English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย

Security

脅威モデルへの貢献

OpenClaw のセキュリティ強化に協力していただきありがとうございます。この脅威モデルは継続的に更新されるドキュメントであり、誰からのコントリビューションも歓迎します。セキュリティ専門家である必要はありません。

コントリビューションの方法

脅威を追加する

まだ扱っていない攻撃ベクトルやリスクを見つけましたか?openclaw/trust で issue を開き、自分の言葉で説明してください。フレームワークを知っている必要も、すべての項目を埋める必要もありません。シナリオを説明するだけで十分です。

含めると役立つ内容(必須ではありません):

  • 攻撃シナリオと、それがどのように悪用される可能性があるか
  • OpenClaw のどの部分が影響を受けるか(CLI、Gateway、チャンネル、ClawHub、MCP サーバーなど)
  • どの程度深刻だと思うか(低 / 中 / 高 / 重大)
  • 関連する研究、CVE、実際の事例へのリンク

ATLAS マッピング、脅威 ID、リスク評価はレビュー時にこちらで対応します。これらの詳細を含めたい場合は歓迎しますが、必須ではありません。

これは脅威モデルに追加するためのものであり、実際に存在する脆弱性を報告するためのものではありません。 悪用可能な脆弱性を見つけた場合は、責任ある開示の手順について Trust ページ を参照してください。

緩和策を提案する

既存の脅威に対処する方法についてアイデアがありますか?その脅威を参照する issue または PR を開いてください。有用な緩和策は具体的で実行可能です。たとえば、「Gateway で送信者ごとに 10 messages/minute のレート制限を行う」は、「レート制限を実装する」よりも優れています。

攻撃チェーンを提案する

攻撃チェーンは、複数の脅威が組み合わさって現実的な攻撃シナリオになる様子を示します。危険な組み合わせを見つけた場合は、手順と、攻撃者がそれらをどのようにつなげるかを説明してください。攻撃が実際にどのように展開されるかを短い文章で説明する方が、形式的なテンプレートよりも価値があります。

既存の内容を修正または改善する

誤字、明確化、古い情報、よりよい例など、PR を歓迎します。issue は不要です。

使用しているもの

MITRE ATLAS フレームワーク

この脅威モデルは MITRE ATLAS(Adversarial Threat Landscape for AI Systems)を基に構築されています。これは、プロンプトインジェクション、ツールの誤用、エージェントの悪用など、AI/ML の脅威に特化して設計されたフレームワークです。コントリビューションするために ATLAS を知っている必要はありません。提出内容はレビュー時にフレームワークへマッピングします。

脅威 ID

各脅威には T-EXEC-003 のような ID が付与されます。カテゴリは次のとおりです。

コード カテゴリ
RECON 偵察 - 情報収集
ACCESS 初期アクセス - 侵入経路の獲得
EXEC 実行 - 悪意のあるアクションの実行
PERSIST 永続化 - アクセスの維持
EVADE 防御回避 - 検出の回避
DISC 発見 - 環境に関する情報の把握
EXFIL 持ち出し - データの窃取
IMPACT 影響 - 損害または妨害

ID はレビュー時にメンテナーが割り当てます。自分で選ぶ必要はありません。

リスクレベル

レベル 意味
重大 システム全体の侵害、または高い可能性 + 重大な影響
重大な損害が発生する可能性が高い、または中程度の可能性 + 重大な影響
中程度のリスク、または低い可能性 + 高い影響
可能性が低く、影響が限定的

リスクレベルが不明な場合は、影響を説明してください。こちらで評価します。

レビュープロセス

  1. トリアージ - 新しい提出内容を 48 時間以内にレビューします
  2. 評価 - 実現可能性を検証し、ATLAS マッピングと脅威 ID を割り当て、リスクレベルを確認します
  3. ドキュメント化 - すべてが整った形式で完全であることを確認します
  4. マージ - 脅威モデルと可視化に追加します

リソース

連絡先

  • セキュリティ脆弱性: 報告手順については Trust ページ を参照してください
  • 脅威モデルに関する質問: openclaw/trust で issue を開いてください
  • 一般的なチャット: Discord #security チャンネル

表彰

脅威モデルへのコントリビューターは、重要なコントリビューションについて、脅威モデルの謝辞、リリースノート、OpenClaw セキュリティ殿堂で表彰されます。

関連