Security
Tehdit modeline katkıda bulunma
OpenClaw'ı daha güvenli hale getirmeye yardımcı olduğunuz için teşekkürler. Bu tehdit modeli yaşayan bir belgedir ve herkesin katkısını memnuniyetle karşılarız; güvenlik uzmanı olmanız gerekmez.
Katkıda bulunma yolları
Tehdit ekleme
Ele almadığımız bir saldırı vektörü veya risk mi fark ettiniz? openclaw/trust üzerinde bir issue açın ve bunu kendi sözlerinizle açıklayın. Herhangi bir çerçeveyi bilmeniz veya her alanı doldurmanız gerekmez; sadece senaryoyu açıklayın.
Eklenmesi faydalı olanlar (ancak zorunlu değildir):
- Saldırı senaryosu ve nasıl istismar edilebileceği
- OpenClaw'ın hangi bölümlerinin etkilendiği (CLI, Gateway, kanallar, ClawHub, MCP sunucuları vb.)
- Sizce ne kadar ciddi olduğu (düşük / orta / yüksek / kritik)
- İlgili araştırmalara, CVE'lere veya gerçek dünyadan örneklere bağlantılar
İnceleme sırasında ATLAS eşlemesini, tehdit kimliklerini ve risk değerlendirmesini biz ele alırız. Bu ayrıntıları eklemek isterseniz harika, ancak beklenmez.
Bu, canlı güvenlik açıklarını bildirmek için değil, tehdit modeline ekleme yapmak içindir. İstismar edilebilir bir güvenlik açığı bulduysanız, sorumlu açıklama yönergeleri için Trust sayfamıza bakın.
Bir azaltım önerme
Mevcut bir tehdidi nasıl ele alabileceğinize dair bir fikriniz mi var? Tehdide referans veren bir issue veya PR açın. Yararlı azaltımlar belirli ve uygulanabilirdir; örneğin "Gateway'de gönderici başına dakikada 10 mesaj oran sınırlaması", "oran sınırlaması uygulayın" ifadesinden daha iyidir.
Bir saldırı zinciri önerme
Saldırı zincirleri, birden çok tehdidin gerçekçi bir saldırı senaryosunda nasıl birleştiğini gösterir. Tehlikeli bir kombinasyon görürseniz, adımları ve bir saldırganın bunları nasıl zincirleyeceğini açıklayın. Saldırının pratikte nasıl geliştiğine dair kısa bir anlatı, resmi bir şablondan daha değerlidir.
Mevcut içeriği düzeltme veya iyileştirme
Yazım hataları, açıklamalar, güncel olmayan bilgiler, daha iyi örnekler; PR'lar memnuniyetle karşılanır, issue gerekmez.
Ne kullanıyoruz
MITRE ATLAS çerçevesi
Bu tehdit modeli, prompt injection, araçların kötüye kullanımı ve ajan istismarı gibi AI/ML tehditleri için özel olarak tasarlanmış bir çerçeve olan MITRE ATLAS (Adversarial Threat Landscape for AI Systems) üzerine kuruludur. Katkıda bulunmak için ATLAS bilmeniz gerekmez; gönderimleri inceleme sırasında çerçeveyle eşleştiririz.
Tehdit kimlikleri
Her tehdit T-EXEC-003 gibi bir kimlik alır. Kategoriler şunlardır:
| Kod | Kategori |
|---|---|
| RECON | Keşif - bilgi toplama |
| ACCESS | İlk erişim - giriş elde etme |
| EXEC | Yürütme - kötü amaçlı eylemler çalıştırma |
| PERSIST | Kalıcılık - erişimi sürdürme |
| EVADE | Savunmadan kaçınma - tespitten kaçınma |
| DISC | Keşif - ortam hakkında bilgi edinme |
| EXFIL | Dışarı sızdırma - veri çalma |
| IMPACT | Etki - hasar veya kesinti |
Kimlikler inceleme sırasında bakımcılar tarafından atanır. Birini seçmeniz gerekmez.
Risk seviyeleri
| Seviye | Anlam |
|---|---|
| Kritik | Tam sistem ele geçirilmesi veya yüksek olasılık + kritik etki |
| Yüksek | Önemli hasar olası veya orta olasılık + kritik etki |
| Orta | Orta düzey risk veya düşük olasılık + yüksek etki |
| Düşük | Olası değil ve sınırlı etki |
Risk seviyesinden emin değilseniz, yalnızca etkiyi açıklayın; biz değerlendiririz.
İnceleme süreci
- Triyaj - Yeni gönderimleri 48 saat içinde inceleriz
- Değerlendirme - Uygulanabilirliği doğrular, ATLAS eşlemesini ve tehdit kimliğini atar, risk seviyesini doğrularız
- Dokümantasyon - Her şeyin biçimlendirilmiş ve eksiksiz olduğundan emin oluruz
- Birleştirme - Tehdit modeline ve görselleştirmeye eklenir
Kaynaklar
İletişim
- Güvenlik açıkları: Bildirim yönergeleri için Trust sayfamıza bakın
- Tehdit modeli soruları: openclaw/trust üzerinde bir issue açın
- Genel sohbet: Discord #security kanalı
Takdir
Tehdit modeline katkıda bulunanlar, önemli katkıları için tehdit modeli teşekkürlerinde, sürüm notlarında ve OpenClaw güvenlik onur listesinde takdir edilir.