Überblick
Kobel ist eine kommerzielle Desktop-Software, die zwischen KI-Assistenten und deinen lokalen Dateien steht. Sicherheit ist für uns deshalb nicht optional, sondern das Produkt selbst. Diese Seite beschreibt, wie du uns Schwachstellen meldest und was du von uns erwarten kannst.
Maschinenlesbar: /.well-known/security.txt
nach RFC 9116.
Melden einer Schwachstelle
Sicherheitskontakt
security@kobel.appBitte nutze diese Adresse nur für Sicherheitsthemen. Allgemeine Anfragen an hello@kobel.app.
Bitte nicht GitHub-Issues, Social Media oder öffentliche Foren nutzen, bevor ein Fix verfügbar ist. Wir bitten um eine Frist von mindestens 90 Tagen bis zur Veröffentlichung (Coordinated Vulnerability Disclosure).
Eine gute Meldung enthält – soweit möglich:
- Kobel-Version (Einstellungen → Über)
- Betriebssystem und Version (z.B. Windows 11 23H2)
- Schritt-für-Schritt-Reproduktion
- Proof of Concept (Screenshots, Code, Logs)
- Vermutete Auswirkung (Datenleck, RCE, Rechteerhöhung, DoS, …)
- Ob du öffentlich genannt werden möchtest
Reaktionszeiten
Kobel fällt unter den EU Cyber Resilience Act (CRA). Ab dem 11. September 2026 gelten folgende Meldefristen – wir halten sie schon heute ein:
| Innerhalb | Zusage |
|---|---|
| 24 Stunden | Eingangsbestätigung |
| 72 Stunden | Erste Einschätzung: bestätigt / abgelehnt / Rückfrage |
| 14 Tage | Fix, Workaround oder konkreter Zeitplan |
| 90 Tage | Koordinierte Veröffentlichung |
Benachrichtigung betroffener Nutzer
Bei aktiv ausgenutzten Schwachstellen und bei Incidents, die Nutzerdaten oder die Integrität lokaler Installationen betreffen können (CRA Art. 13), informieren wir betroffene Nutzer unverzüglich über:
- Update-Benachrichtigung in der Kobel-App (Auto-Updater)
- E-Mail an registrierte Pro- und Team-Kunden (über Paddle-Adressdaten)
- Sicherheits-Advisories unter
/security/advisories/mit CVE-ID (sofern vergeben), CVSS-Score und empfohlenen Maßnahmen - bei kritischen Lücken zusätzlich ein Hinweis auf der Startseite
Umfang
✓ In-Scope
- Kobel Desktop-App (Tauri v2, Rust, JS)
- NSIS-Installer und Auto-Updater
- MCP-stdio-Server und eingebaute Tools
- ChatGPT-Remote-MCP-Bridge
- App-Proxy-Mechanik
- Ampel-Berechtigungssystem
- Team-Policy-Enforcement
- License-API (
kobel.app/api/) - Website
kobel.app
✕ Out of Scope
- Drittanbieter (Google Drive, Dropbox, Paddle, Cloudflare)
- KI-Modelle selbst (Claude, ChatGPT)
- Benutzer-Fehlkonfiguration der Ampel
- Social Engineering gegen Amoria Studio
- Fehlende Rate-Limits auf Marketing-Seiten
Bekannte Einschränkungen
Diese Punkte sind uns bekannt und müssen nicht erneut gemeldet werden. Sie gelten weder als Bug noch als Sicherheitsschwachstelle im Sinne dieser Policy:
- SmartScreen-Warnung beim Installer: Code-Signing-Zertifikat ist beauftragt (Certum Cloud Code Signing) und wird vor der Microsoft-Store- Veröffentlichung integriert.
- NSIS-Installer-Branding: Pixelige BMP-Ressource ist bekannt und wird im ersten Minor-Update behoben.
Safe Harbor
Wir machen keine zivilrechtlichen Ansprüche (Unterlassung, Schadensersatz) gegen Sicherheitsforschende geltend und bestätigen bei behördlichen Anfragen die Gutgläubigkeit, sofern folgende Bedingungen erfüllt sind:
- nur das notwendige Minimum an Daten wird eingesehen,
- keine Nutzerdaten Dritter werden verändert, gelöscht oder exfiltriert,
- kein Denial-of-Service gegen Produktivsysteme wird durchgeführt,
- uns wird eine angemessene Frist zur Behebung eingeräumt (siehe oben),
- vorab wird keine Veröffentlichung oder Weitergabe an Dritte vorgenommen.
Hinweis: Das deutsche Strafrecht (insbesondere §§ 202a–c, 303a/b StGB) steht nicht zu unserer Disposition. Wir können strafrechtliche Ermittlungen weder ausschließen noch verhindern. Wir verpflichten uns jedoch, Behörden gegenüber die Gutgläubigkeit und den konstruktiven Charakter der Meldung aktiv zu bestätigen.
Anerkennung
Mit deinem Einverständnis nennen wir dich hier in unserer Hall of Fame. Bestätigte, impactvolle Funde honorieren wir nach Einzelfallentscheidung – in der Regel durch eine Kobel-Pro-Lizenz für die aktuelle Hauptversion. Bei besonders kritischen Funden kann eine Geldzahlung erfolgen; ein rechtlicher Anspruch auf Belohnung besteht nicht.
Noch keine Einträge. Sei der erste.
PGP-Verschlüsselung
Ein PGP-Schlüssel für security@kobel.app ist in Vorbereitung und wird
unter /.well-known/pgp-key.txt
veröffentlicht. Bis dahin bitte sensible Details als verschlüsselten Anhang oder über
einen E-Mail-Anbieter mit Ende-zu-Ende-Verschlüsselung senden.
In English
An English version of this policy is available on request via security@kobel.app. Researchers outside Germany: feel free to write in English – responses will be bilingual if you prefer.