Security
Berkontribusi pada model ancaman
Model ancaman adalah dokumen yang terus berkembang. Kontribusi diterima dari siapa saja; Anda tidak perlu memiliki latar belakang keamanan atau MITRE ATLAS.
Cara berkontribusi
Tambahkan ancaman. Buka isu di openclaw/trust yang menjelaskan skenario serangan dengan kata-kata Anda sendiri. Informasi berikut membantu, tetapi tidak diwajibkan:
- Skenario serangan dan cara mengeksploitasinya.
- Komponen yang terdampak (CLI, Gateway, kanal, ClawHub, server MCP, dan sebagainya).
- Perkiraan tingkat keparahan Anda (rendah / sedang / tinggi / kritis).
- Tautan ke penelitian terkait, CVE, atau contoh di dunia nyata.
Pengelola menetapkan pemetaan ATLAS, ID ancaman, dan tingkat risiko selama peninjauan.
Sarankan mitigasi. Buka isu atau PR yang merujuk pada ancaman tersebut. Berikan saran yang spesifik dan dapat ditindaklanjuti: "pembatasan laju per pengirim sebesar 10 pesan/menit di Gateway" lebih bermanfaat daripada "terapkan pembatasan laju."
Usulkan rantai serangan. Rantai serangan menunjukkan bagaimana beberapa ancaman digabungkan menjadi skenario yang realistis. Jelaskan langkah-langkahnya dan cara penyerang merangkainya; narasi singkat lebih baik daripada templat formal.
Perbaiki atau tingkatkan konten yang ada. Kesalahan ketik, klarifikasi, informasi usang, atau contoh yang lebih baik: PR diterima tanpa perlu membuka isu.
Referensi kerangka kerja
Ancaman dipetakan ke MITRE ATLAS (Adversarial Threat Landscape for AI Systems), sebuah kerangka kerja untuk ancaman khusus AI/ML seperti injeksi prompt, penyalahgunaan alat, dan eksploitasi agen. Anda tidak perlu memahami ATLAS untuk berkontribusi; pengelola akan memetakan kiriman selama peninjauan.
ID ancaman. Setiap ancaman mendapatkan ID seperti T-EXEC-003, yang ditetapkan oleh pengelola selama peninjauan.
| Kode | Kategori |
|---|---|
| RECON | Pengintaian - pengumpulan informasi |
| ACCESS | Akses awal - memperoleh jalan masuk |
| EXEC | Eksekusi - menjalankan tindakan berbahaya |
| PERSIST | Persistensi - mempertahankan akses |
| EVADE | Penghindaran pertahanan - menghindari deteksi |
| DISC | Penemuan - mempelajari lingkungan |
| EXFIL | Eksfiltrasi - mencuri data |
| IMPACT | Dampak - kerusakan atau gangguan |
Tingkat risiko. Jika Anda tidak yakin mengenai tingkatnya, cukup jelaskan dampaknya; pengelola akan menilainya.
| Tingkat | Arti |
|---|---|
| Kritis | Pengambilalihan sistem secara penuh, atau kemungkinan tinggi + dampak kritis |
| Tinggi | Kemungkinan terjadinya kerusakan signifikan, atau kemungkinan sedang + dampak kritis |
| Sedang | Risiko sedang, atau kemungkinan rendah + dampak tinggi |
| Rendah | Kecil kemungkinannya dan dampaknya terbatas |
Proses peninjauan
- Triase - kiriman baru ditinjau dalam waktu 48 jam.
- Penilaian - pengelola memverifikasi kelayakan, menetapkan pemetaan ATLAS dan ID ancaman, serta memvalidasi tingkat risiko.
- Dokumentasi - pemeriksaan format dan kelengkapan.
- Penggabungan - ditambahkan ke model ancaman dan visualisasi.
Sumber daya
Kontak
- Kerentanan keamanan: halaman Trust untuk petunjuk pelaporan, atau
security@openclaw.ai. - Pertanyaan tentang model ancaman: buka isu di openclaw/trust.
- Percakapan umum: kanal Discord
#security.
Pengakuan
Kontributor model ancaman diberi pengakuan dalam bagian ucapan terima kasih model ancaman, catatan rilis, dan daftar kehormatan keamanan OpenClaw untuk kontribusi yang signifikan.