Security
Contribuindo para o modelo de ameaças
O modelo de ameaças é um documento em constante evolução. Contribuições de qualquer pessoa são bem-vindas; não é necessário ter experiência em segurança ou no MITRE ATLAS.
Formas de contribuir
Adicione uma ameaça. Abra uma issue em openclaw/trust descrevendo o cenário de ataque com suas próprias palavras. Informações úteis, mas não obrigatórias:
- O cenário de ataque e como ele poderia ser explorado.
- Quais componentes são afetados (CLI, Gateway, canais, ClawHub, servidores MCP etc.).
- Sua estimativa de gravidade (baixa / média / alta / crítica).
- Links para pesquisas relacionadas, CVEs ou exemplos reais.
Os mantenedores atribuem o mapeamento do ATLAS, o ID da ameaça e o nível de risco durante a revisão.
Sugira uma mitigação. Abra uma issue ou um PR mencionando a ameaça. Seja específico e proponha uma ação concreta: "limitação de taxa por remetente de 10 mensagens/minuto no Gateway" é mais útil do que "implementar limitação de taxa".
Proponha uma cadeia de ataques. As cadeias de ataques mostram como várias ameaças se combinam em um cenário realista. Descreva as etapas e como um invasor as encadearia; uma narrativa curta é melhor do que um modelo formal.
Corrija ou melhore o conteúdo existente. Erros de digitação, esclarecimentos, informações desatualizadas e exemplos melhores: PRs são bem-vindos, sem necessidade de abrir uma issue.
Referência do framework
As ameaças são mapeadas para o MITRE ATLAS (Cenário de Ameaças Adversárias para Sistemas de IA), um framework para ameaças específicas de IA/ML, como injeção de prompt, uso indevido de ferramentas e exploração de agentes. Você não precisa conhecer o ATLAS para contribuir; os mantenedores mapeiam os envios durante a revisão.
IDs de ameaças. Cada ameaça recebe um ID como T-EXEC-003, atribuído pelos mantenedores durante a revisão.
| Código | Categoria |
|---|---|
| RECON | Reconhecimento — coleta de informações |
| ACCESS | Acesso inicial — obtenção de entrada |
| EXEC | Execução — realização de ações maliciosas |
| PERSIST | Persistência — manutenção do acesso |
| EVADE | Evasão de defesas — evitar a detecção |
| DISC | Descoberta — obtenção de informações do ambiente |
| EXFIL | Exfiltração — roubo de dados |
| IMPACT | Impacto — danos ou interrupções |
Níveis de risco. Se você não tiver certeza sobre o nível, apenas descreva o impacto; os mantenedores farão a avaliação.
| Nível | Significado |
|---|---|
| Crítico | Comprometimento total do sistema ou alta probabilidade + impacto crítico |
| Alto | Danos significativos prováveis ou probabilidade média + impacto crítico |
| Médio | Risco moderado ou baixa probabilidade + alto impacto |
| Baixo | Improvável e com impacto limitado |
Processo de revisão
- Triagem — novos envios são revisados em até 48 horas.
- Avaliação — os mantenedores verificam a viabilidade, atribuem o mapeamento do ATLAS e o ID da ameaça e validam o nível de risco.
- Documentação — revisão de formatação e integridade.
- Mesclagem — adição ao modelo de ameaças e à visualização.
Recursos
Contato
- Vulnerabilidades de segurança: consulte a página de confiança para obter instruções de comunicação ou envie um e-mail para
security@openclaw.ai. - Dúvidas sobre o modelo de ameaças: abra uma issue em openclaw/trust.
- Conversa geral: canal
#securityno Discord.
Reconhecimento
Os colaboradores do modelo de ameaças recebem reconhecimento nos agradecimentos do modelo de ameaças, nas notas de versão e no hall da fama de segurança do OpenClaw por contribuições significativas.