---
read_when:
    - Вы хотите внести сведения о проблемах безопасности или сценариях угроз
    - Проверка или обновление модели угроз
summary: Как внести вклад в модель угроз OpenClaw
title: Вклад в модель угроз
x-i18n:
    generated_at: "2026-06-28T23:46:51Z"
    model: gpt-5.5
    postprocess_version: locale-links-v1
    provider: openai
    source_hash: a23ca088d7893180a83c02d6971bbf1c32affa724e43019fd40276eaadc52278
    source_path: security/CONTRIBUTING-THREAT-MODEL.md
    workflow: 16
---

Спасибо за помощь в повышении безопасности OpenClaw. Эта модель угроз - живой документ, и мы приветствуем вклад от всех желающих: вам не нужно быть экспертом по безопасности.

## Способы внести вклад

### Добавить угрозу

Заметили вектор атаки или риск, который мы не описали? Откройте issue в [openclaw/trust](https://github.com/openclaw/trust/issues) и опишите его своими словами. Вам не нужно знать какие-либо фреймворки или заполнять каждое поле - просто опишите сценарий.

**Полезно указать (но не обязательно):**

- Сценарий атаки и как его можно использовать
- Какие части OpenClaw затронуты (CLI, Gateway, каналы, ClawHub, MCP-серверы и т. д.)
- Насколько серьезной вы считаете угрозу (низкая / средняя / высокая / критическая)
- Любые ссылки на связанные исследования, CVE или реальные примеры

Мы выполним сопоставление ATLAS, назначим идентификаторы угроз и проведем оценку риска во время ревью. Если хотите включить эти детали, отлично, но это не обязательно.

> **Этот раздел предназначен для добавления в модель угроз, а не для сообщения об активных уязвимостях.** Если вы нашли эксплуатируемую уязвимость, см. нашу [страницу Trust](https://trust.openclaw.ai) с инструкциями по ответственному раскрытию.

### Предложить меру снижения риска

Есть идея, как устранить существующую угрозу? Откройте issue или PR со ссылкой на угрозу. Полезные меры снижения риска конкретны и применимы на практике - например, «ограничение частоты на уровне Gateway по отправителю до 10 сообщений/минуту» лучше, чем «реализовать ограничение частоты».

### Предложить цепочку атаки

Цепочки атак показывают, как несколько угроз объединяются в реалистичный сценарий атаки. Если вы видите опасную комбинацию, опишите шаги и то, как злоумышленник связал бы их вместе. Короткое повествование о том, как атака разворачивается на практике, ценнее формального шаблона.

### Исправить или улучшить существующий контент

Опечатки, уточнения, устаревшая информация, более удачные примеры - PR приветствуются, issue не требуется.

## Что мы используем

### Фреймворк MITRE ATLAS

Эта модель угроз построена на [MITRE ATLAS](https://atlas.mitre.org/) (Adversarial Threat Landscape for AI Systems), фреймворке, созданном специально для угроз AI/ML, таких как инъекции промптов, злоупотребление инструментами и эксплуатация агентов. Вам не нужно знать ATLAS, чтобы внести вклад, - мы сопоставляем материалы с фреймворком во время ревью.

### Идентификаторы угроз

Каждая угроза получает идентификатор вроде `T-EXEC-003`. Категории:

| Код     | Категория                                    |
| ------- | -------------------------------------------- |
| RECON   | Разведка - сбор информации                   |
| ACCESS  | Первичный доступ - получение входа           |
| EXEC    | Выполнение - запуск вредоносных действий     |
| PERSIST | Закрепление - сохранение доступа             |
| EVADE   | Обход защиты - уклонение от обнаружения      |
| DISC    | Обнаружение - изучение окружения             |
| EXFIL   | Эксфильтрация - кража данных                 |
| IMPACT  | Воздействие - ущерб или нарушение работы     |

Идентификаторы назначаются сопровождающими во время ревью. Вам не нужно выбирать их самостоятельно.

### Уровни риска

| Уровень        | Значение                                                        |
| -------------- | --------------------------------------------------------------- |
| **Критический** | Полная компрометация системы или высокая вероятность + критическое воздействие |
| **Высокий**    | Вероятен значительный ущерб или средняя вероятность + критическое воздействие |
| **Средний**    | Умеренный риск или низкая вероятность + высокое воздействие     |
| **Низкий**     | Маловероятно и с ограниченным воздействием                      |

Если вы не уверены в уровне риска, просто опишите воздействие, а мы его оценим.

## Процесс ревью

1. **Триаж** - Мы рассматриваем новые материалы в течение 48 часов
2. **Оценка** - Мы проверяем реализуемость, назначаем сопоставление ATLAS и идентификатор угрозы, проверяем уровень риска
3. **Документация** - Мы убеждаемся, что все отформатировано и полно
4. **Слияние** - Добавляется в модель угроз и визуализацию

## Ресурсы

- [Сайт ATLAS](https://atlas.mitre.org/)
- [Техники ATLAS](https://atlas.mitre.org/techniques/)
- [Кейсы ATLAS](https://atlas.mitre.org/studies/)
- [Модель угроз OpenClaw](/ru/security/THREAT-MODEL-ATLAS)

## Контакты

- **Уязвимости безопасности:** См. нашу [страницу Trust](https://trust.openclaw.ai) с инструкциями по отправке сообщений
- **Вопросы по модели угроз:** Откройте issue в [openclaw/trust](https://github.com/openclaw/trust/issues)
- **Общий чат:** канал #security в Discord

## Признание

Участники, внесшие вклад в модель угроз, упоминаются в благодарностях модели угроз, примечаниях к выпуску и зале славы безопасности OpenClaw за значительный вклад.

## Связанное

- [Модель угроз](/ru/security/THREAT-MODEL-ATLAS)
- [Формальная верификация](/ru/security/formal-verification)