Olivia
Online
Lucifiel
@LucifielHack
🛡️ Security researcher · Web3/AI-agent · 🔴 Red Team Leader · Founder of 数字循真 (Runtime Semantic Intelligence) · 🔗
Joined March 2022
83 Following
97 Followers
51 Posts
Pinned Tweet
https://t.co/arVfZRkWbX
不知道被事实打的脸会不会痛呢
一个完成完整负责任披露流程的安全研究员,在 Donut 中文社区 Telegram 群中被群主公开称为:“职业敲诈项目方的”。
这件事情发生在 Donut 中文社区 Telegram 群,以下内容都是依据公开可获取的漏洞披露报告、公开聊天记录及相关证据进行陈述,仅讨论公开事实,不针对个人情绪。
一位安全研究员按照负责任披露流程完成了整个漏洞披露过程。 在整个过程中,安全研究员提前向项目方报告了漏洞,随后按照负责任披露流程给予了90天修复时间。
基于现有披露材料、聊天记录及可查证沟通内容,未发现与勒索、敲诈相关的行为证据。公开内容仅为漏洞研究结果以及双方真实沟通记录。
安全研究员完整漏洞披露报告及沟通记录如下: https://t.co/E0GoINgoDU
————————————————
在有 Donut 社区用户阅读了该报告后,在 Donut 中文区Telegram 社群���2026年6月24日发起询问。
社区成员:“这个你们怎么看,团队有第三方审计报告吗”
群主 Eric: “这个是职业敲诈项目方的”
社区成员: “虽然但是,这里面提到的漏洞是有解决的吗”
群主 Eric: “肯定是解决的,资产100%安全”
(需要补充说明的是,Eric 在该 Telegram 社群中担任群主,在@DonutAI的Discord社区里担任mod 。基于其管理身份,其公开发言具有较大的社区影响力。)
在发现上述公开言论后,安全研究员本人进入 Donut 中文区 Telegram 群进行了说明。
安全研究员本人说明:
"大家好,我是当事人 Lucifiel。截至发稿日 2026 年6月 15日,49个漏洞中完全解决的仅有 11个,包含D0 的 RCE漏洞在内的多个核心问题均未解决。其次,我在完成合规的负责任披露后,仅提醒用户注意自身资金安全,未发表任何个人言论,��未散播对 Donut的任何看法。而 Donut团队的管理人员却在此公开如此议论我。
一切以事实说话:在博客https://t.co/E0GoINgoDU中,我保留了完整的沟通与会议记录,并上传了完整证据,是否构成敲诈,证据很清楚。
基于 Eric在此的言论,我方已取证。现要求Donut团队就在公开场合无端诬蔑造谣本人一事,通过官方公开渠道(官网或官方推特)进行公开道歉否则,我方将追究 Donut 团队相应的法律责任。"
随后发生的情况是: 安全研究员的说明消息被管理员删除,其账号随后被移出 Donut 中文区 Telegram 群。
————————————————
可以看到,在社区成员提问后,Eric并未首先回应用户对产品安全本身的担忧,而是直接将该安全研究员定义为“职业敲诈项目方的”。
在后续关于漏洞修复情况的追问中,群主Eric 回应: “肯定是解决的,资产100%安全” 然而,根据安全研究员公开保存的漏洞修复跟踪记录,截至 2026 年 6 月 15 日,49 个漏洞中完全修复的仅有 11 个,包括 D0 的 RCE 漏洞在内的多个核心问题仍未完成修复。
以上内容均有对应聊天记录、截图、漏洞报告、沟通记录及修复记录作为证据。
————————————————
对于漏洞是否严重,可以讨论。
对于漏洞评级是否合理,可以讨论。
对于技术观点是否一致,也可以讨论。
不管在哪种讨论场景中,所有争议都应基于事实、证据与可复现的信息进行判断。 但如果没有公开证据支持,就直接将一位遵循行业负责任披露流程的安全研究员在公开场合称为“职业敲诈项目方的”,这种做法既不尊重事实,也不利于任何技术问题的正常讨论。
技术问题,应当用技术回应。
事实问题,应当用证据回应。
如果认为安全研究员存在相关行为,也应公开相应证据。 一切最终都应建立在事实、证据和透明沟通���上,而不是缺乏公开证据支持的指控。
一个完成完整负责任披露流程的安全研究员,在 Donut 中文社区 Telegram 群中被群主公开称为:“职业敲诈项目方的”。
