Merci d’aider à rendre OpenClaw plus sécurisé. Ce modèle de menace est un document vivant et nous accueillons les contributions de toute personne - vous n’avez pas besoin d’être expert en sécurité.Documentation Index
Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt
Use this file to discover all available pages before exploring further.
Façons de contribuer
Ajouter une menace
Vous avez repéré un vecteur d’attaque ou un risque que nous n’avons pas couvert ? Ouvrez une issue sur openclaw/trust et décrivez-la avec vos propres mots. Vous n’avez pas besoin de connaître de cadres ni de remplir tous les champs - décrivez simplement le scénario. Utile à inclure (mais non obligatoire) :- Le scénario d’attaque et la façon dont il pourrait être exploité
- Les parties d’OpenClaw qui sont affectées (CLI, Gateway, canaux, ClawHub, serveurs MCP, etc.)
- Le niveau de gravité que vous estimez (faible / moyen / élevé / critique)
- Tout lien vers des recherches connexes, des CVE ou des exemples réels
Ceci sert à ajouter des éléments au modèle de menace, pas à signaler des vulnérabilités actives. Si vous avez trouvé une vulnérabilité exploitable, consultez notre page Trust pour les instructions de divulgation responsable.
Suggérer une mesure d’atténuation
Vous avez une idée pour traiter une menace existante ? Ouvrez une issue ou une PR faisant référence à la menace. Les mesures d’atténuation utiles sont spécifiques et actionnables - par exemple, « limitation du débit par expéditeur à 10 messages/minute au niveau du Gateway » est mieux que « implémenter une limitation du débit ».Proposer une chaîne d’attaque
Les chaînes d’attaque montrent comment plusieurs menaces se combinent dans un scénario d’attaque réaliste. Si vous voyez une combinaison dangereuse, décrivez les étapes et la manière dont un attaquant les enchaînerait. Un court récit de la façon dont l’attaque se déroule en pratique a plus de valeur qu’un modèle formel.Corriger ou améliorer le contenu existant
Fautes de frappe, clarifications, informations obsolètes, meilleurs exemples - les PR sont les bienvenues, aucune issue n’est nécessaire.Ce que nous utilisons
Cadre MITRE ATLAS
Ce modèle de menace est basé sur MITRE ATLAS (Adversarial Threat Landscape for AI Systems), un cadre conçu spécifiquement pour les menaces IA/ML comme l’injection de prompt, le mauvais usage des outils et l’exploitation d’agents. Vous n’avez pas besoin de connaître ATLAS pour contribuer - nous faisons correspondre les soumissions au cadre pendant la revue.ID de menace
Chaque menace reçoit un ID commeT-EXEC-003. Les catégories sont :
| Code | Catégorie |
|---|---|
| RECON | Reconnaissance - collecte d’informations |
| ACCESS | Accès initial - obtention d’une entrée |
| EXEC | Exécution - lancement d’actions malveillantes |
| PERSIST | Persistance - maintien de l’accès |
| EVADE | Évasion défensive - évitement de la détection |
| DISC | Découverte - apprentissage de l’environnement |
| EXFIL | Exfiltration - vol de données |
| IMPACT | Impact - dommage ou perturbation |
Niveaux de risque
| Niveau | Signification |
|---|---|
| Critique | Compromission complète du système, ou forte probabilité + impact critique |
| Élevé | Dommages importants probables, ou probabilité moyenne + impact critique |
| Moyen | Risque modéré, ou faible probabilité + impact élevé |
| Faible | Peu probable et impact limité |
Processus de revue
- Triage - Nous examinons les nouvelles soumissions sous 48 heures
- Évaluation - Nous vérifions la faisabilité, attribuons la correspondance ATLAS et l’ID de menace, validons le niveau de risque
- Documentation - Nous nous assurons que tout est formaté et complet
- Fusion - Ajout au modèle de menace et à la visualisation
Ressources
Contact
- Vulnérabilités de sécurité : consultez notre page Trust pour les instructions de signalement
- Questions sur le modèle de menace : ouvrez une issue sur openclaw/trust
- Discussion générale : canal Discord #security