Skip to main content

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

ขอบคุณที่ช่วยทำให้ OpenClaw ปลอดภัยยิ่งขึ้น โมเดลภัยคุกคามนี้เป็นเอกสารที่มีการพัฒนาอย่างต่อเนื่อง และเรายินดีรับการมีส่วนร่วมจากทุกคน - คุณไม่จำเป็นต้องเป็นผู้เชี่ยวชาญด้านความปลอดภัย

วิธีมีส่วนร่วม

เพิ่มภัยคุกคาม

พบเวกเตอร์การโจมตีหรือความเสี่ยงที่เรายังไม่ได้ครอบคลุมหรือไม่ เปิด issue ใน openclaw/trust และอธิบายด้วยคำของคุณเอง คุณไม่จำเป็นต้องรู้จักเฟรมเวิร์กใด ๆ หรือกรอกทุกฟิลด์ - แค่อธิบายสถานการณ์ก็พอ ข้อมูลที่ช่วยได้ (แต่ไม่จำเป็น):
  • สถานการณ์การโจมตีและวิธีที่อาจถูกนำไปใช้
  • ส่วนใดของ OpenClaw ที่ได้รับผลกระทบ (CLI, Gateway, ช่องทาง, ClawHub, เซิร์ฟเวอร์ MCP เป็นต้น)
  • คุณคิดว่ารุนแรงเพียงใด (ต่ำ / ปานกลาง / สูง / วิกฤต)
  • ลิงก์ไปยังงานวิจัยที่เกี่ยวข้อง, CVE หรือ ตัวอย่างจากโลกจริง
เราจะจัดการการแมป ATLAS, รหัสภัยคุกคาม และการประเมินความเสี่ยงระหว่างการรีวิว หากคุณต้องการใส่รายละเอียดเหล่านั้นมาด้วยก็ยอดเยี่ยม - แต่ไม่ได้คาดหวังว่าต้องมี
ส่วนนี้มีไว้สำหรับเพิ่มข้อมูลลงในโมเดลภัยคุกคาม ไม่ใช่สำหรับรายงานช่องโหว่ที่ใช้งานโจมตีได้จริง หากคุณพบช่องโหว่ที่สามารถใช้โจมตีได้ โปรดดู หน้า Trust ของเราสำหรับคำแนะนำในการเปิดเผยข้อมูลอย่างรับผิดชอบ

เสนอการบรรเทาผลกระทบ

มีแนวคิดเกี่ยวกับวิธีจัดการภัยคุกคามที่มีอยู่หรือไม่ เปิด issue หรือ PR ที่อ้างอิงถึงภัยคุกคามนั้น การบรรเทาผลกระทบที่มีประโยชน์ควรเฉพาะเจาะจงและนำไปปฏิบัติได้ - ตัวอย่างเช่น “จำกัดอัตราต่อผู้ส่งที่ 10 ข้อความ/นาทีที่ Gateway” ดีกว่า “ใช้การจำกัดอัตรา”

เสนอห่วงโซ่การโจมตี

ห่วงโซ่การโจมตีแสดงให้เห็นว่าภัยคุกคามหลายรายการรวมกันเป็นสถานการณ์การโจมตีที่สมจริงได้อย่างไร หากคุณเห็นชุดผสมที่อันตราย ให้อธิบายขั้นตอนและวิธีที่ผู้โจมตีจะเชื่อมโยงภัยคุกคามเหล่านั้นเข้าด้วยกัน เรื่องเล่าสั้น ๆ ว่าการโจมตีเกิดขึ้นอย่างไรในทางปฏิบัติมีคุณค่ามากกว่าเทมเพลตที่เป็นทางการ

แก้ไขหรือปรับปรุงเนื้อหาที่มีอยู่

คำผิด คำอธิบายให้ชัดเจนขึ้น ข้อมูลที่ล้าสมัย ตัวอย่างที่ดีกว่า - ยินดีรับ PR ไม่จำเป็นต้องเปิด issue

