Security

Участие в разработке модели угроз

Модель угроз — это постоянно обновляемый документ. Внести вклад может любой желающий; знания в области безопасности или MITRE ATLAS не требуются.

Как внести вклад

Добавьте угрозу. Создайте задачу в openclaw/trust, описав сценарий атаки своими словами. Желательно, но не обязательно, указать:

  • Сценарий атаки и способы его эксплуатации.
  • Затронутые компоненты (CLI, Gateway, каналы, ClawHub, серверы MCP и т. д.).
  • Вашу оценку критичности (низкая / средняя / высокая / критическая).
  • Ссылки на связанные исследования, CVE или реальные примеры.

Во время проверки сопровождающие назначают соответствие ATLAS, идентификатор угрозы и уровень риска.

Предложите меру защиты. Создайте задачу или PR со ссылкой на угрозу. Предложение должно быть конкретным и применимым: «ограничение частоты на уровне Gateway до 10 сообщений в минуту для каждого отправителя» полезнее, чем «реализовать ограничение частоты».

Предложите цепочку атак. Цепочки атак показывают, как несколько угроз объединяются в реалистичный сценарий. Опишите этапы и то, как злоумышленник свяжет их в цепочку; краткое повествование предпочтительнее формального шаблона.

Исправьте или улучшите существующий материал. Опечатки, уточнения, устаревшая информация, более удачные примеры — PR приветствуются, предварительно создавать задачу не требуется.

Справочник по фреймворку

Угрозы сопоставляются с MITRE ATLAS (Adversarial Threat Landscape for AI Systems) — фреймворком для угроз, характерных для систем ИИ и машинного обучения, таких как внедрение в промпт, неправомерное использование инструментов и эксплуатация агентов. Для внесения вклада знать ATLAS не требуется; сопровождающие сопоставляют поступившие материалы во время проверки.

Идентификаторы угроз. Каждая угроза получает идентификатор вида T-EXEC-003, который назначают сопровождающие во время проверки.

Код Категория
RECON Разведка — сбор информации
ACCESS Первоначальный доступ — проникновение в систему
EXEC Выполнение — запуск вредоносных действий
PERSIST Закрепление — сохранение доступа
EVADE Обход защиты — уклонение от обнаружения
DISC Исследование — изучение окружения
EXFIL Эксфильтрация — кража данных
IMPACT Воздействие — ущерб или нарушение работы

Уровни риска. Если вы не уверены в уровне, просто опишите последствия; сопровождающие оценят его.

Уровень Значение
Критический Полная компрометация системы либо высокая вероятность + критические последствия
Высокий Вероятен значительный ущерб либо средняя вероятность + критические последствия
Средний Умеренный риск либо низкая вероятность + серьёзные последствия
Низкий Маловероятные и ограниченные последствия

Процесс проверки

  1. Первичная обработка — новые материалы проверяются в течение 48 часов.
  2. Оценка — сопровождающие проверяют реализуемость, назначают соответствие ATLAS и идентификатор угрозы, подтверждают уровень риска.
  3. Документирование — проверка форматирования и полноты.
  4. Слияние — добавление в модель угроз и визуализацию.

Ресурсы

Контакты

  • Уязвимости безопасности: инструкции по отправке сообщений приведены на странице Trust; также можно использовать security@openclaw.ai.
  • Вопросы о модели угроз: создайте задачу в openclaw/trust.
  • Общее обсуждение: канал #security в Discord.

Признание вклада

Участники, внесшие вклад в модель угроз, упоминаются в разделе благодарностей модели угроз и примечаниях к выпуску, а за значительный вклад — в зале славы безопасности OpenClaw.

Связанные материалы

Was this useful?
On this page

On this page