Security
การมีส่วนร่วมในแบบจำลองภัยคุกคาม
ขอบคุณที่ช่วยทำให้ OpenClaw ปลอดภัยยิ่งขึ้น โมเดลภัยคุกคามนี้เป็นเอกสารที่มีการพัฒนาอย่างต่อเนื่อง และเรายินดีรับการมีส่วนร่วมจากทุกคน - คุณไม่จำเป็นต้องเป็นผู้เชี่ยวชาญด้านความปลอดภัย
วิธีมีส่วนร่วม
เพิ่มภัยคุกคาม
พบเวกเตอร์การโจมตีหรือความเสี่ยงที่เรายังไม่ได้ครอบคลุมหรือไม่ เปิด issue ใน openclaw/trust และอธิบายด้วยคำของคุณเอง คุณไม่จำเป็นต้องรู้จักเฟรมเวิร์กใด ๆ หรือกรอกทุกฟิลด์ - แค่อธิบายสถานการณ์ก็พอ
ข้อมูลที่ช่วยได้ (แต่ไม่จำเป็น):
- สถานการณ์การโจมตีและวิธีที่อาจถูกนำไปใช้
- ส่วนใดของ OpenClaw ที่ได้รับผลกระทบ (CLI, Gateway, ช่องทาง, ClawHub, เซิร์ฟเวอร์ MCP เป็นต้น)
- คุณคิดว่ารุนแรงเพียงใด (ต่ำ / ปานกลาง / สูง / วิกฤต)
- ลิงก์ไปยังงานวิจัยที่เกี่ยวข้อง, CVE หรือ ตัวอย่างจากโลกจริง
เราจะจัดการการแมป ATLAS, รหัสภัยคุกคาม และการประเมินความเสี่ยงระหว่างการรีวิว หากคุณต้องการใส่รายละเอียดเหล่านั้นมาด้วยก็ยอดเยี่ยม - แต่ไม่ได้คาดหวังว่าต้องมี
ส่วนนี้มีไว้สำหรับเพิ่มข้อมูลลงในโมเดลภัยคุกคาม ไม่ใช่สำหรับรายงานช่องโหว่ที่ใช้งานโจมตีได้จริง หากคุณพบช่องโหว่ที่สามารถใช้โจมตีได้ โปรดดู หน้า Trust ของเราสำหรับคำแนะนำในการเปิดเผยข้อมูลอย่างรับผิดชอบ
เสนอการบรรเทาผลกระทบ
มีแนวคิดเกี่ยวกับวิธีจัดการภัยคุกคามที่มีอยู่หรือไม่ เปิด issue หรือ PR ที่อ้างอิงถึงภัยคุกคามนั้น การบรรเทาผลกระทบที่มีประโยชน์ควรเฉพาะเจาะจงและนำไปปฏิบัติได้ - ตัวอย่างเช่น "จำกัดอัตราต่อผู้ส่งที่ 10 ข้อความ/นาทีที่ Gateway" ดีกว่า "ใช้การจำกัดอัตรา"
เสนอห่วงโซ่การโจมตี
ห่วงโซ่การโจมตีแสดงให้เห็นว่าภัยคุกคามหลายรายการรวมกันเป็นสถานการณ์การโจมตีที่สมจริงได้อย่างไร หากคุณเห็นชุดผสมที่อันตราย ให้อธิบายขั้นตอนและวิธีที่ผู้โจมตีจะเชื่อมโยงภัยคุกคามเหล่านั้นเข้าด้วยกัน เรื่องเล่าสั้น ๆ ว่าการโจมตีเกิดขึ้นอย่างไรในทางปฏิบัติมีคุณค่ามากกว่าเทมเพลตที่เป็นทางการ
แก้ไขหรือปรับปรุงเนื้อหาที่มีอยู่
คำผิด คำอธิบายให้ชัดเจนขึ้น ข้อมูลที่ล้าสมัย ตัวอย่างที่ดีกว่า - ยินดีรับ PR ไม่จำเป็นต้องเปิด issue
สิ่งที่เราใช้
เฟรมเวิร์ก MITRE ATLAS
