威胁模型贡献
Contributing to Threat Model(威胁模型贡献)旨在邀请安全研究者和社区成员共同完善 OpenClaw 的安全防护体系。我们相信安全是一项社区共建的工作。
为什么参与
开源项目的安全需要社区的广泛参与:
- 多视角 — 不同背景的研究者发现不同类型的漏洞
- 快速响应 — 社区协作能加快漏洞发现和修复速度
- 持续改进 — 威胁模型需要随技术发展不断更新
- 透明信任 — 开放的安全评审流程增强用户信任
我们需要你
无论你是安全专家、AI 研究者还是开发者,都可以为 OpenClaw 的安全做出贡献。
安全研究指南
研究范围
以下组件在安全研究范围内:
| 组件 | 范围 | 优先级 |
|---|---|---|
| Gateway 核心 | ✅ 全部 | 🔴 高 |
| Agent 运行时 | ✅ 全部 | 🔴 高 |
| RPC 接口 | ✅ 全部 | 🔴 高 |
| 工具执行引擎 | ✅ 全部 | 🔴 高 |
| 会话存储 | ✅ 全部 | 🟡 中 |
| 插件系统 | ✅ 插件沙盒 | 🟡 中 |
| CLI 工具 | ✅ 全部 | 🟢 低 |
| 文档站点 | ❌ 不在范围内 | — |
不在范围内
- 第三方模型提供商的 API 漏洞
- 社区插件的安全问题(请直接联系插件作者)
- 社会工程攻击
- 物理安全
测试环境
bash
# 搭建本地测试环境
git clone https://github.com/openclaw/openclaw.git
cd openclaw
# 使用测试配置启动
cp .env.example .env.test
openclaw start --config test.yaml --debug测试规则
请仅在本地环境进行安全测试。不要对他人的 OpenClaw 实例进行未授权测试。
贡献威胁模型
提交新威胁
通过 GitHub Issue 提交新发现的威胁:
markdown
## 威胁报告模板
### 威胁名称
[简明的威胁描述]
### 攻击向量
[攻击者如何利用此威胁]
### 前置条件
[攻击需要满足的条件]
### 影响
[成功攻击的后果]
### 风险评级
- 可能性: [高/中/低]
- 影响程度: [高/中/低]
### 建议的缓解措施
[如何防御此威胁]
### 复现步骤
[详细的复现步骤]改进现有威胁模型
bash
# Fork 仓库并编辑威胁模型
git checkout -b threat-model/new-threat
# 编辑 docs/security/threat-model-atlas.md
git commit -m "security: add new threat vector for XYZ"
# 提交 PR责任披露流程
Responsible Disclosure(负责任披露)
如果你发现了安全漏洞,请遵循以下流程:
发现漏洞
│
▼
通过安全邮箱报告 ← security@openclaw.dev
│
▼
确认收到 (24 小时内)
│
▼
评估严重程度 (72 小时内)
│
▼
开发修复方案
│
▼
发布安全更新
│
▼
公开披露 (修复后 90 天或经双方同意)
│
▼
致谢贡献者报告格式
收件人: security@openclaw.dev
主题: [SECURITY] 简明描述
内容:
1. 漏洞描述
2. 影响范围
3. 复现步骤
4. 概念验证代码(如有)
5. 建议的修复方案(如有)
6. 你的联系方式不要公开漏洞
在官方发布修复之前,请不要在公开渠道(GitHub Issues、社交媒体、博客等)披露漏洞详情。
响应时间线
| 阶段 | 时间 |
|---|---|
| 确认收到 | 24 小时内 |
| 初步评估 | 72 小时内 |
| 修复开发 | 7-30 天(视严重程度) |
| 安全更新发布 | 修复完成后 48 小时内 |
| 公开披露 | 修复后 90 天 |
安全赏金计划
OpenClaw 设有安全赏金计划,感谢研究者的贡献:
| 严重程度 | 描述 | 赏金范围 |
|---|---|---|
| 🔴 严重 | 远程代码执行、认证绕过 | $500 - $2000 |
| 🟠 高危 | 数据泄露、权限提升 | $200 - $500 |
| 🟡 中危 | 信息泄漏、DoS | $50 - $200 |
| 🟢 低危 | 配置问题、信息暴露 | 致谢 + 纪念品 |
赏金说明
赏金金额视项目资金状况和漏洞影响程度而定。所有有效报告都会获得公开致谢。
社区安全评审
定期安全审计
- 季度审计 — 每季度进行一次代码安全审计
- 版本审计 — 每个大版本发布前进行安全审查
- 社区审计 — 每年至少一次开放社区安全审计活动
参与审计
bash
# 获取审计工具包
openclaw security audit-kit
# 运行自动化安全检查
openclaw security scan
# 提交审计报告
openclaw security submit-report ./my-audit-report.md安全贡献者名单
所有安全贡献者将在 致谢页面 中获得特别致谢,并标注 🛡️ 安全贡献者徽章。
🇨🇳 中国用户须知
- 中国安全研究者可使用中文提交漏洞报告
- 涉及国内法规合规性的安全建议也在欢迎范围
- 国内安全社区(先知平台、补天等)发现的相关问题也请同步反馈
- 参与安全研究请遵守《中华人民共和国网络安全法》相关规定