Ana içeriğe atla

OpenClaw Tehdit Modeline Katkıda Bulunma

OpenClaw’ı daha güvenli hâle getirmeye yardımcı olduğunuz için teşekkürler. Bu tehdit modeli yaşayan bir belgedir ve herkesten gelen katkıları memnuniyetle karşılarız - güvenlik uzmanı olmanız gerekmez.

Katkıda Bulunma Yolları

Tehdit Ekleme

Kapsamadığımız bir saldırı vektörü veya risk mi fark ettiniz? openclaw/trust üzerinde bir issue açın ve bunu kendi sözlerinizle açıklayın. Herhangi bir çerçeveyi bilmeniz veya her alanı doldurmanız gerekmez - yalnızca senaryoyu açıklayın. Eklenmesi faydalı olur (ama zorunlu değildir):
  • Saldırı senaryosu ve bunun nasıl istismar edilebileceği
  • OpenClaw’ın hangi bölümlerinin etkilendiği (CLI, gateway, kanallar, ClawHub, MCP sunucuları vb.)
  • Bunun ne kadar ciddi olduğunu düşündüğünüz (düşük / orta / yüksek / kritik)
  • İlgili araştırmalara, CVE’lere veya gerçek dünyadan örneklere ait bağlantılar
İnceleme sırasında ATLAS eşlemesini, tehdit kimliklerini ve risk değerlendirmesini biz ele alacağız. Bu ayrıntıları siz eklemek isterseniz harika - ancak beklenen bir şey değildir.
Bu, canlı güvenlik açıklarını bildirmek için değil, tehdit modeline ekleme yapmak içindir. İstismar edilebilir bir güvenlik açığı bulduysanız, sorumlu açıklama talimatları için Trust sayfamıza bakın.

Bir Azaltım Önerme

Mevcut bir tehdidi ele alma konusunda bir fikriniz mi var? Tehdide referans veren bir issue veya PR açın. Yararlı azaltımlar belirli ve uygulanabilir olur - örneğin “oran sınırlaması uygulayın” yerine gateway’de “gönderen başına dakikada 10 mesaj oran sınırlaması” daha iyidir.

Bir Saldırı Zinciri Önerme

Saldırı zincirleri, birden fazla tehdidin gerçekçi bir saldırı senaryosunda nasıl birleştiğini gösterir. Tehlikeli bir birleşim görüyorsanız, adımları ve bir saldırganın bunları nasıl zincirleyeceğini açıklayın. Saldırının pratikte nasıl geliştiğine dair kısa bir anlatı, resmi bir şablondan daha değerlidir.

Mevcut İçeriği Düzeltme veya İyileştirme

Yazım hataları, açıklık kazandırmalar, güncelliğini yitirmiş bilgiler, daha iyi örnekler - PR’lar memnuniyetle karşılanır, issue gerekmez.

Kullandıklarımız

MITRE ATLAS

Bu tehdit modeli, özellikle istem enjeksiyonu, araç kötüye kullanımı ve aracı istismarı gibi AI/ML tehditleri için tasarlanmış bir çerçeve olan MITRE ATLAS (AI Sistemleri için Hasım Tehdit Ortamı) üzerine kuruludur. Katkıda bulunmak için ATLAS’ı bilmeniz gerekmez - gönderimleri inceleme sırasında çerçeveye eşliyoruz.

Tehdit Kimlikleri

Her tehdit T-EXEC-003 gibi bir kimlik alır. Kategoriler şunlardır:
CodeCategory
RECONKeşif - bilgi toplama
ACCESSİlk erişim - giriş kazanma
EXECYürütme - kötü amaçlı eylemler çalıştırma
PERSISTKalıcılık - erişimi sürdürme
EVADESavunmadan kaçınma - tespitten kaçınma
DISCOrtamı keşfetme - çevre hakkında öğrenme
EXFILVeri sızdırma - veri çalma
IMPACTEtki - zarar veya kesinti
Kimlikler inceleme sırasında bakımcılar tarafından atanır. Sizin bir tane seçmeniz gerekmez.

Risk Düzeyleri

LevelMeaning
CriticalTam sistem ele geçirilmesi veya yüksek olasılık + kritik etki
HighÖnemli zararın muhtemel olması veya orta olasılık + kritik etki
MediumOrta düzey risk veya düşük olasılık + yüksek etki
LowDüşük olasılıklı ve sınırlı etki
Risk düzeyinden emin değilseniz, yalnızca etkiyi açıklayın; değerlendirmeyi biz yaparız.

İnceleme Süreci

  1. Ön değerlendirme - Yeni gönderimleri 48 saat içinde inceleriz
  2. Değerlendirme - Uygulanabilirliği doğrular, ATLAS eşlemesini ve tehdit kimliğini atar, risk düzeyini doğrularız
  3. Belgelendirme - Her şeyin biçimlendirilmiş ve eksiksiz olduğundan emin oluruz
  4. Birleştirme - Tehdit modeline ve görselleştirmeye eklenir

Kaynaklar

İletişim

  • Güvenlik açıkları: Bildirim talimatları için Trust sayfamıza bakın
  • Tehdit modeli soruları: openclaw/trust üzerinde bir issue açın
  • Genel sohbet: Discord #security kanalı

Tanınma

Tehdit modeline katkıda bulunanlar, önemli katkılar için tehdit modeli teşekkür bölümünde, sürüm notlarında ve OpenClaw güvenlik şeref listesinde tanınır.