สิ่งที่เราใช้

เฟรมเวิร์ก MITRE ATLAS

โมเดลภัยคุกคามนี้สร้างขึ้นบน MITRE ATLAS (ภูมิทัศน์ภัยคุกคามเชิงปรปักษ์สำหรับระบบ AI) ซึ่งเป็นเฟรมเวิร์กที่ออกแบบมาโดยเฉพาะสำหรับภัยคุกคามด้าน AI/ML เช่น การฉีดพรอมป์ การใช้เครื่องมือในทางที่ผิด และการโจมตีเอเจนต์ คุณไม่จำเป็นต้องรู้จัก ATLAS เพื่อมีส่วนร่วม - เราจะแมปข้อเสนอเข้ากับเฟรมเวิร์กระหว่างการรีวิว

รหัสภัยคุกคาม

ภัยคุกคามแต่ละรายการจะได้รับรหัสเช่น T-EXEC-003 หมวดหมู่มีดังนี้:
รหัสหมวดหมู่
RECONการลาดตระเวน - การรวบรวมข้อมูล
ACCESSการเข้าถึงเริ่มต้น - การได้สิทธิ์เข้าใช้งาน
EXECการดำเนินการ - การรันการกระทำที่เป็นอันตราย
PERSISTการคงอยู่ - การรักษาสิทธิ์การเข้าถึง
EVADEการหลบเลี่ยงการป้องกัน - การหลีกเลี่ยงการตรวจจับ
DISCการค้นพบ - การเรียนรู้เกี่ยวกับสภาพแวดล้อม
EXFILการขโมยข้อมูลออก - การขโมยข้อมูล
IMPACTผลกระทบ - ความเสียหายหรือการรบกวน
ผู้ดูแลจะกำหนดรหัสระหว่างการรีวิว คุณไม่จำเป็นต้องเลือกเอง

ระดับความเสี่ยง

ระดับความหมาย
วิกฤตระบบถูกยึดครองทั้งหมด หรือมีความเป็นไปได้สูง + ผลกระทบวิกฤต
สูงมีแนวโน้มเกิดความเสียหายอย่างมีนัยสำคัญ หรือมีความเป็นไปได้ปานกลาง + ผลกระทบวิกฤต
ปานกลางความเสี่ยงระดับปานกลาง หรือความเป็นไปได้ต่ำ + ผลกระทบสูง
ต่ำไม่น่าจะเกิดขึ้นและมีผลกระทบจำกัด
หากคุณไม่แน่ใจเกี่ยวกับระดับความเสี่ยง แค่อธิบายผลกระทบ แล้วเราจะประเมินให้

กระบวนการรีวิว

  1. การคัดแยก - เรารีวิวข้อเสนอใหม่ภายใน 48 ชั่วโมง
  2. การประเมิน - เราตรวจสอบความเป็นไปได้ กำหนดการแมป ATLAS และรหัสภัยคุกคาม ตรวจสอบระดับความเสี่ยง
  3. การจัดทำเอกสาร - เราทำให้แน่ใจว่าทุกอย่างมีรูปแบบถูกต้องและครบถ้วน
  4. การผสาน - เพิ่มลงในโมเดลภัยคุกคามและภาพแสดงผล

ทรัพยากร

ติดต่อ

  • ช่องโหว่ด้านความปลอดภัย: ดู หน้า Trust ของเราสำหรับคำแนะนำในการรายงาน
  • คำถามเกี่ยวกับโมเดลภัยคุกคาม: เปิด issue ใน openclaw/trust
  • แชตทั่วไป: ช่อง Discord #security

การยอมรับผลงาน

ผู้มีส่วนร่วมในโมเดลภัยคุกคามจะได้รับการยอมรับในส่วนขอบคุณของโมเดลภัยคุกคาม บันทึกประจำรุ่น และหอเกียรติยศด้านความปลอดภัยของ OpenClaw สำหรับผลงานสำคัญ

ที่เกี่ยวข้อง