Pular para o conteúdo principal

Contribuindo para o Modelo de Ameaças do OpenClaw

Obrigado por ajudar a tornar o OpenClaw mais seguro. Este modelo de ameaças é um documento vivo, e aceitamos contribuições de qualquer pessoa — você não precisa ser especialista em segurança.

Formas de contribuir

Adicionar uma ameaça

Identificou um vetor de ataque ou risco que ainda não cobrimos? Abra uma issue em openclaw/trust e descreva em suas próprias palavras. Você não precisa conhecer nenhum framework nem preencher todos os campos — basta descrever o cenário. É útil incluir (mas não é obrigatório):
  • O cenário de ataque e como ele poderia ser explorado
  • Quais partes do OpenClaw são afetadas (CLI, gateway, canais, ClawHub, servidores MCP etc.)
  • Quão grave você acha que é (baixo / médio / alto / crítico)
  • Quaisquer links para pesquisas relacionadas, CVEs ou exemplos do mundo real
Nós cuidaremos do mapeamento ATLAS, dos IDs de ameaça e da avaliação de risco durante a revisão. Se você quiser incluir esses detalhes, ótimo — mas isso não é esperado.
Isso serve para adicionar ao modelo de ameaças, não para relatar vulnerabilidades ativas. Se você encontrou uma vulnerabilidade explorável, consulte nossa página Trust para instruções de divulgação responsável.

Sugerir uma mitigação

Tem uma ideia de como lidar com uma ameaça existente? Abra uma issue ou PR fazendo referência à ameaça. Mitigações úteis são específicas e acionáveis — por exemplo, “limitação de taxa por remetente de 10 mensagens/minuto no gateway” é melhor do que “implementar limitação de taxa”.

Propor uma cadeia de ataque

Cadeias de ataque mostram como várias ameaças se combinam em um cenário de ataque realista. Se você identificar uma combinação perigosa, descreva as etapas e como um invasor as encadearia. Uma narrativa curta de como o ataque acontece na prática é mais valiosa do que um template formal.

Corrigir ou melhorar conteúdo existente

Erros de digitação, esclarecimentos, informações desatualizadas, exemplos melhores — PRs são bem-vindos, sem necessidade de abrir issue.

O que usamos

MITRE ATLAS

Este modelo de ameaças é baseado no MITRE ATLAS (Adversarial Threat Landscape for AI Systems), um framework projetado especificamente para ameaças de IA/ML, como prompt injection, uso indevido de ferramentas e exploração de agentes. Você não precisa conhecer o ATLAS para contribuir — nós mapeamos as submissões para o framework durante a revisão.

IDs de ameaça

Cada ameaça recebe um ID como T-EXEC-003. As categorias são:
CodeCategory
RECONReconhecimento - coleta de informações
ACCESSAcesso inicial - obtenção de entrada
EXECExecução - executar ações maliciosas
PERSISTPersistência - manter o acesso
EVADEEvasão de defesa - evitar detecção
DISCDescoberta - aprender sobre o ambiente
EXFILExfiltração - roubo de dados
IMPACTImpacto - dano ou interrupção
Os IDs são atribuídos pelos maintainers durante a revisão. Você não precisa escolher um.

Níveis de risco

LevelMeaning
CríticoComprometimento total do sistema, ou alta probabilidade + impacto crítico
AltoDano significativo provável, ou probabilidade média + impacto crítico
MédioRisco moderado, ou baixa probabilidade + alto impacto
BaixoImprovável e com impacto limitado
Se você não tiver certeza sobre o nível de risco, apenas descreva o impacto e nós faremos a avaliação.

Processo de revisão

  1. Triagem - Revisamos novas submissões em até 48 horas
  2. Avaliação - Verificamos viabilidade, atribuimos mapeamento ATLAS e ID de ameaça, validamos o nível de risco
  3. Documentação - Garantimos que tudo esteja formatado e completo
  4. Merge - Adicionado ao modelo de ameaças e à visualização

Recursos

Contato

  • Vulnerabilidades de segurança: Consulte nossa página Trust para instruções de reporte
  • Perguntas sobre o modelo de ameaças: Abra uma issue em openclaw/trust
  • Chat geral: canal #security no Discord

Reconhecimento

Contribuidores do modelo de ameaças são reconhecidos nos agradecimentos do modelo de ameaças, nas notas de release e no hall da fama de segurança do OpenClaw por contribuições significativas.