Security
مشارکت در مدل تهدید
مدل تهدید سندی پویا است. مشارکت همه افراد پذیرفته است؛ نیازی به سابقه در زمینه امنیت یا MITRE ATLAS ندارید.
روشهای مشارکت
افزودن یک تهدید. در openclaw/trust یک مسئله باز کنید و سناریوی حمله را با بیان خودتان شرح دهید. موارد زیر مفیدند، اما الزامی نیستند:
- سناریوی حمله و چگونگی بهرهبرداری از آن.
- مؤلفههای تحت تأثیر (CLI، Gateway، کانالها، ClawHub، سرورهای MCP و غیره).
- برآورد شما از شدت (کم / متوسط / زیاد / بحرانی).
- پیوندهایی به پژوهشهای مرتبط، CVEها یا نمونههای دنیای واقعی.
نگهدارندگان در جریان بازبینی، نگاشت ATLAS، شناسه تهدید و سطح ریسک را تعیین میکنند.
پیشنهاد یک اقدام کاهشی. یک مسئله یا PR باز کنید که به تهدید ارجاع دهد. مشخص و قابلاقدام بنویسید: «محدودسازی نرخ بهازای هر فرستنده، به میزان ۱۰ پیام در دقیقه در Gateway» از «محدودسازی نرخ را پیادهسازی کنید» مفیدتر است.
پیشنهاد یک زنجیره حمله. زنجیرههای حمله نشان میدهند چند تهدید چگونه در قالب سناریویی واقعگرایانه با یکدیگر ترکیب میشوند. مراحل و نحوه زنجیرهکردن آنها توسط مهاجم را شرح دهید؛ روایتی کوتاه بهتر از یک الگوی رسمی است.
اصلاح یا بهبود محتوای موجود. خطاهای تایپی، شفافسازیها، اطلاعات منسوخ و نمونههای بهتر: از PRها استقبال میشود و نیازی به مسئله نیست.
مرجع چارچوب
تهدیدها به MITRE ATLAS (چشمانداز تهدیدهای خصمانه برای سامانههای هوش مصنوعی)، چارچوبی برای تهدیدهای ویژه هوش مصنوعی/یادگیری ماشین مانند تزریق پرامپت، سوءاستفاده از ابزار و بهرهبرداری از عامل، نگاشت میشوند. برای مشارکت نیازی به شناخت ATLAS ندارید؛ نگهدارندگان موارد ارسالی را هنگام بازبینی نگاشت میکنند.
شناسههای تهدید. هر تهدید شناسهای مانند T-EXEC-003 دریافت میکند که نگهدارندگان هنگام بازبینی آن را تعیین میکنند.
| کد | دستهبندی |
|---|---|
| RECON | شناسایی - گردآوری اطلاعات |
| ACCESS | دسترسی اولیه - ورود به سامانه |
| EXEC | اجرا - اجرای اقدامات مخرب |
| PERSIST | ماندگاری - حفظ دسترسی |
| EVADE | گریز از دفاع - اجتناب از شناسایی |
| DISC | کشف - شناخت محیط |
| EXFIL | استخراج - سرقت دادهها |
| IMPACT | تأثیر - آسیب یا اختلال |
سطوح ریسک. اگر از سطح مطمئن نیستید، فقط تأثیر را شرح دهید؛ نگهدارندگان آن را ارزیابی میکنند.
| سطح | معنا |
|---|---|
| بحرانی | تسخیر کامل سامانه، یا احتمال زیاد + تأثیر بحرانی |
| زیاد | احتمال آسیب قابلتوجه، یا احتمال متوسط + تأثیر بحرانی |
| متوسط | ریسک متوسط، یا احتمال کم + تأثیر زیاد |
| کم | احتمال پایین و تأثیر محدود |
فرایند بازبینی
- غربالگری - موارد ارسالی جدید ظرف ۴۸ ساعت بازبینی میشوند.
- ارزیابی - نگهدارندگان امکانپذیری را بررسی میکنند، نگاشت ATLAS و شناسه تهدید را تعیین میکنند و سطح ریسک را اعتبارسنجی میکنند.
- مستندسازی - قالببندی و کاملبودن بررسی میشود.
- ادغام - به مدل تهدید و مصورسازی افزوده میشود.
منابع
تماس
- آسیبپذیریهای امنیتی: برای دستورالعملهای گزارشدهی به صفحه اعتماد مراجعه کنید یا به
security@openclaw.aiایمیل بزنید. - پرسشهای مربوط به مدل تهدید: در openclaw/trust یک مسئله باز کنید.
- گفتوگوی عمومی: کانال
#securityدر Discord.
قدردانی
از مشارکتکنندگان مدل تهدید در بخش سپاسگزاری مدل تهدید، یادداشتهای انتشار و تالار مشاهیر امنیتی OpenClaw برای مشارکتهای مهم تقدیر میشود.