Security
Tehdit modeline katkıda bulunma
Tehdit modeli yaşayan bir belgedir. Herkesin katkısı memnuniyetle karşılanır; güvenlik veya MITRE ATLAS geçmişine sahip olmanız gerekmez.
Katkıda bulunma yolları
Tehdit ekleyin. Saldırı senaryosunu kendi ifadelerinizle açıklayan bir konu kaydını openclaw/trust üzerinde açın. Aşağıdakiler yararlıdır ancak zorunlu değildir:
- Saldırı senaryosu ve bunun nasıl istismar edilebileceği.
- Etkilenen bileşenler (CLI, Gateway, kanallar, ClawHub, MCP sunucuları vb.).
- Önem derecesine ilişkin tahmininiz (düşük / orta / yüksek / kritik).
- İlgili araştırmalara, CVE'lere veya gerçek dünya örneklerine bağlantılar.
Bakım sorumluları inceleme sırasında ATLAS eşlemesini, tehdit kimliğini ve risk düzeyini belirler.
Bir azaltma önlemi önerin. Tehdide başvuran bir konu kaydı veya PR açın. Öneriniz belirli ve uygulanabilir olsun: "Gateway üzerinde gönderici başına dakikada 10 iletiyle hız sınırlaması", "hız sınırlaması uygulayın" ifadesinden daha yararlıdır.
Bir saldırı zinciri önerin. Saldırı zincirleri, birden fazla tehdidin gerçekçi bir senaryoda nasıl birleştiğini gösterir. Adımları ve bir saldırganın bunları nasıl zincirleyeceğini açıklayın; kısa bir anlatım, resmî bir şablondan daha etkilidir.
Mevcut içeriği düzeltin veya iyileştirin. Yazım hataları, açıklamalar, güncelliğini yitirmiş bilgiler ve daha iyi örnekler için PR'lar memnuniyetle karşılanır; konu kaydı gerekmez.
Çerçeve başvurusu
Tehditler; istem enjeksiyonu, araçların kötüye kullanılması ve ajan istismarı gibi yapay zekâ/makine öğrenimine özgü tehditlere yönelik bir çerçeve olan MITRE ATLAS (Yapay Zekâ Sistemleri için Hasmane Tehdit Ortamı) ile eşleştirilir. Katkıda bulunmak için ATLAS'ı bilmeniz gerekmez; bakım sorumluları gönderimleri inceleme sırasında eşler.
Tehdit kimlikleri. Her tehdit, inceleme sırasında bakım sorumluları tarafından atanan T-EXEC-003 benzeri bir kimlik alır.
| Kod | Kategori |
|---|---|
| RECON | Keşif - bilgi toplama |
| ACCESS | İlk erişim - sisteme giriş elde etme |
| EXEC | Yürütme - kötü amaçlı eylemler gerçekleştirme |
| PERSIST | Kalıcılık - erişimi sürdürme |
| EVADE | Savunmadan kaçınma - tespit edilmekten kaçınma |
| DISC | Ortam keşfi - ortam hakkında bilgi edinme |
| EXFIL | Veri sızdırma - verileri çalma |
| IMPACT | Etki - hasar veya kesinti |
Risk düzeyleri. Düzeyden emin değilseniz yalnızca etkiyi açıklayın; bakım sorumluları düzeyi değerlendirir.
| Düzey | Anlam |
|---|---|
| Kritik | Sistemin tamamen ele geçirilmesi veya yüksek olasılık + kritik etki |
| Yüksek | Önemli hasar olasılığı veya orta olasılık + kritik etki |
| Orta | Orta düzey risk veya düşük olasılık + yüksek etki |
| Düşük | Düşük olasılık ve sınırlı etki |
İnceleme süreci
- Ön değerlendirme - yeni gönderimler 48 saat içinde incelenir.
- Değerlendirme - bakım sorumluları uygulanabilirliği doğrular, ATLAS eşlemesini ve tehdit kimliğini atar, risk düzeyini doğrular.
- Belgelendirme - biçimlendirme ve eksiksizlik denetimi yapılır.
- Birleştirme - tehdit modeline ve görselleştirmeye eklenir.
Kaynaklar
İletişim
- Güvenlik açıkları: Bildirim talimatları için Trust sayfasına bakın veya
security@openclaw.aiadresini kullanın. - Tehdit modeli soruları: openclaw/trust üzerinde bir konu kaydı açın.
- Genel sohbet: Discord
#securitykanalı.
Takdir
Tehdit modeline katkıda bulunanlar, tehdit modeli teşekkür bölümünde ve sürüm notlarında anılır; önemli katkılar ayrıca OpenClaw güvenlik onur listesinde yer alır.