これは脅威モデルへの追加用であり、実際の脆弱性を報告するためのものではありません。悪用可能な脆弱性を見つけた場合は、代わりにTrustページの責任ある開示手順に従ってください。
貢献方法
脅威を追加する。 openclaw/trustでissueを開き、攻撃シナリオを自分の言葉で説明してください。以下は役立ちますが必須ではありません。- 攻撃シナリオと、それがどのように悪用され得るか。
- 影響を受けるコンポーネント(CLI、Gateway、チャネル、ClawHub、MCPサーバーなど)。
- 深刻度の見積もり(低 / 中 / 高 / 重大)。
- 関連する研究、CVE、または実世界の例へのリンク。
フレームワーク参照
脅威は、プロンプトインジェクション、ツールの誤用、エージェントの悪用など、AI/ML固有の脅威のためのフレームワークであるMITRE ATLAS(Adversarial Threat Landscape for AI Systems)にマッピングされます。貢献するためにATLASを知っている必要はありません。メンテナーがレビュー中に提出内容をマッピングします。 脅威ID。 各脅威にはT-EXEC-003のようなIDが付与され、レビュー中にメンテナーが割り当てます。
| コード | カテゴリ |
|---|---|
| RECON | 偵察 - 情報収集 |
| ACCESS | 初期アクセス - 侵入の獲得 |
| EXEC | 実行 - 悪意あるアクションの実行 |
| PERSIST | 永続化 - アクセスの維持 |
| EVADE | 防御回避 - 検出の回避 |
| DISC | 発見 - 環境についての把握 |
| EXFIL | 流出 - データの窃取 |
| IMPACT | 影響 - 損害または妨害 |
| レベル | 意味 |
|---|---|
| 重大 | システム全体の侵害、または高い可能性 + 重大な影響 |
| 高 | 重大な損害が発生する可能性が高い、または中程度の可能性 + 重大な影響 |
| 中 | 中程度のリスク、または低い可能性 + 高い影響 |
| 低 | 発生可能性が低く、影響が限定的 |
レビュープロセス
- トリアージ - 新しい提出は48時間以内にレビューされます。
- 評価 - メンテナーが実現可能性を検証し、ATLASマッピングと脅威IDを割り当て、リスクレベルを検証します。
- ドキュメント化 - フォーマットと完全性を確認します。
- マージ - 脅威モデルと可視化に追加されます。
リソース
連絡先
- セキュリティ脆弱性: 報告手順はTrustページ、または
security@openclaw.ai。 - 脅威モデルに関する質問: openclaw/trustでissueを開いてください。
- 一般チャット: Discordの
#securityチャネル。