这件事情发生在 Donut 中文社区 Telegram 群,以下内容都是依据公开可获取的漏洞披露报告、公开聊天记录及相关证据进行陈述,仅讨论公开事实,不针对个人情绪。
一位安全研究员按照负责任披露流程完成了整个漏洞披露过程。 在整个过程中,安全研究员提前向项目方报告了漏洞,随后按照负责任披露流程给予了90天修复时间。
基于现有披露材料、聊天记录及可查证沟通内容,未发现与勒索、敲诈相关的行为证据。公开内容仅为漏洞研究结果以及双方真实沟通记录。
安全研究员完整漏洞披露报告及沟通记录如下: https://t.co/E0GoINgoDU
————————————————
在有 Donut 社区用户阅读了该报告后,在 Donut 中文区Telegram 社群于2026年6月24日发起询问。
社区成员:“这个你们怎么看,团队有第三方审计报告吗”
群主 Eric: “这个是职业敲诈项目方的”
社区成员: “虽然但是,这里面提到的漏洞是有解决的吗”
群主 Eric: “肯定是解决的,资产100%安全”
(需要补充说明的是,Eric 在该 Telegram 社群中担任群主,在@DonutAI的Discord社区里担任mod 。基于其管理身份,其公开发言具有较大的社区影��力。)
在发现上述公开言论后,安全研究员本人进入 Donut 中文区 Telegram 群进行了说明。
安全研究员本人说明:
"大家好,我是当事人 Lucifiel。截至发稿日 2026 年6月 15日,49个漏洞中完全解决的仅有 11个,包含D0 的 RCE漏洞在内的多个核心问题均未解决。其次,我在完成合规的负责任披露后,仅提醒用户注意自身资金安全,未发表任何个人言论,也未散播对 Donut的任何看法。而 Donut团队的管理人员却在此公开如此议论我。
一切以事实说话:在博客https://t.co/E0GoINgoDU中,我保留了完整的沟通与会议记录,并上传了完整证据,是否构成敲诈,证据很清楚。
基于 Eric在此的言论,我方已取证。现要求Donut团队就在公开场合无端诬蔑造谣本人一事,通过官方公开渠道(官网或官方推特)进行公开道歉否则,我方将追究 Donut 团队相应的法律责任。"
随后发生的情况是: 安全研究员的���明消息被管理员删除,其账号随后被移出 Donut 中文区 Telegram 群。
————————————————
可以看到,在社区成员提问后,Eric并未首先回应用户对产品安全本身的担忧,而是直接将该安全研究员定义为“职业敲诈项目方的”。
在后续关于漏洞修复情况的追问中,群主Eric 回应: “肯定是解决的,资产100%安全” 然而,根据安全研究员公开保存的漏洞修复跟踪记录,截至 2026 年 6 月 15 日,49 个漏洞中完全修复的仅有 11 个,包括 D0 的 RCE 漏洞在内的多个核心问题仍未完成修复。
以上内容均有对应聊天记录、截图、漏洞报告、沟通记录及修复记录作为证据。
————————————————
对于漏洞是否严重,可以讨论。
对于漏洞评级是否合理,可以讨论。
对于技术观点是否一致,也可以讨论。
不管在哪种讨论场景中,所有争议���应基于事实、证据与可复现的信息进行判断。 但如果没有公开证据支持,就直接将一位遵循行业负责任披露流程的安全研究员在公开场合称为“职业敲诈项目方的”,这种做法既不尊重事实,也不利于任何技术问题的正常讨论。
技术问题,应当用技术回应。
事实问题,应当用证据回应。
如果认为安全研究员存在相关行为,也应公开相应证据。 一切最终都应建立在事实、证据和透明沟通之上,而不是缺乏公开证据支持的指控。
@RXu107 太年轻了还是 没预料到会这样
https://t.co/arVfZRkWbX
@peipei0013 @kirakira1888 这份技术披露是我做的,文章篇幅有限,沟通细节和一些比较全面的东西没法写进去。在文章中我贴了博客地址,那边是全面的记录,包括沟通过程和会议过程,以及相应的证据,如果有时间的话建议去完整看一下所有沟通过程和漏洞细节,然后再决定做不做
@Corrina101Young 是的呀,但凡有个公开的感谢,实际上都不是那么让人难以接受
过程有不少沟通过程,在本文中无法准确放出,建议前往博客去阅读全文和所有沟通过程
@zouxulucky 能解决就好 还是得注意做好备份和异地容灾的准备
@zouxulucky 好的,我就是做网络安��的,我这边可以帮忙联系专业公司看看有没有解密可能性
@xz_future 大概作用就是通过���态变化去检测行为的合法性
