这是用于向威胁模型添加内容,而不是报告实时漏洞。如果你发现了可利用的漏洞,请改为遵循 Trust 页面上的负责任披露说明。
贡献方式
添加威胁。 在 openclaw/trust 上开启一个 issue,用你自己的话描述攻击场景。以下信息有帮助,但不是必需:- 攻击场景以及它可能如何被利用。
- 受影响的组件(CLI、Gateway 网关、渠道、ClawHub、MCP 服务器等)。
- 你对严重程度的估计(低 / 中 / 高 / 严重)。
- 相关研究、CVE 或真实案例的链接。
框架参考
威胁会映射到 MITRE ATLAS(Adversarial Threat Landscape for AI Systems),这是一个面向 AI/ML 特定威胁的框架,例如提示注入、工具滥用和智能体利用。你不需要了解 ATLAS 也可以贡献;维护者会在审核期间映射提交内容。 威胁 ID。 每个威胁都会获得类似T-EXEC-003 的 ID,由维护者在审核期间分配。
| 代码 | 类别 |
|---|---|
| RECON | 侦察 - 信息收集 |
| ACCESS | 初始访问 - 获取入口 |
| EXEC | 执行 - 运行恶意操作 |
| PERSIST | 持久化 - 维持访问 |
| EVADE | 防御规避 - 避免检测 |
| DISC | 发现 - 了解环境 |
| EXFIL | 外泄 - 窃取数据 |
| IMPACT | 影响 - 破坏或中断 |
| 级别 | 含义 |
|---|---|
| 严重 | 完全系统攻陷,或高可能性 + 严重影响 |
| 高 | 可能造成重大损害,或中等可能性 + 严重影响 |
| 中 | 中等风险,或低可能性 + 高影响 |
| 低 | 可能性低且影响有限 |
审核流程
- 分诊 - 新提交会在 48 小时内审核。
- 评估 - 维护者验证可行性,分配 ATLAS 映射和威胁 ID,并验证风险级别。
- 文档 - 格式和完整性检查。
- 合并 - 添加到威胁模型和可视化中。
资源
联系
- 安全漏洞: 查看 Trust 页面获取报告说明,或发送邮件至
security@openclaw.ai。 - 威胁模型问题: 在 openclaw/trust 上开启一个 issue。
- 常规聊天: Discord
#security渠道。