Bijdragen aan het dreigingsmodel

Documentation Index

Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

Bedankt dat je helpt OpenClaw veiliger te maken. Dit dreigingsmodel is een levend document en we verwelkomen bijdragen van iedereen - je hoeft geen beveiligingsexpert te zijn.

​

Manieren om bij te dragen

​

Een dreiging toevoegen

Een aanvalsvector of risico gezien dat we nog niet hebben behandeld? Open een issue op openclaw/trust en beschrijf het in je eigen woorden. Je hoeft geen frameworks te kennen of elk veld in te vullen - beschrijf gewoon het scenario. Nuttig om op te nemen (maar niet verplicht):

• Het aanvalsscenario en hoe het kan worden misbruikt
• Welke onderdelen van OpenClaw worden geraakt (CLI, Gateway, kanalen, ClawHub, MCP-servers, enz.)
• Hoe ernstig je denkt dat het is (laag / gemiddeld / hoog / kritiek)
• Links naar gerelateerd onderzoek, CVE’s of praktijkvoorbeelden

Wij behandelen de ATLAS-mapping, dreigings-ID’s en risicobeoordeling tijdens de review. Als je die details wilt toevoegen, graag - maar het wordt niet verwacht.

Dit is bedoeld voor toevoegingen aan het dreigingsmodel, niet voor het melden van actuele kwetsbaarheden. Als je een misbruikbare kwetsbaarheid hebt gevonden, zie onze Trust-pagina voor instructies voor verantwoorde openbaarmaking.

​

Een mitigatie voorstellen

Heb je een idee om een bestaande dreiging aan te pakken? Open een issue of PR waarin je naar de dreiging verwijst. Nuttige mitigaties zijn specifiek en uitvoerbaar - bijvoorbeeld: “snelheidslimiet per afzender van 10 berichten/minuut bij de Gateway” is beter dan “implementeer snelheidslimieten.”

​

Een aanvalsketen voorstellen

Aanvalsketens laten zien hoe meerdere dreigingen samenkomen in een realistisch aanvalsscenario. Als je een gevaarlijke combinatie ziet, beschrijf dan de stappen en hoe een aanvaller ze aan elkaar zou koppelen. Een kort verhaal over hoe de aanval zich in de praktijk ontvouwt, is waardevoller dan een formele template.

​

Bestaande inhoud corrigeren of verbeteren

Typfouten, verduidelijkingen, verouderde informatie, betere voorbeelden - PR’s zijn welkom, geen issue nodig.

​

Wat we gebruiken

​

MITRE ATLAS-framework

Dit dreigingsmodel is gebouwd op MITRE ATLAS (Adversarial Threat Landscape for AI Systems), een framework dat specifiek is ontworpen voor AI/ML-dreigingen zoals promptinjectie, misbruik van tools en misbruik van agents. Je hoeft ATLAS niet te kennen om bij te dragen - we koppelen inzendingen tijdens de review aan het framework.

​

Dreigings-ID’s

Elke dreiging krijgt een ID zoals T-EXEC-003. De categorieën zijn: ID’s worden tijdens de review door maintainers toegewezen. Je hoeft er zelf geen te kiezen.

​

Risiconiveaus

Als je niet zeker bent over het risiconiveau, beschrijf dan gewoon de impact en wij beoordelen die.

​

Reviewproces

1. Triage - We beoordelen nieuwe inzendingen binnen 48 uur
2. Beoordeling - We verifiëren de haalbaarheid, wijzen ATLAS-mapping en dreigings-ID toe, en valideren het risiconiveau
3. Documentatie - We zorgen dat alles correct is opgemaakt en volledig is
4. Merge - Toegevoegd aan het dreigingsmodel en de visualisatie

​

Bronnen

• ATLAS-website
• ATLAS-technieken
• ATLAS-casestudy’s
• OpenClaw-dreigingsmodel

​

Contact

• Beveiligingskwetsbaarheden: Zie onze Trust-pagina voor meldinstructies
• Vragen over het dreigingsmodel: Open een issue op openclaw/trust
• Algemene chat: Discord-kanaal #security

​

Erkenning

Bijdragers aan het dreigingsmodel worden erkend in de dankbetuigingen van het dreigingsmodel, releaseopmerkingen en de OpenClaw security hall of fame voor belangrijke bijdragen.

​

Gerelateerd

• Dreigingsmodel
• Formele verificatie