@Normanxbt 是的,辛辛苦苦去研究的成果,却没得到重视,反而被不实控诉说是在敲诈,真的很残酷
@xz_future 我们目前正在打造一套基于状态机的运行时语义智能框架,以解决ai程序运行时的安全审计等问题
@xz_future 我是一名安全研究者,希望我们可以在安全方面有一些交流
@chompie1337 我甚至让claude帮我撰写一些有授权文件的安全报告,它都会提示cvp拒绝我
@haileykreed 不是的 这个是做ai自动交易的
https://t.co/cUciS1MkVi
Everything verifiable is redacted & archived — 49 bugs item-by-item, all 3 calls verbatim, full Telegram thread, 11 on-chain txns, CVE records.
Zero PoC. Zero reusable weapons. Own funds & own Pod only. No third-party loss.
Full write-up 👉 https://t.co/lyoA0eERC7
Blog: https://t.co/HJYM5S9CI0
https://t.co/cUciS1MkVi
I reported 49 security vulnerabilities to @DonutAI — a $22M-funded AI crypto project (BITKRAFT, Hack VC, Sky9).
One of them: open a single link, no prompt, and your wallet can be silently drained.
Their response wasn't a thank-you. It was a legal threat.
Here's what happened. 🧵
On the 2nd call, the product lead's verbatim words about my report (kept in original Chinese):
"比花了很多钱找的那个专业团队���的报告,有些角度是比较深的。"
(gist: deeper in places than the expensive pro team they hired)
When I prepared to publish as agreed, this is the reply I got 👇
Trends for you
Most Popular Users
Elon Musk
@elonmusk
240.6M followers
Barack Obama
@barackobama
119.2M followers
Donald J. Trump
@realdonaldtrump
111.7M followers
Cristiano Ronaldo
@cristiano
110.5M followers
Narendra Modi
@narendramodi
107M followers
Rihanna
@rihanna
97.6M followers
NASA
@nasa
92.2M followers
Justin Bieber
@justinbieber
90.9M followers
KATY PERRY
@katyperry
87.6M followers
Taylor Swift
@taylorswift13
81.4M followers
Lady Gaga
@ladygaga
73M followers
Virat Kohli
@imvkohli
69.8M followers
Kim Kardashian
@kimkardashian
69.8M followers
YouTube
@youtube
68.7M followers
Bill Gates
@billgates
63.9M followers
Neymar Jr
@neymarjr
62.5M followers
The Ellen Show
@theellenshow
62.4M followers
CNN
@cnn
61.9M followers
X
@x
60.8M followers
Selena Gomez
@selenagomez
60.7M followers