Security
Bijdragen aan het dreigingsmodel
Bedankt dat je helpt OpenClaw veiliger te maken. Dit dreigingsmodel is een levend document en we verwelkomen bijdragen van iedereen - je hoeft geen beveiligingsexpert te zijn.
Manieren om bij te dragen
Een dreiging toevoegen
Een aanvalsvector of risico gezien dat we nog niet hebben behandeld? Open een issue op openclaw/trust en beschrijf het in je eigen woorden. Je hoeft geen frameworks te kennen of elk veld in te vullen - beschrijf gewoon het scenario.
Nuttig om op te nemen (maar niet verplicht):
- Het aanvalsscenario en hoe het kan worden misbruikt
- Welke onderdelen van OpenClaw worden geraakt (CLI, Gateway, kanalen, ClawHub, MCP-servers, enz.)
- Hoe ernstig je denkt dat het is (laag / gemiddeld / hoog / kritiek)
- Links naar gerelateerd onderzoek, CVE's of praktijkvoorbeelden
Wij behandelen de ATLAS-mapping, dreigings-ID's en risicobeoordeling tijdens de review. Als je die details wilt toevoegen, graag - maar het wordt niet verwacht.
Dit is bedoeld voor toevoegingen aan het dreigingsmodel, niet voor het melden van actuele kwetsbaarheden. Als je een misbruikbare kwetsbaarheid hebt gevonden, zie onze Trust-pagina voor instructies voor verantwoorde openbaarmaking.
Een mitigatie voorstellen
Heb je een idee om een bestaande dreiging aan te pakken? Open een issue of PR waarin je naar de dreiging verwijst. Nuttige mitigaties zijn specifiek en uitvoerbaar - bijvoorbeeld: "snelheidslimiet per afzender van 10 berichten/minuut bij de Gateway" is beter dan "implementeer snelheidslimieten."
Een aanvalsketen voorstellen
Aanvalsketens laten zien hoe meerdere dreigingen samenkomen in een realistisch aanvalsscenario. Als je een gevaarlijke combinatie ziet, beschrijf dan de stappen en hoe een aanvaller ze aan elkaar zou koppelen. Een kort verhaal over hoe de aanval zich in de praktijk ontvouwt, is waardevoller dan een formele template.
Bestaande inhoud corrigeren of verbeteren
Typfouten, verduidelijkingen, verouderde informatie, betere voorbeelden - PR's zijn welkom, geen issue nodig.
Wat we gebruiken
MITRE ATLAS-framework
Dit dreigingsmodel is gebouwd op MITRE ATLAS (Adversarial Threat Landscape for AI Systems), een framework dat specifiek is ontworpen voor AI/ML-dreigingen zoals promptinjectie, misbruik van tools en misbruik van agents. Je hoeft ATLAS niet te kennen om bij te dragen - we koppelen inzendingen tijdens de review aan het framework.
Dreigings-ID's
Elke dreiging krijgt een ID zoals T-EXEC-003. De categorieën zijn:
| Code | Categorie |
|---|---|
| RECON | Verkenning - informatie verzamelen |
| ACCESS | Initiële toegang - toegang verkrijgen |
| EXEC | Uitvoering - schadelijke acties uitvoeren |
| PERSIST | Persistentie - toegang behouden |
| EVADE | Verdedigingsontwijking - detectie vermijden |
| DISC | Ontdekking - de omgeving leren kennen |
| EXFIL | Exfiltratie - gegevens stelen |
| IMPACT | Impact - schade of verstoring |
ID's worden tijdens de review door maintainers toegewezen. Je hoeft er zelf geen te kiezen.
Risiconiveaus
| Niveau | Betekenis |
|---|---|
| Kritiek | Volledige systeemcompromittering, of hoge kans + kritieke impact |
| Hoog | Aanzienlijke schade waarschijnlijk, of gemiddelde kans + kritieke impact |
| Gemiddeld | Matig risico, of lage kans + hoge impact |
| Laag | Onwaarschijnlijk en beperkte impact |
Als je niet zeker bent over het risiconiveau, beschrijf dan gewoon de impact en wij beoordelen die.
Reviewproces
- Triage - We beoordelen nieuwe inzendingen binnen 48 uur
- Beoordeling - We verifiëren de haalbaarheid, wijzen ATLAS-mapping en dreigings-ID toe, en valideren het risiconiveau
- Documentatie - We zorgen dat alles correct is opgemaakt en volledig is
- Merge - Toegevoegd aan het dreigingsmodel en de visualisatie
Bronnen
Contact
- Beveiligingskwetsbaarheden: Zie onze Trust-pagina voor meldinstructies
- Vragen over het dreigingsmodel: Open een issue op openclaw/trust
- Algemene chat: Discord-kanaal #security
Erkenning
Bijdragers aan het dreigingsmodel worden erkend in de dankbetuigingen van het dreigingsmodel, releaseopmerkingen en de OpenClaw security hall of fame voor belangrijke bijdragen.