Security
Współtworzenie modelu zagrożeń
Dziękujemy za pomoc w zwiększaniu bezpieczeństwa OpenClaw. Ten model zagrożeń jest żywym dokumentem i chętnie przyjmujemy wkład od każdego - nie musisz być ekspertem od bezpieczeństwa.
Sposoby wnoszenia wkładu
Dodaj zagrożenie
Zauważyłeś wektor ataku lub ryzyko, którego nie opisaliśmy? Otwórz zgłoszenie w openclaw/trust i opisz je własnymi słowami. Nie musisz znać żadnych frameworków ani wypełniać każdego pola - po prostu opisz scenariusz.
Warto uwzględnić (ale nie jest to wymagane):
- Scenariusz ataku i sposób, w jaki można go wykorzystać
- Które części OpenClaw są dotknięte (CLI, Gateway, kanały, ClawHub, serwery MCP itd.)
- Jak poważne według Ciebie jest zagrożenie (niskie / średnie / wysokie / krytyczne)
- Linki do powiązanych badań, CVE lub przykładów z rzeczywistych wdrożeń
Mapowaniem ATLAS, identyfikatorami zagrożeń i oceną ryzyka zajmiemy się podczas przeglądu. Jeśli chcesz uwzględnić te szczegóły, świetnie - ale nie jest to oczekiwane.
To miejsce służy do dodawania informacji do modelu zagrożeń, a nie do zgłaszania aktywnych podatności. Jeśli znalazłeś podatność możliwą do wykorzystania, zobacz naszą stronę Trust, aby poznać instrukcje odpowiedzialnego ujawniania.
Zaproponuj mitygację
Masz pomysł, jak rozwiązać istniejące zagrożenie? Otwórz zgłoszenie lub PR odnoszące się do tego zagrożenia. Przydatne mitygacje są konkretne i możliwe do wdrożenia - na przykład „ograniczanie liczby wiadomości per nadawca do 10 wiadomości/minutę na Gateway” jest lepsze niż „wdrożyć ograniczanie liczby żądań”.
Zaproponuj łańcuch ataku
Łańcuchy ataku pokazują, jak wiele zagrożeń łączy się w realistyczny scenariusz ataku. Jeśli widzisz niebezpieczną kombinację, opisz kroki i sposób, w jaki atakujący połączyłby je w łańcuch. Krótka narracja pokazująca, jak atak przebiega w praktyce, jest bardziej wartościowa niż formalny szablon.
Popraw lub ulepsz istniejącą treść
Literówki, doprecyzowania, nieaktualne informacje, lepsze przykłady - PR-y są mile widziane, zgłoszenie nie jest potrzebne.
Czego używamy
Framework MITRE ATLAS
Ten model zagrożeń jest oparty na MITRE ATLAS (Adversarial Threat Landscape for AI Systems), frameworku zaprojektowanym specjalnie dla zagrożeń AI/ML, takich jak wstrzykiwanie promptów, nadużywanie narzędzi i wykorzystywanie agentów. Nie musisz znać ATLAS, aby wnieść wkład - mapujemy zgłoszenia do frameworku podczas przeglądu.
Identyfikatory zagrożeń
Każde zagrożenie otrzymuje identyfikator, taki jak T-EXEC-003. Kategorie to:
| Kod | Kategoria |
|---|---|
| RECON | Rozpoznanie - zbieranie informacji |
| ACCESS | Dostęp początkowy - uzyskiwanie wejścia |
| EXEC | Wykonanie - uruchamianie złośliwych działań |
| PERSIST | Utrwalenie - utrzymywanie dostępu |
| EVADE | Omijanie obrony - unikanie wykrycia |
| DISC | Odkrywanie - poznawanie środowiska |
| EXFIL | Eksfiltracja - wykradanie danych |
| IMPACT | Wpływ - szkody lub zakłócenia |
Identyfikatory są przypisywane przez opiekunów podczas przeglądu. Nie musisz wybierać żadnego.
Poziomy ryzyka
| Poziom | Znaczenie |
|---|---|
| Krytyczny | Pełne przejęcie systemu albo wysokie prawdopodobieństwo + krytyczny wpływ |
| Wysoki | Prawdopodobne znaczące szkody albo średnie prawdopodobieństwo + krytyczny wpływ |
| Średni | Umiarkowane ryzyko albo niskie prawdopodobieństwo + wysoki wpływ |
| Niski | Mało prawdopodobne i ograniczony wpływ |
Jeśli nie masz pewności co do poziomu ryzyka, po prostu opisz wpływ, a my go ocenimy.
Proces przeglądu
- Triage - Przeglądamy nowe zgłoszenia w ciągu 48 godzin
- Ocena - Weryfikujemy wykonalność, przypisujemy mapowanie ATLAS i identyfikator zagrożenia, potwierdzamy poziom ryzyka
- Dokumentacja - Upewniamy się, że wszystko jest sformatowane i kompletne
- Scalenie - Dodanie do modelu zagrożeń i wizualizacji
Zasoby
Kontakt
- Podatności bezpieczeństwa: Zobacz naszą stronę Trust, aby poznać instrukcje zgłaszania
- Pytania dotyczące modelu zagrożeń: Otwórz zgłoszenie w openclaw/trust
- Czat ogólny: kanał #security na Discord
Uznanie
Autorzy wkładu w model zagrożeń są wymieniani w podziękowaniach modelu zagrożeń, informacjach o wydaniu oraz w galerii zasłużonych dla bezpieczeństwa OpenClaw za znaczący wkład.