Współtworzenie modelu zagrożeń

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Dziękujemy za pomoc w zwiększaniu bezpieczeństwa OpenClaw. Ten model zagrożeń jest żywym dokumentem i chętnie przyjmujemy wkład od każdego - nie musisz być ekspertem od bezpieczeństwa.

​

Sposoby wnoszenia wkładu

​

Dodaj zagrożenie

Zauważyłeś wektor ataku lub ryzyko, którego nie opisaliśmy? Otwórz zgłoszenie w openclaw/trust i opisz je własnymi słowami. Nie musisz znać żadnych frameworków ani wypełniać każdego pola - po prostu opisz scenariusz. Warto uwzględnić (ale nie jest to wymagane):

• Scenariusz ataku i sposób, w jaki można go wykorzystać
• Które części OpenClaw są dotknięte (CLI, Gateway, kanały, ClawHub, serwery MCP itd.)
• Jak poważne według Ciebie jest zagrożenie (niskie / średnie / wysokie / krytyczne)
• Linki do powiązanych badań, CVE lub przykładów z rzeczywistych wdrożeń

Mapowaniem ATLAS, identyfikatorami zagrożeń i oceną ryzyka zajmiemy się podczas przeglądu. Jeśli chcesz uwzględnić te szczegóły, świetnie - ale nie jest to oczekiwane.

To miejsce służy do dodawania informacji do modelu zagrożeń, a nie do zgłaszania aktywnych podatności. Jeśli znalazłeś podatność możliwą do wykorzystania, zobacz naszą stronę Trust, aby poznać instrukcje odpowiedzialnego ujawniania.

​

Zaproponuj mitygację

Masz pomysł, jak rozwiązać istniejące zagrożenie? Otwórz zgłoszenie lub PR odnoszące się do tego zagrożenia. Przydatne mitygacje są konkretne i możliwe do wdrożenia - na przykład „ograniczanie liczby wiadomości per nadawca do 10 wiadomości/minutę na Gateway” jest lepsze niż „wdrożyć ograniczanie liczby żądań”.

​

Zaproponuj łańcuch ataku

Łańcuchy ataku pokazują, jak wiele zagrożeń łączy się w realistyczny scenariusz ataku. Jeśli widzisz niebezpieczną kombinację, opisz kroki i sposób, w jaki atakujący połączyłby je w łańcuch. Krótka narracja pokazująca, jak atak przebiega w praktyce, jest bardziej wartościowa niż formalny szablon.

​

Popraw lub ulepsz istniejącą treść

Literówki, doprecyzowania, nieaktualne informacje, lepsze przykłady - PR-y są mile widziane, zgłoszenie nie jest potrzebne.

​

Czego używamy

​

Framework MITRE ATLAS

Ten model zagrożeń jest oparty na MITRE ATLAS (Adversarial Threat Landscape for AI Systems), frameworku zaprojektowanym specjalnie dla zagrożeń AI/ML, takich jak wstrzykiwanie promptów, nadużywanie narzędzi i wykorzystywanie agentów. Nie musisz znać ATLAS, aby wnieść wkład - mapujemy zgłoszenia do frameworku podczas przeglądu.

​

Identyfikatory zagrożeń

Każde zagrożenie otrzymuje identyfikator, taki jak T-EXEC-003. Kategorie to: Identyfikatory są przypisywane przez opiekunów podczas przeglądu. Nie musisz wybierać żadnego.

​

Poziomy ryzyka

Jeśli nie masz pewności co do poziomu ryzyka, po prostu opisz wpływ, a my go ocenimy.

​

Proces przeglądu

1. Triage - Przeglądamy nowe zgłoszenia w ciągu 48 godzin
2. Ocena - Weryfikujemy wykonalność, przypisujemy mapowanie ATLAS i identyfikator zagrożenia, potwierdzamy poziom ryzyka
3. Dokumentacja - Upewniamy się, że wszystko jest sformatowane i kompletne
4. Scalenie - Dodanie do modelu zagrożeń i wizualizacji

​

Zasoby

• Witryna ATLAS
• Techniki ATLAS
• Studia przypadków ATLAS
• Model zagrożeń OpenClaw

​

Kontakt

• Podatności bezpieczeństwa: Zobacz naszą stronę Trust, aby poznać instrukcje zgłaszania
• Pytania dotyczące modelu zagrożeń: Otwórz zgłoszenie w openclaw/trust
• Czat ogólny: kanał #security na Discord

​

Uznanie

Autorzy wkładu w model zagrożeń są wymieniani w podziękowaniach modelu zagrożeń, informacjach o wydaniu oraz w galerii zasłużonych dla bezpieczeństwa OpenClaw za znaczący wkład.

​

Powiązane

• Model zagrożeń
• Weryfikacja formalna