Security

مشارکت در مدل تهدید

مدل تهدید سندی پویا است. مشارکت همه افراد پذیرفته است؛ نیازی به سابقه در زمینه امنیت یا MITRE ATLAS ندارید.

روش‌های مشارکت

افزودن یک تهدید. در openclaw/trust یک مسئله باز کنید و سناریوی حمله را با بیان خودتان شرح دهید. موارد زیر مفیدند، اما الزامی نیستند:

  • سناریوی حمله و چگونگی بهره‌برداری از آن.
  • مؤلفه‌های تحت تأثیر (CLI، Gateway، کانال‌ها، ClawHub، سرورهای MCP و غیره).
  • برآورد شما از شدت (کم / متوسط / زیاد / بحرانی).
  • پیوندهایی به پژوهش‌های مرتبط، CVEها یا نمونه‌های دنیای واقعی.

نگه‌دارندگان در جریان بازبینی، نگاشت ATLAS، شناسه تهدید و سطح ریسک را تعیین می‌کنند.

پیشنهاد یک اقدام کاهشی. یک مسئله یا PR باز کنید که به تهدید ارجاع دهد. مشخص و قابل‌اقدام بنویسید: «محدودسازی نرخ به‌ازای هر فرستنده، به میزان ۱۰ پیام در دقیقه در Gateway» از «محدودسازی نرخ را پیاده‌سازی کنید» مفیدتر است.

پیشنهاد یک زنجیره حمله. زنجیره‌های حمله نشان می‌دهند چند تهدید چگونه در قالب سناریویی واقع‌گرایانه با یکدیگر ترکیب می‌شوند. مراحل و نحوه زنجیره‌کردن آن‌ها توسط مهاجم را شرح دهید؛ روایتی کوتاه بهتر از یک الگوی رسمی است.

اصلاح یا بهبود محتوای موجود. خطاهای تایپی، شفاف‌سازی‌ها، اطلاعات منسوخ و نمونه‌های بهتر: از PRها استقبال می‌شود و نیازی به مسئله نیست.

مرجع چارچوب

تهدیدها به MITRE ATLAS (چشم‌انداز تهدیدهای خصمانه برای سامانه‌های هوش مصنوعی)، چارچوبی برای تهدیدهای ویژه هوش مصنوعی/یادگیری ماشین مانند تزریق پرامپت، سوءاستفاده از ابزار و بهره‌برداری از عامل، نگاشت می‌شوند. برای مشارکت نیازی به شناخت ATLAS ندارید؛ نگه‌دارندگان موارد ارسالی را هنگام بازبینی نگاشت می‌کنند.

شناسه‌های تهدید. هر تهدید شناسه‌ای مانند T-EXEC-003 دریافت می‌کند که نگه‌دارندگان هنگام بازبینی آن را تعیین می‌کنند.

کد دسته‌بندی
RECON شناسایی - گردآوری اطلاعات
ACCESS دسترسی اولیه - ورود به سامانه
EXEC اجرا - اجرای اقدامات مخرب
PERSIST ماندگاری - حفظ دسترسی
EVADE گریز از دفاع - اجتناب از شناسایی
DISC کشف - شناخت محیط
EXFIL استخراج - سرقت داده‌ها
IMPACT تأثیر - آسیب یا اختلال

سطوح ریسک. اگر از سطح مطمئن نیستید، فقط تأثیر را شرح دهید؛ نگه‌دارندگان آن را ارزیابی می‌کنند.

سطح معنا
بحرانی تسخیر کامل سامانه، یا احتمال زیاد + تأثیر بحرانی
زیاد احتمال آسیب قابل‌توجه، یا احتمال متوسط + تأثیر بحرانی
متوسط ریسک متوسط، یا احتمال کم + تأثیر زیاد
کم احتمال پایین و تأثیر محدود

فرایند بازبینی

  1. غربالگری - موارد ارسالی جدید ظرف ۴۸ ساعت بازبینی می‌شوند.
  2. ارزیابی - نگه‌دارندگان امکان‌پذیری را بررسی می‌کنند، نگاشت ATLAS و شناسه تهدید را تعیین می‌کنند و سطح ریسک را اعتبارسنجی می‌کنند.
  3. مستندسازی - قالب‌بندی و کامل‌بودن بررسی می‌شود.
  4. ادغام - به مدل تهدید و مصورسازی افزوده می‌شود.

منابع

تماس

  • آسیب‌پذیری‌های امنیتی: برای دستورالعمل‌های گزارش‌دهی به صفحه اعتماد مراجعه کنید یا به security@openclaw.ai ایمیل بزنید.
  • پرسش‌های مربوط به مدل تهدید: در openclaw/trust یک مسئله باز کنید.
  • گفت‌وگوی عمومی: کانال #security در Discord.

قدردانی

از مشارکت‌کنندگان مدل تهدید در بخش سپاسگزاری مدل تهدید، یادداشت‌های انتشار و تالار مشاهیر امنیتی OpenClaw برای مشارکت‌های مهم تقدیر می‌شود.

مرتبط

Was this useful?
On this page

On this page