Security
المساهمة في نموذج التهديد
شكرًا لمساعدتك في جعل OpenClaw أكثر أمانًا. نموذج التهديدات هذا وثيقة حية، ونرحب بالمساهمات من أي شخص - لا تحتاج إلى أن تكون خبيرًا أمنيًا.
طرق المساهمة
إضافة تهديد
هل لاحظت متجه هجوم أو خطرًا لم نغطّه؟ افتح issue في openclaw/trust وصِفه بكلماتك الخاصة. لا تحتاج إلى معرفة أي أطر عمل أو ملء كل حقل - فقط صِف السيناريو.
من المفيد تضمين ما يلي (لكن ليس مطلوبًا):
- سيناريو الهجوم وكيف يمكن استغلاله
- أي أجزاء من OpenClaw تتأثر (CLI، Gateway، القنوات، ClawHub، خوادم MCP، إلخ)
- مدى خطورته في رأيك (منخفض / متوسط / عالٍ / حرج)
- أي روابط لأبحاث ذات صلة، أو CVEs، أو أمثلة من الواقع
سنتولى ربطه بإطار ATLAS، ومعرّفات التهديدات، وتقييم المخاطر أثناء المراجعة. إذا أردت تضمين هذه التفاصيل، فهذا ممتاز - لكنها ليست متوقعة.
هذا مخصص للإضافة إلى نموذج التهديدات، وليس للإبلاغ عن ثغرات نشطة. إذا وجدت ثغرة قابلة للاستغلال، فراجع صفحة Trust الخاصة بنا للحصول على تعليمات الإفصاح المسؤول.
اقتراح إجراء تخفيف
هل لديك فكرة عن كيفية معالجة تهديد قائم؟ افتح issue أو PR يشير إلى التهديد. إجراءات التخفيف المفيدة تكون محددة وقابلة للتنفيذ - على سبيل المثال، "تحديد معدل لكل مرسل بمقدار 10 رسائل/دقيقة عند Gateway" أفضل من "تنفيذ تحديد المعدل".
اقتراح سلسلة هجوم
توضح سلاسل الهجوم كيف تتحد تهديدات متعددة في سيناريو هجوم واقعي. إذا رأيت تركيبة خطيرة، فصِف الخطوات وكيف سيربطها المهاجم معًا. السرد القصير لكيفية تطور الهجوم عمليًا أكثر قيمة من قالب رسمي.
إصلاح المحتوى الحالي أو تحسينه
الأخطاء المطبعية، والتوضيحات، والمعلومات القديمة، والأمثلة الأفضل - نرحب بالـ PRs، ولا حاجة إلى issue.
ما نستخدمه
إطار MITRE ATLAS
بُني نموذج التهديدات هذا على MITRE ATLAS (مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي)، وهو إطار مصمم خصيصًا لتهديدات الذكاء الاصطناعي/تعلم الآلة مثل حقن المطالبات، وإساءة استخدام الأدوات، واستغلال الوكلاء. لا تحتاج إلى معرفة ATLAS للمساهمة - فنحن نربط المشاركات بالإطار أثناء المراجعة.
معرّفات التهديدات
يحصل كل تهديد على معرّف مثل T-EXEC-003. الفئات هي:
| الرمز | الفئة |
|---|---|
| RECON | الاستطلاع - جمع المعلومات |
| ACCESS | الوصول الأولي - الحصول على الدخول |
| EXEC | التنفيذ - تشغيل إجراءات ضارة |
| PERSIST | الاستمرارية - الحفاظ على الوصول |
| EVADE | تجاوز الدفاعات - تجنب الاكتشاف |
| DISC | الاكتشاف - التعرف على البيئة |
| EXFIL | استخراج البيانات - سرقة البيانات |
| IMPACT | التأثير - الضرر أو التعطيل |
يعيّن المشرفون المعرّفات أثناء المراجعة. لا تحتاج إلى اختيار واحد.
مستويات المخاطر
| المستوى | المعنى |
|---|---|
| حرج | اختراق كامل للنظام، أو احتمال عالٍ + تأثير حرج |
| عالٍ | احتمال حدوث ضرر كبير، أو احتمال متوسط + تأثير حرج |
| متوسط | خطر متوسط، أو احتمال منخفض + تأثير عالٍ |
| منخفض | غير مرجح وتأثيره محدود |
إذا لم تكن متأكدًا من مستوى الخطر، فصِف التأثير فقط وسنقيّمه.
عملية المراجعة
- الفرز - نراجع المشاركات الجديدة خلال 48 ساعة
- التقييم - نتحقق من قابلية التنفيذ، ونعيّن ربط ATLAS ومعرّف التهديد، ونتحقق من مستوى الخطر
- التوثيق - نضمن أن كل شيء منسق ومكتمل
- الدمج - يُضاف إلى نموذج التهديدات والتصور المرئي
الموارد
التواصل
- الثغرات الأمنية: راجع صفحة Trust الخاصة بنا للحصول على تعليمات الإبلاغ
- أسئلة نموذج التهديدات: افتح issue في openclaw/trust
- الدردشة العامة: قناة #security على Discord
التقدير
يُكرّم المساهمون في نموذج التهديدات ضمن شكر وتقدير نموذج التهديدات، وملاحظات الإصدار، وقاعة مشاهير أمن OpenClaw للمساهمات المهمة.