โมเดลภัยคุกคามนี้สร้างขึ้นบน MITRE ATLAS (ภูมิทัศน์ภัยคุกคามเชิงปรปักษ์สำหรับระบบ AI) ซึ่งเป็นเฟรมเวิร์กที่ออกแบบมาโดยเฉพาะสำหรับภัยคุกคามด้าน AI/ML เช่น การฉีดพรอมป์ การใช้เครื่องมือในทางที่ผิด และการโจมตีเอเจนต์ คุณไม่จำเป็นต้องรู้จัก ATLAS เพื่อมีส่วนร่วม - เราจะแมปข้อเสนอเข้ากับเฟรมเวิร์กระหว่างการรีวิว
รหัสภัยคุกคาม
ภัยคุกคามแต่ละรายการจะได้รับรหัสเช่น T-EXEC-003 หมวดหมู่มีดังนี้:
| รหัส | หมวดหมู่ |
|---|---|
| RECON | การลาดตระเวน - การรวบรวมข้อมูล |
| ACCESS | การเข้าถึงเริ่มต้น - การได้สิทธิ์เข้าใช้งาน |
| EXEC | การดำเนินการ - การรันการกระทำที่เป็นอันตราย |
| PERSIST | การคงอยู่ - การรักษาสิทธิ์การเข้าถึง |
| EVADE | การหลบเลี่ยงการป้องกัน - การหลีกเลี่ยงการตรวจจับ |
| DISC | การค้นพบ - การเรียนรู้เกี่ยวกับสภาพแวดล้อม |
| EXFIL | การขโมยข้อมูลออก - การขโมยข้อมูล |
| IMPACT | ผลกระทบ - ความเสียหายหรือการรบกวน |
ผู้ดูแลจะกำหนดรหัสระหว่างการรีวิว คุณไม่จำเป็นต้องเลือกเอง
ระดับความเสี่ยง
| ระดับ | ความหมาย |
|---|---|
| วิกฤต | ระบบถูกยึดครองทั้งหมด หรือมีความเป็นไปได้สูง + ผลกระทบวิกฤต |
| สูง | มีแนวโน้มเกิดความเสียหายอย่างมีนัยสำคัญ หรือมีความเป็นไปได้ปานกลาง + ผลกระทบวิกฤต |
| ปานกลาง | ความเสี่ยงระดับปานกลาง หรือความเป็นไปได้ต่ำ + ผลกระทบสูง |
| ต่ำ | ไม่น่าจะเกิดขึ้นและมีผลกระทบจำกัด |
หากคุณไม่แน่ใจเกี่ยวกับระดับความเสี่ยง แค่อธิบายผลกระทบ แล้วเราจะประเมินให้
กระบวนการรีวิว
- การคัดแยก - เรารีวิวข้อเสนอใหม่ภายใน 48 ชั่วโมง
- การประเมิน - เราตรวจสอบความเป็นไปได้ กำหนดการแมป ATLAS และรหัสภัยคุกคาม ตรวจสอบระดับความเสี่ยง
- การจัดทำเอกสาร - เราทำให้แน่ใจว่าทุกอย่างมีรูปแบบถูกต้องและครบถ้วน
- การผสาน - เพิ่มลงในโมเดลภัยคุกคามและภาพแสดงผล
ทรัพยากร
ติดต่อ
- ช่องโหว่ด้านความปลอดภัย: ดู หน้า Trust ของเราสำหรับคำแนะนำในการรายงาน
- คำถามเกี่ยวกับโมเดลภัยคุกคาม: เปิด issue ใน openclaw/trust
- แชตทั่วไป: ช่อง Discord #security
การยอมรับผลงาน
ผู้มีส่วนร่วมในโมเดลภัยคุกคามจะได้รับการยอมรับในส่วนขอบคุณของโมเดลภัยคุกคาม บันทึกประจำรุ่น และหอเกียรติยศด้านความปลอดภัยของ OpenClaw สำหรับผลงานสำคัญ