Documentation Index
Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt
Use this file to discover all available pages before exploring further.
Bijdragen aan het OpenClaw-dreigingsmodel
Bedankt dat je helpt OpenClaw veiliger te maken. Dit dreigingsmodel is een levend document en we verwelkomen bijdragen van iedereen - je hoeft geen beveiligingsexpert te zijn.Manieren om bij te dragen
Een dreiging toevoegen
Een aanvalsvector of risico gezien dat we nog niet hebben behandeld? Open een issue op openclaw/trust en beschrijf het in je eigen woorden. Je hoeft geen frameworks te kennen of elk veld in te vullen - beschrijf alleen het scenario. Nuttig om op te nemen (maar niet verplicht):- Het aanvalsscenario en hoe het kan worden misbruikt
- Welke delen van OpenClaw worden geraakt (CLI, Gateway, kanalen, ClawHub, MCP-servers, enz.)
- Hoe ernstig je denkt dat het is (laag / gemiddeld / hoog / kritiek)
- Links naar gerelateerd onderzoek, CVE’s of praktijkvoorbeelden
Dit is bedoeld om iets toe te voegen aan het dreigingsmodel, niet om actieve kwetsbaarheden te melden. Als je een misbruikbare kwetsbaarheid hebt gevonden, bekijk dan onze Trust-pagina voor instructies voor verantwoorde melding.
Een beperking voorstellen
Heb je een idee om een bestaande dreiging aan te pakken? Open een issue of PR met een verwijzing naar de dreiging. Nuttige beperkingen zijn specifiek en uitvoerbaar - bijvoorbeeld “limiet van 10 berichten/minuut per afzender bij de Gateway” is beter dan “implementeer rate limiting.”Een aanvalsketen voorstellen
Aanvalsketens laten zien hoe meerdere dreigingen samenkomen in een realistisch aanvalsscenario. Als je een gevaarlijke combinatie ziet, beschrijf dan de stappen en hoe een aanvaller ze aan elkaar zou koppelen. Een korte beschrijving van hoe de aanval zich in de praktijk ontvouwt, is waardevoller dan een formeel sjabloon.Bestaande inhoud repareren of verbeteren
Typfouten, verduidelijkingen, verouderde informatie, betere voorbeelden - PR’s zijn welkom, geen issue nodig.Wat we gebruiken
MITRE ATLAS
Dit dreigingsmodel is gebouwd op MITRE ATLAS (Adversarial Threat Landscape for AI Systems), een framework dat specifiek is ontworpen voor AI/ML-dreigingen zoals promptinjectie, misbruik van tools en misbruik van agents. Je hoeft ATLAS niet te kennen om bij te dragen - we koppelen inzendingen tijdens de review aan het framework.Dreigings-ID’s
Elke dreiging krijgt een ID zoalsT-EXEC-003. De categorieën zijn:
| Code | Categorie |
|---|---|
| RECON | Verkenning - informatie verzamelen |
| ACCESS | Initiële toegang - toegang verkrijgen |
| EXEC | Uitvoering - schadelijke acties uitvoeren |
| PERSIST | Persistentie - toegang behouden |
| EVADE | Verdedigingsontwijking - detectie vermijden |
| DISC | Ontdekking - de omgeving leren kennen |
| EXFIL | Exfiltratie - data stelen |
| IMPACT | Impact - schade of verstoring |
Risiconiveaus
| Niveau | Betekenis |
|---|---|
| Kritiek | Volledige systeemcompromittering, of hoge waarschijnlijkheid + kritieke impact |
| Hoog | Aanzienlijke schade waarschijnlijk, of gemiddelde waarschijnlijkheid + kritieke impact |
| Gemiddeld | Gematigd risico, of lage waarschijnlijkheid + hoge impact |
| Laag | Onwaarschijnlijk en beperkte impact |
Reviewproces
- Triage - We beoordelen nieuwe inzendingen binnen 48 uur
- Beoordeling - We verifiëren de haalbaarheid, wijzen ATLAS-mapping en dreigings-ID toe, en valideren het risiconiveau
- Documentatie - We zorgen dat alles is opgemaakt en compleet is
- Merge - Toegevoegd aan het dreigingsmodel en de visualisatie
Bronnen
Contact
- Beveiligingskwetsbaarheden: Bekijk onze Trust-pagina voor meldinstructies
- Vragen over het dreigingsmodel: Open een issue op openclaw/trust
- Algemene chat: Discord-kanaal #security