這是用於補充威脅模型,而不是回報即時漏洞。如果你發現了可被利用的漏洞,請改為遵循信任頁面上的負責任揭露指示。
貢獻方式
新增威脅。 請在 openclaw/trust 開啟 issue,用你自己的話描述攻擊情境。以下資訊有幫助但非必要:- 攻擊情境,以及它可能如何被利用。
- 受影響的元件(命令列介面、閘道、通道、ClawHub、MCP 伺服器等)。
- 你對嚴重程度的估計(低 / 中 / 高 / 嚴重)。
- 相關研究、CVE 或真實世界範例的連結。
框架參考
威脅會對應到 MITRE ATLAS(Adversarial Threat Landscape for AI Systems),這是一個針對 AI/ML 特定威脅的框架,例如提示注入、工具濫用與代理利用。你不需要了解 ATLAS 也能貢獻;維護者會在審查期間對應提交內容。 威脅 ID。 每個威脅都會取得一個像T-EXEC-003 這樣的 ID,由維護者在審查期間指派。
| 代碼 | 類別 |
|---|---|
| RECON | 偵察 - 資訊收集 |
| ACCESS | 初始存取 - 取得進入權限 |
| EXEC | 執行 - 執行惡意動作 |
| PERSIST | 持久化 - 維持存取權限 |
| EVADE | 防禦規避 - 避免被偵測 |
| DISC | 探索 - 了解環境 |
| EXFIL | 外洩 - 竊取資料 |
| IMPACT | 影響 - 損害或中斷 |
| 等級 | 含義 |
|---|---|
| 嚴重 | 完整系統遭入侵,或高可能性 + 嚴重影響 |
| 高 | 可能造成重大損害,或中等可能性 + 嚴重影響 |
| 中 | 中等風險,或低可能性 + 高影響 |
| 低 | 不太可能發生且影響有限 |
審查流程
- 分類處理 - 新提交會在 48 小時內審查。
- 評估 - 維護者會驗證可行性、指派 ATLAS 對應與威脅 ID,並驗證風險等級。
- 文件化 - 格式與完整性檢查。
- 合併 - 新增至威脅模型與視覺化呈現。
資源
聯絡方式
- 安全漏洞: 請參閱信任頁面取得回報指示,或寄信至
security@openclaw.ai。 - 威脅模型問題: 請在 openclaw/trust 開啟 issue。
- 一般聊天: Discord
#security頻道。