简要总结
null
这页说明书是在教我们怎么一起保护 OpenClaw 这个“小爪子”的安全。就像我们玩积木时会想“这个塔怎么搭才不会倒”一样,这里的大人们会想“坏人可能会怎么来捣乱”。如果你想到了一个我们还没想到的坏点子,或者想到了一个好办法来挡住坏点子,都可以来这里告诉我们。这页就是教你怎么把这些好想法说给我们听。
五岁小孩版解释
这页纸是邀请大家一起当 OpenClaw 的安全小卫士。OpenClaw 就像一个聪明的机器人助手,我们要保护它不被坏人利用。你不需要是安全专家,只要你有好想法,就可以来帮忙。
你可以用四种主要方式来帮忙:
添加一个威胁:这就像你发现了一个游戏里的新漏洞。如果你想到了一个坏人可能会用的攻击方法,而我们还没写到,就可以告诉我们。
- 怎么做:去一个叫 openclaw/trust 的网站,开一个“新问题”(issue),用你自己的话把想到的坏点子写下来。
- 可以写这些(不写也没关系):坏人会怎么做?会影响到 OpenClaw 的哪个部分(比如它的手、脚、大脑)?你觉得这个坏点子有多严重(轻轻捣乱,还是能把整个机器人搞坏)?有没有其他类似的例子?
- 要小心哦:这里只是用来讨论“可能会发生”的坏点子,不是报告“正在发生”的真实攻击。如果你真的发现了一个正在被利用的漏洞,要去另一个叫 Trust page 的地方报告。
建议一个缓解措施:这就像你想到了一个挡住坏点子的好办法。如果你对列表里已有的某个威胁,想到了怎么防御它,可以告诉我们。
- 怎么做:去同一个网站,开一个“新问题”或者直接提交修改(PR),记得要提到你想对付的是哪个威胁。办法说得越具体越好哦。
提议一个攻击链:这就像把几个坏点子像串珠子一样连起来,讲一个完整的坏故事。如果你发现几个威胁组合在一起会更危险,可以描述一下坏人会怎么一步一步做。
- 怎么做:简单地讲一个小故事,说说攻击是怎么一步步发生的,这比填复杂的表格更有用。
修正或改进现有内容:这就像帮我们检查作业,找错别字,或者把话讲得更清楚。如果你看到哪里写错了、过时了,或者有更好的例子,可以直接帮忙改。
我们用什么来整理这些想法呢?我们主要用一个叫 MITRE ATLAS 的大本子。你可以把它想成一本专门记录怎么攻击和保护 AI 机器人的百科全书。你不用懂这个,我们会把你的想法对号入座放进去。
每个坏点子(威胁)都会有一个自己的编号,比如 T-EXEC-003。编号开头的字母代表它的类型,比如 EXEC 是“干坏事”,ACCESS 是“溜进门”。这个编号不用你操心,我们检查时会帮你加上。
我们还会给每个坏点子评一个“危险等级”,从“低”到“严重”。如果你不确定有多危险,只要描述清楚它会造成的后果,我们会来评估。
你提交想法后,我们会这样处理:
- 初步查看:我们会在 48 小时内看看你的新想法。
- 仔细评估:我们会看看这个想法是否可行,给它找到 ATLAS 里的位置,分配编号,并确认危险等级。
- 整理记录:我们会确保格式整齐,内容完整。
- 加入手册:最后,这个想法就会被正式加入我们的威胁模型手册里。
如果你有关于安全漏洞的紧急事情,请去 Trust page。如果只是对威胁模型有疑问,可以在 openclaw/trust 上提问。想随便聊聊,可以去 Discord 的 #security 频道。
所有帮忙想出好点子、好办法的小朋友(和大朋友)的名字,都会被记录在我们的感谢名单、更新日志里,如果贡献特别大,还会进入 OpenClaw 的安全名人堂哦!