الانتقال إلى المحتوى الرئيسي

المساهمة في نموذج التهديدات الخاص بـ OpenClaw

شكرًا لمساعدتك في جعل OpenClaw أكثر أمانًا. نموذج التهديدات هذا مستند حي، ونرحب بالمساهمات من أي شخص — لست بحاجة إلى أن تكون خبيرًا أمنيًا.

طرق المساهمة

إضافة تهديد

هل رصدت متجه هجوم أو خطرًا لم نغطّه؟ افتح issue على openclaw/trust ووصفه بكلماتك الخاصة. لا تحتاج إلى معرفة أي أطر عمل أو تعبئة كل حقل — فقط صف السيناريو. من المفيد تضمين ما يلي (لكن ليس مطلوبًا):
  • سيناريو الهجوم وكيف يمكن استغلاله
  • الأجزاء المتأثرة من OpenClaw (CLI، والبوابة، والقنوات، وClawHub، وخوادم MCP، وما إلى ذلك)
  • مدى الخطورة التي تعتقدها (منخفض / متوسط / مرتفع / حرج)
  • أي روابط لأبحاث ذات صلة، أو CVEs، أو أمثلة من الواقع
سنتولى أثناء المراجعة تعيين ATLAS، ومعرّفات التهديدات، وتقييم المخاطر. وإذا أردت تضمين هذه التفاصيل، فهذا ممتاز — لكنه غير متوقع.
هذا مخصص للإضافة إلى نموذج التهديدات، وليس للإبلاغ عن ثغرات حية. إذا كنت قد عثرت على ثغرة قابلة للاستغلال، فراجع صفحة Trust الخاصة بنا للاطلاع على تعليمات الإفصاح المسؤول.

اقتراح إجراء تخفيف

هل لديك فكرة لمعالجة تهديد موجود؟ افتح issue أو PR مع الإشارة إلى التهديد. تكون إجراءات التخفيف المفيدة محددة وقابلة للتنفيذ — على سبيل المثال، “تحديد معدل لكل مرسل بمقدار 10 رسائل/الدقيقة عند البوابة” أفضل من “تنفيذ تحديد المعدل”.

اقتراح سلسلة هجوم

تُظهر سلاسل الهجوم كيف تجتمع تهديدات متعددة في سيناريو هجوم واقعي. إذا رأيت تركيبة خطيرة، فصف الخطوات وكيف سيربط المهاجم بينها. إن سردًا قصيرًا لكيفية تطور الهجوم عمليًا أكثر قيمة من قالب رسمي.

إصلاح المحتوى الحالي أو تحسينه

الأخطاء الإملائية، والتوضيحات، والمعلومات القديمة، والأمثلة الأفضل — نرحب بـ PRs، ولا حاجة إلى issue.

ما الذي نستخدمه

MITRE ATLAS

يستند نموذج التهديدات هذا إلى MITRE ATLAS ‏(مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي)، وهو إطار مصمم خصيصًا لتهديدات الذكاء الاصطناعي/تعلّم الآلة مثل حقن الموجّهات، وإساءة استخدام الأدوات، واستغلال الوكلاء. لا تحتاج إلى معرفة ATLAS للمساهمة — فنحن نربط المساهمات بهذا الإطار أثناء المراجعة.

معرّفات التهديدات

يحصل كل تهديد على معرّف مثل T-EXEC-003. والفئات هي:
CodeCategory
RECONالاستطلاع - جمع المعلومات
ACCESSالوصول الأولي - الحصول على مدخل
EXECالتنفيذ - تشغيل إجراءات خبيثة
PERSISTالاستمرارية - الحفاظ على الوصول
EVADEالتهرب من الدفاعات - تجنب الاكتشاف
DISCالاستكشاف - التعرّف على البيئة
EXFILاستخراج البيانات - سرقة البيانات
IMPACTالتأثير - الضرر أو التعطيل
يتم تعيين المعرّفات من قبل المشرفين أثناء المراجعة. لا تحتاج إلى اختيار واحد.

مستويات المخاطر

LevelMeaning
Criticalاختراق كامل للنظام، أو احتمال مرتفع مع تأثير حرج
Highضرر كبير محتمل، أو احتمال متوسط مع تأثير حرج
Mediumخطر متوسط، أو احتمال منخفض مع تأثير مرتفع
Lowاحتمال ضعيف وتأثير محدود
إذا لم تكن متأكدًا من مستوى المخاطر، فمجرد وصف التأثير يكفي وسنتولى تقييمه.

عملية المراجعة

  1. الفرز - نراجع المساهمات الجديدة خلال 48 ساعة
  2. التقييم - نتحقق من الجدوى، ونعيّن ربط ATLAS ومعرّف التهديد، ونتحقق من مستوى المخاطر
  3. التوثيق - نتأكد من أن كل شيء منسق ومكتمل
  4. الدمج - تُضاف المساهمة إلى نموذج التهديدات والتصور

الموارد

التواصل

  • الثغرات الأمنية: راجع صفحة Trust الخاصة بنا للحصول على تعليمات الإبلاغ
  • أسئلة نموذج التهديدات: افتح issue على openclaw/trust
  • الدردشة العامة: قناة #security على Discord

التقدير

يُذكر المساهمون في نموذج التهديدات في قسم الشكر والتقدير الخاص بنموذج التهديدات، وملاحظات الإصدار، وقاعة مشاهير الأمان في OpenClaw للمساهمات المهمة.