Security
مشارکت در مدل تهدید
از اینکه به امنتر شدن OpenClaw کمک میکنید سپاسگزاریم. این مدل تهدید سندی زنده است و از مشارکت همه استقبال میکنیم؛ لازم نیست متخصص امنیت باشید.
راههای مشارکت
افزودن یک تهدید
یک بردار حمله یا ریسکی دیدهاید که پوشش ندادهایم؟ یک مسئله در openclaw/trust باز کنید و آن را با زبان خودتان توضیح دهید. لازم نیست هیچ چارچوبی را بشناسید یا همه فیلدها را پر کنید؛ فقط سناریو را توضیح دهید.
موارد مفید برای درج (اما الزامی نیست):
- سناریوی حمله و اینکه چگونه میتواند مورد سوءاستفاده قرار گیرد
- اینکه کدام بخشهای OpenClaw تحت تاثیر قرار میگیرند (CLI، Gateway، کانالها، ClawHub، سرورهای MCP و غیره)
- اینکه به نظر شما شدت آن چقدر است (پایین / متوسط / بالا / بحرانی)
- هر پیوندی به پژوهشهای مرتبط، شناسههای CVE، یا نمونههای واقعی
ما نگاشت ATLAS، شناسههای تهدید، و ارزیابی ریسک را در طول بازبینی انجام میدهیم. اگر میخواهید این جزئیات را اضافه کنید، عالی است؛ اما انتظار نمیرود.
این بخش برای افزودن به مدل تهدید است، نه گزارش آسیبپذیریهای زنده. اگر یک آسیبپذیری قابل سوءاستفاده پیدا کردهاید، برای دستورالعملهای افشای مسئولانه به صفحه اعتماد ما مراجعه کنید.
پیشنهاد یک اقدام کاهشی
ایدهای برای رسیدگی به یک تهدید موجود دارید؟ یک مسئله یا درخواست تغییر باز کنید و به آن تهدید ارجاع دهید. اقدامات کاهشی مفید مشخص و قابل اجرا هستند؛ برای مثال، «محدودسازی نرخ بهازای هر فرستنده به ۱۰ پیام در دقیقه در Gateway» بهتر از «محدودسازی نرخ را پیادهسازی کنید» است.
پیشنهاد یک زنجیره حمله
زنجیرههای حمله نشان میدهند چگونه چند تهدید با هم ترکیب میشوند و یک سناریوی حمله واقعگرایانه میسازند. اگر ترکیب خطرناکی میبینید، مراحل را توضیح دهید و اینکه مهاجم چگونه آنها را به هم زنجیر میکند. یک روایت کوتاه از اینکه حمله در عمل چگونه رخ میدهد، از یک الگوی رسمی ارزشمندتر است.
اصلاح یا بهبود محتوای موجود
اشتباههای تایپی، شفافسازیها، اطلاعات قدیمی، نمونههای بهتر؛ درخواستهای تغییر پذیرفته میشوند و نیازی به مسئله نیست.
آنچه استفاده میکنیم
چارچوب MITRE ATLAS
این مدل تهدید بر پایه MITRE ATLAS (چشمانداز تهدیدهای خصمانه برای سامانههای AI) ساخته شده است؛ چارچوبی که بهطور ویژه برای تهدیدهای AI/ML مانند تزریق پرامپت، سوءاستفاده از ابزار، و بهرهکشی از عامل طراحی شده است. برای مشارکت لازم نیست ATLAS را بشناسید؛ ما هنگام بازبینی، ارسالها را به این چارچوب نگاشت میکنیم.
شناسههای تهدید
هر تهدید یک شناسه مانند T-EXEC-003 میگیرد. دستهها عبارتاند از:
| کد | دسته |
|---|---|
| RECON | شناسایی - گردآوری اطلاعات |
| ACCESS | دسترسی اولیه - ورود گرفتن |
| EXEC | اجرا - اجرای اقدامات مخرب |
| PERSIST | ماندگاری - حفظ دسترسی |
| EVADE | گریز از دفاع - پرهیز از شناسایی |
| DISC | کشف - شناخت محیط |
| EXFIL | برونبرد - سرقت داده |
| IMPACT | اثرگذاری - آسیب یا اختلال |
شناسهها هنگام بازبینی توسط نگهدارندگان اختصاص داده میشوند. لازم نیست خودتان یکی انتخاب کنید.
سطوح ریسک
| سطح | معنی |
|---|---|
| بحرانی | سازش کامل سامانه، یا احتمال بالا + اثر بحرانی |
| بالا | احتمال آسیب قابل توجه، یا احتمال متوسط + اثر بحرانی |
| متوسط | ریسک متوسط، یا احتمال پایین + اثر بالا |
| پایین | نامحتمل و با اثر محدود |
اگر درباره سطح ریسک مطمئن نیستید، فقط اثر را توضیح دهید و ما آن را ارزیابی میکنیم.
فرایند بازبینی
- تریاژ - ارسالهای جدید را ظرف ۴۸ ساعت بازبینی میکنیم
- ارزیابی - امکانپذیری را بررسی میکنیم، نگاشت ATLAS و شناسه تهدید را اختصاص میدهیم، و سطح ریسک را اعتبارسنجی میکنیم
- مستندسازی - مطمئن میشویم همه چیز قالببندیشده و کامل است
- ادغام - به مدل تهدید و مصورسازی افزوده میشود
منابع
تماس
- آسیبپذیریهای امنیتی: برای دستورالعملهای گزارشدهی به صفحه اعتماد ما مراجعه کنید
- پرسشهای مدل تهدید: یک مسئله در openclaw/trust باز کنید
- گفتوگوی عمومی: کانال #security در Discord
قدردانی
مشارکتکنندگان در مدل تهدید در بخش قدردانیهای مدل تهدید، یادداشتهای انتشار، و تالار افتخار امنیت OpenClaw برای مشارکتهای مهم شناخته میشوند.