> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Вклад в модель угроз

Спасибо за помощь в повышении безопасности OpenClaw. Эта модель угроз - живой документ, и мы приветствуем вклад от всех желающих: вам не нужно быть экспертом по безопасности.

## Способы внести вклад

### Добавить угрозу

Заметили вектор атаки или риск, который мы не описали? Откройте issue в [openclaw/trust](https://github.com/openclaw/trust/issues) и опишите его своими словами. Вам не нужно знать какие-либо фреймворки или заполнять каждое поле - просто опишите сценарий.

**Полезно указать (но не обязательно):**

* Сценарий атаки и как его можно использовать
* Какие части OpenClaw затронуты (CLI, Gateway, каналы, ClawHub, MCP-серверы и т. д.)
* Насколько серьезной вы считаете угрозу (низкая / средняя / высокая / критическая)
* Любые ссылки на связанные исследования, CVE или реальные примеры

Мы выполним сопоставление ATLAS, назначим идентификаторы угроз и проведем оценку риска во время ревью. Если хотите включить эти детали, отлично, но это не обязательно.

> **Этот раздел предназначен для добавления в модель угроз, а не для сообщения об активных уязвимостях.** Если вы нашли эксплуатируемую уязвимость, см. нашу [страницу Trust](https://trust.openclaw.ai) с инструкциями по ответственному раскрытию.

### Предложить меру снижения риска

Есть идея, как устранить существующую угрозу? Откройте issue или PR со ссылкой на угрозу. Полезные меры снижения риска конкретны и применимы на практике - например, «ограничение частоты на уровне Gateway по отправителю до 10 сообщений/минуту» лучше, чем «реализовать ограничение частоты».

### Предложить цепочку атаки

Цепочки атак показывают, как несколько угроз объединяются в реалистичный сценарий атаки. Если вы видите опасную комбинацию, опишите шаги и то, как злоумышленник связал бы их вместе. Короткое повествование о том, как атака разворачивается на практике, ценнее формального шаблона.

### Исправить или улучшить существующий контент

Опечатки, уточнения, устаревшая информация, более удачные примеры - PR приветствуются, issue не требуется.

## Что мы используем

### Фреймворк MITRE ATLAS

Эта модель угроз построена на [MITRE ATLAS](https://atlas.mitre.org/) (Adversarial Threat Landscape for AI Systems), фреймворке, созданном специально для угроз AI/ML, таких как инъекции промптов, злоупотребление инструментами и эксплуатация агентов. Вам не нужно знать ATLAS, чтобы внести вклад, - мы сопоставляем материалы с фреймворком во время ревью.

### Идентификаторы угроз

Каждая угроза получает идентификатор вроде `T-EXEC-003`. Категории:

| Код     | Категория                                |
| ------- | ---------------------------------------- |
| RECON   | Разведка - сбор информации               |
| ACCESS  | Первичный доступ - получение входа       |
| EXEC    | Выполнение - запуск вредоносных действий |
| PERSIST | Закрепление - сохранение доступа         |
| EVADE   | Обход защиты - уклонение от обнаружения  |
| DISC    | Обнаружение - изучение окружения         |
| EXFIL   | Эксфильтрация - кража данных             |
| IMPACT  | Воздействие - ущерб или нарушение работы |

Идентификаторы назначаются сопровождающими во время ревью. Вам не нужно выбирать их самостоятельно.

### Уровни риска

| Уровень         | Значение                                                                       |
| --------------- | ------------------------------------------------------------------------------ |
| **Критический** | Полная компрометация системы или высокая вероятность + критическое воздействие |
| **Высокий**     | Вероятен значительный ущерб или средняя вероятность + критическое воздействие  |
| **Средний**     | Умеренный риск или низкая вероятность + высокое воздействие                    |
| **Низкий**      | Маловероятно и с ограниченным воздействием                                     |

Если вы не уверены в уровне риска, просто опишите воздействие, а мы его оценим.

## Процесс ревью

1. **Триаж** - Мы рассматриваем новые материалы в течение 48 часов
2. **Оценка** - Мы проверяем реализуемость, назначаем сопоставление ATLAS и идентификатор угрозы, проверяем уровень риска
3. **Документация** - Мы убеждаемся, что все отформатировано и полно
4. **Слияние** - Добавляется в модель угроз и визуализацию

## Ресурсы

* [Сайт ATLAS](https://atlas.mitre.org/)
* [Техники ATLAS](https://atlas.mitre.org/techniques/)
* [Кейсы ATLAS](https://atlas.mitre.org/studies/)
* [Модель угроз OpenClaw](/ru/security/THREAT-MODEL-ATLAS)

## Контакты

* **Уязвимости безопасности:** См. нашу [страницу Trust](https://trust.openclaw.ai) с инструкциями по отправке сообщений
* **Вопросы по модели угроз:** Откройте issue в [openclaw/trust](https://github.com/openclaw/trust/issues)
* **Общий чат:** канал #security в Discord

## Признание

Участники, внесшие вклад в модель угроз, упоминаются в благодарностях модели угроз, примечаниях к выпуску и зале славы безопасности OpenClaw за значительный вклад.

## Связанное

* [Модель угроз](/ru/security/THREAT-MODEL-ATLAS)
* [Формальная верификация](/ru/security/formal-verification)