المساهمة في نموذج التهديد
شكرًا لمساعدتك في جعل OpenClaw أكثر أمانًا. نموذج التهديد هذا هو وثيقة حية ونرحب بالمساهمات من أي شخص - لا تحتاج إلى أن تكون خبيرًا في الأمن.
طرق المساهمة
إضافة تهديد
هل لاحظت ناقل هجوم أو خطر لم نتناوله؟ افتح طلبًا (issue) على openclaw/trust وصفه بكلماتك الخاصة. لا تحتاج إلى معرفة أي أطر عمل أو ملء كل حقل - فقط صف السيناريو. من المفيد تضمين (ولكن ليس مطلوبًا):
- سيناريو الهجوم وكيفية استغلاله
- أي أجزاء من OpenClaw تتأثر (CLI، البوابة، القنوات، ClawHub، خوادم MCP، إلخ.)
- مدى خطورته في رأيك (منخفضة / متوسطة / عالية / حرجة)
- أي روابط لأبحاث ذات صلة، أو ثغرات CVE، أو أمثلة من العالم الواقعي
سنقوم بمعالجة تعيين ATLAS، ومعرفات التهديدات، وتقييم المخاطر أثناء المراجعة. إذا أردت تضمين تلك التفاصيل، فهذا رائع - ولكن ليس مطلوبًا.
هذا مخصص للإضافة إلى نموذج التهديد، وليس للإبلاغ عن ثغرات قابلة للاستغلال حاليًا. إذا وجدت ثغرة قابلة للاستغلال، راجع صفحة الثقة الخاصة بنا للحصول على تعليمات الإبلاغ المسؤول.
اقتراح تدبير تخفيف
هل لديك فكرة حول كيفية معالجة تهديد موجود؟ افتح طلبًا (issue) أو طلب دمج (PR) يشير إلى التهديد. تدابير التخفيف المفيدة تكون محددة وقابلة للتنفيذ - على سبيل المثال، "تحديد معدل مراسلة لكل مرسل بمقدار 10 رسائل/دقيقة عند البوابة" أفضل من "تنفيذ تحديد المعدل".
اقتراح سلسلة هجوم
تظهر سلاسل الهجوم كيف تندمج تهديدات متعددة في سيناريو هجوم واقعي. إذا رأيت مجموعة خطيرة، صف الخطوات وكيف سيربطها المهاجم معًا. سرد قصير لكيفية تطور الهجوم عمليًا أكثر قيمة من قالب رسمي.
تصحيح أو تحسين المحتوى الحالي
أخطاء إملائية، توضيحات، معلومات قديمة، أمثلة أفضل - طلبات الدمج مرحب بها، لا حاجة لفتح طلب (issue).
ما نستخدمه
MITRE ATLAS
يُبنى نموذج التهديد هذا على MITRE ATLAS (المشهد التهديدي الخصومي لأنظمة الذكاء الاصطناعي)، وهو إطار عمل مصمم خصيصًا لتهديدات الذكاء الاصطناعي/التعلم الآلي مثل حقن الأوامر (prompt injection)، وإساءة استخدام الأدوات، واستغلال الوكلاء. لا تحتاج إلى معرفة ATLAS للمساهمة - نقوم بتعيين المساهمات للإطار أثناء المراجعة.
معرفات التهديدات
يحصل كل تهديد على معرف مثل T-EXEC-003. الفئات هي:
| الرمز | الفئة |
|---|---|
| RECON | الاستطلاع - جمع المعلومات |
| ACCESS | الوصول الأولي - الحصول على مدخل |
| EXEC | التنفيذ - تنفيذ إجراءات ضارة |
| PERSIST | الثبات - الحفاظ على الوصول |
| EVADE | التملص من الدفاعات - تجنب الكشف |
| DISC | الاكتشاف - التعرف على البيئة |
| EXFIL | تصدير البيانات - سرقة البيانات |
| IMPACT | التأثير - إلحاق الضرر أو التعطيل |
يتم تعيين المعرفات من قبل المشرفين أثناء المراجعة. لا تحتاج إلى اختيار واحد.
مستويات الخطورة
| المستوى | المعنى |
|---|---|
| حرج | اختراق كامل للنظام، أو احتمالية عالية + تأثير حرج |
| عالي | ضرر كبير محتمل، أو احتمالية متوسطة + تأثير حرج |
| متوسط | خطر معتدل، أو احتمالية منخفضة + تأثير عالي |
| منخفض | غير محتمل وذو تأثير محدود |
إذا كنت غير متأكد من مستوى الخطورة، فقط صف التأثير وسنقوم بتقييمه.
عملية المراجعة
- التصنيف - نراجع المساهمات الجديدة خلال 48 ساعة
- التقييم - نتحقق من الجدوى، ونعين تعيين ATLAS ومعرف التهديد، ونتحقق من مستوى الخطورة
- التوثيق - نتأكد من تنسيق واكتمال كل شيء
- الدمج - يُضاف إلى نموذج التهديد والتصور المرئي
الموارد
الاتصال
- ثغرات أمنية: راجع صفحة الثقة الخاصة بنا للحصول على تعليمات الإبلاغ
- أسئلة حول نموذج التهديد: افتح طلبًا (issue) على openclaw/trust
- محادثة عامة: قناة #security على Discord
التقدير
يُذكر المساهمون في نموذج التهديد في قسم الشكر في نموذج التهديد، وملاحظات الإصدار، وقاعة الشرف الأمنية لـ OpenClaw للمساهمات الكبيرة.