貢献する方法
脅威を追加する
これまでカバーしていない攻撃ベクトルやリスクを発見しましたか? openclaw/trust で問題を開き、自分の言葉で説明してください。フレームワークを知ったり、すべてのフィールドに入力したりする必要はありません。シナリオを説明するだけです。 含めると役立ちます (必須ではありません):- 攻撃シナリオとその悪用方法
- OpenClaw のどの部分が影響を受けるか (CLI、ゲートウェイ、チャネル、ClawHub、MCP サーバーなど)
- どれくらい深刻だと思いますか (低 / 中 / 高 / 重大)
- 関連する研究、CVE、または実際の例へのリンク
これは脅威モデルに追加するためのものであり、実際の脆弱性を報告するものではありません。 悪用可能な脆弱性を見つけた場合は、責任ある開示手順について 信頼ページ を参照してください。
緩和策を提案する既存の脅威に対処する方法についてアイデアはありますか?脅威に関する問題または PR を開きます。有用な軽減策は具体的で実行可能です。たとえば、「ゲートウェイでの送信者ごとのレート制限を 1 分あたり 10 メッセージに制限する」ことは、「レート制限を実装する」よりも優れています
攻撃チェーンを提案する
攻撃チェーンは、複数の脅威がどのように組み合わされて現実的な攻撃シナリオになるかを示します。危険な組み合わせを見つけた場合は、その手順と、攻撃者がそれらをどのように連鎖させるかを説明します。実際に攻撃がどのように展開されるのかについての短い説明は、正式なテンプレートよりも価値があります。既存のコンテンツを修正または改善する
タイプミス、説明、古い情報、より良い例 - PR は歓迎です。問題は必要ありません。私たちが使用するもの
マイトレアトラス
この脅威モデルは、プロンプト インジェクション、ツールの悪用、エージェントの悪用などの AI/ML 脅威のために特別に設計されたフレームワークである MITRE ATLAS (AI システムの敵対的脅威ランドスケープ) に基づいて構築されています。貢献するために ATLAS について知る必要はありません。レビュー中に提出物をフレームワークにマッピングします。脅威 ID
各脅威には、T-EXEC-003 のような ID が付けられます。カテゴリは次のとおりです。 | コード | カテゴリー |
|---|---|---|
| 偵察 | 偵察 - 情報収集 | |
| アクセス | 初期アクセス - エントリーの取得 | |
| 執行 | 実行 - 悪意のあるアクションの実行 | |
| 持続する | 永続性 - アクセスの維持 | |
| 回避 | 防御回避 - 検出を回避する | |
| ディスク | 発見 - 環境について学ぶ | |
| エクスフィル | 窃盗 - データの窃盗 | |
| 影響 | 影響 - 損害または混乱 |
リスクレベル
| レベル | 意味 |
|---|---|
| 重大 | システム全体の侵害、または可能性が高く重大な影響 |
| 高 | 重大な損害の可能性、または中程度の可能性 + クリティカルな影響 |
| 中 | 中程度のリスク、または可能性が低い + 影響が大きい |
| 低い | 影響は起こりそうもなく限定的 |
レビュープロセス1. トリアージ - 新しい提出物を 48 時間以内に審査します
- 評価 - 実現可能性を検証し、ATLAS マッピングと脅威 ID を割り当て、リスク レベルを検証します。
- ドキュメント - すべてがフォーマットされ、完全であることを確認します
- マージ - 脅威モデルと視覚化に追加
リソース
連絡先
- セキュリティの脆弱性: 報告手順については、信頼ページ を参照してください。
- 脅威モデルに関する質問: openclaw/trust で問題をオープンしてください
- 一般チャット: Discord #security チャンネル