Security 导读
给 OpenClaw 威胁模型提贡献,不用是安全专家
发现攻击路径或风险?直接开 issue 描述场景就行,不需要懂框架或填满所有字段。提缓解方案时,具体可执行的例子(比如“在网关上限制每发送方 10 条/分钟”)比空泛建议更有用。注意:这是补充威胁模型,不是报告漏洞——漏洞请走 trust.openclaw.ai 的负责任披露流程。
先讲这一页到底在解决什么
给 OpenClaw 威胁模型提贡献,不用是安全专家
发现攻击路径或风险?直接开 issue 描述场景就行,不需要懂框架或填满所有字段。提缓解方案时,具体可执行的例子(比如“在网关上限制每发送方 10 条/分钟”)比空泛建议更有用。注意:这是补充威胁模型,不是报告漏洞——漏洞请走 trust.openclaw.ai 的负责任披露流程。
第一站
📝 先讲场景,不用先背框架名
官方很明确:你不需要是安全专家,也不用先会 ATLAS,先把事情讲清楚就行。
Add a Threat
像把你看到的危险场景写成一张小纸条。
Suggest a Mitigation
像顺手告诉维护者“可以怎么把窗户关小一点”。
Attack Chain
像把几件小事连起来,说明攻击是怎么一步步发生的。
第二站
🏷️ 你只要把“这件事看起来怎么被利用”说出来
威胁模型提交最有用的,不是名词,而是具体情景。
最好带上
受影响的模块、风险大小、相关案例或 CVE。
不用先准备
不用自己给 threat 编号,也不用先把 ATLAS 完整映射好。
如果是真漏洞
这页不是 live disclosure 入口,真漏洞要走 Trust 页。