Berkontribusi pada Model Ancaman OpenClaw
Terima kasih telah membantu membuat OpenClaw lebih aman. Model ancaman ini adalah dokumen yang terus berkembang dan kami menyambut kontribusi dari siapa pun - Anda tidak perlu menjadi pakar keamanan.Cara Berkontribusi
Tambahkan Ancaman
Menemukan vektor serangan atau risiko yang belum kami bahas? Buka issue di openclaw/trust dan jelaskan dengan kata-kata Anda sendiri. Anda tidak perlu memahami framework apa pun atau mengisi setiap bidang - cukup jelaskan skenarionya. Hal yang berguna untuk disertakan (tetapi tidak wajib):- Skenario serangan dan bagaimana hal itu dapat dieksploitasi
- Bagian OpenClaw mana yang terpengaruh (CLI, gateway, channel, ClawHub, server MCP, dll.)
- Seberapa parah menurut Anda tingkatnya (low / medium / high / critical)
- Tautan apa pun ke riset terkait, CVE, atau contoh nyata
Ini untuk menambahkan ke model ancaman, bukan melaporkan kerentanan aktif. Jika Anda menemukan kerentanan yang dapat dieksploitasi, lihat halaman Trust kami untuk instruksi pengungkapan yang bertanggung jawab.
Sarankan Mitigasi
Punya ide tentang cara menangani ancaman yang sudah ada? Buka issue atau PR yang merujuk pada ancaman tersebut. Mitigasi yang berguna bersifat spesifik dan dapat ditindaklanjuti - misalnya, “rate limiting per pengirim sebesar 10 pesan/menit di gateway” lebih baik daripada “terapkan rate limiting.”Ajukan Rantai Serangan
Rantai serangan menunjukkan bagaimana beberapa ancaman bergabung menjadi skenario serangan yang realistis. Jika Anda melihat kombinasi berbahaya, jelaskan langkah-langkahnya dan bagaimana penyerang akan merangkainya bersama. Narasi singkat tentang bagaimana serangan berlangsung dalam praktik lebih bernilai daripada template formal.Perbaiki atau Tingkatkan Konten yang Ada
Typo, klarifikasi, informasi usang, contoh yang lebih baik - PR diterima, tidak perlu issue.Yang Kami Gunakan
MITRE ATLAS
Model ancaman ini dibangun di atas MITRE ATLAS (Adversarial Threat Landscape for AI Systems), framework yang dirancang khusus untuk ancaman AI/ML seperti prompt injection, penyalahgunaan tool, dan eksploitasi agen. Anda tidak perlu memahami ATLAS untuk berkontribusi - kami memetakan kiriman ke framework tersebut selama peninjauan.ID Ancaman
Setiap ancaman mendapatkan ID sepertiT-EXEC-003. Kategorinya adalah:
| Code | Kategori |
|---|---|
| RECON | Rekonesans - pengumpulan informasi |
| ACCESS | Akses awal - mendapatkan akses masuk |
| EXEC | Eksekusi - menjalankan tindakan berbahaya |
| PERSIST | Persistensi - mempertahankan akses |
| EVADE | Pengelakan pertahanan - menghindari deteksi |
| DISC | Discovery - mempelajari lingkungan |
| EXFIL | Exfiltration - mencuri data |
| IMPACT | Dampak - kerusakan atau gangguan |
Tingkat Risiko
| Level | Arti |
|---|---|
| Critical | Kompromi sistem penuh, atau kemungkinan tinggi + dampak kritis |
| High | Kerusakan signifikan kemungkinan terjadi, atau kemungkinan sedang + dampak kritis |
| Medium | Risiko sedang, atau kemungkinan rendah + dampak tinggi |
| Low | Kemungkinan kecil dan dampak terbatas |
Proses Peninjauan
- Triase - Kami meninjau kiriman baru dalam 48 jam
- Penilaian - Kami memverifikasi kelayakan, menetapkan pemetaan ATLAS dan ID ancaman, memvalidasi tingkat risiko
- Dokumentasi - Kami memastikan semuanya diformat dengan benar dan lengkap
- Merge - Ditambahkan ke model ancaman dan visualisasi
Sumber Daya
Kontak
- Kerentanan keamanan: Lihat halaman Trust kami untuk instruksi pelaporan
- Pertanyaan model ancaman: Buka issue di openclaw/trust
- Obrolan umum: Channel #security di Discord