uppdateras vid coordinated disclosure. Researcher väljer mellan fullt namn, handle, organisation eller anonym kreditering. Programmet är i pre-launch, första fynd kommer att listas här.
Status. Programmet är i pre-launch. Hall of Fame är öppen för retroaktiv kreditering så fort registrering av Kapaciti AB är klar. Submissions tas emot redan nu på security@kapaciti.se.
Anthropic-style transparens. Recognition först, cash sedan. Coordinated disclosure med 90 dagars standard-embargo. Legal safe harbor för researchers i god tro. Vi värdesätter öppen granskning som vägen till försvarbar AI.
● Nyhetsbrev
En sammanfattning ungefär en gång i månaden. Vad förändrats i regelverket, vilka pilot-cases vi sett och vilka vendor-shifts som påverkar svenska bolag. Skickas av oss, inte av en automation som låtsas vara oss.