---
read_when:
    - می‌خواهید یافته‌های امنیتی یا سناریوهای تهدید را ارائه کنید
    - بازبینی یا به‌روزرسانی مدل تهدید
summary: نحوهٔ مشارکت در مدل تهدید OpenClaw
title: مشارکت در مدل تهدید
x-i18n:
    generated_at: "2026-05-06T18:02:00Z"
    model: gpt-5.5
    provider: openai
    source_hash: a23ca088d7893180a83c02d6971bbf1c32affa724e43019fd40276eaadc52278
    source_path: security/CONTRIBUTING-THREAT-MODEL.md
    workflow: 16
---

از اینکه به امن‌تر شدن OpenClaw کمک می‌کنید سپاسگزاریم. این مدل تهدید سندی زنده است و از مشارکت همه استقبال می‌کنیم؛ لازم نیست متخصص امنیت باشید.

## راه‌های مشارکت

### افزودن یک تهدید

یک بردار حمله یا ریسکی دیده‌اید که پوشش نداده‌ایم؟ یک مسئله در [openclaw/trust](https://github.com/openclaw/trust/issues) باز کنید و آن را با زبان خودتان توضیح دهید. لازم نیست هیچ چارچوبی را بشناسید یا همه فیلدها را پر کنید؛ فقط سناریو را توضیح دهید.

**موارد مفید برای درج (اما الزامی نیست):**

- سناریوی حمله و اینکه چگونه می‌تواند مورد سوءاستفاده قرار گیرد
- اینکه کدام بخش‌های OpenClaw تحت تاثیر قرار می‌گیرند (CLI، Gateway، کانال‌ها، ClawHub، سرورهای MCP و غیره)
- اینکه به نظر شما شدت آن چقدر است (پایین / متوسط / بالا / بحرانی)
- هر پیوندی به پژوهش‌های مرتبط، شناسه‌های CVE، یا نمونه‌های واقعی

ما نگاشت ATLAS، شناسه‌های تهدید، و ارزیابی ریسک را در طول بازبینی انجام می‌دهیم. اگر می‌خواهید این جزئیات را اضافه کنید، عالی است؛ اما انتظار نمی‌رود.

> **این بخش برای افزودن به مدل تهدید است، نه گزارش آسیب‌پذیری‌های زنده.** اگر یک آسیب‌پذیری قابل سوءاستفاده پیدا کرده‌اید، برای دستورالعمل‌های افشای مسئولانه به [صفحه اعتماد](https://trust.openclaw.ai) ما مراجعه کنید.

### پیشنهاد یک اقدام کاهشی

ایده‌ای برای رسیدگی به یک تهدید موجود دارید؟ یک مسئله یا درخواست تغییر باز کنید و به آن تهدید ارجاع دهید. اقدامات کاهشی مفید مشخص و قابل اجرا هستند؛ برای مثال، «محدودسازی نرخ به‌ازای هر فرستنده به ۱۰ پیام در دقیقه در Gateway» بهتر از «محدودسازی نرخ را پیاده‌سازی کنید» است.

### پیشنهاد یک زنجیره حمله

زنجیره‌های حمله نشان می‌دهند چگونه چند تهدید با هم ترکیب می‌شوند و یک سناریوی حمله واقع‌گرایانه می‌سازند. اگر ترکیب خطرناکی می‌بینید، مراحل را توضیح دهید و اینکه مهاجم چگونه آن‌ها را به هم زنجیر می‌کند. یک روایت کوتاه از اینکه حمله در عمل چگونه رخ می‌دهد، از یک الگوی رسمی ارزشمندتر است.

### اصلاح یا بهبود محتوای موجود

اشتباه‌های تایپی، شفاف‌سازی‌ها، اطلاعات قدیمی، نمونه‌های بهتر؛ درخواست‌های تغییر پذیرفته می‌شوند و نیازی به مسئله نیست.

## آنچه استفاده می‌کنیم

### چارچوب MITRE ATLAS

این مدل تهدید بر پایه [MITRE ATLAS](https://atlas.mitre.org/) (چشم‌انداز تهدیدهای خصمانه برای سامانه‌های AI) ساخته شده است؛ چارچوبی که به‌طور ویژه برای تهدیدهای AI/ML مانند تزریق پرامپت، سوءاستفاده از ابزار، و بهره‌کشی از عامل طراحی شده است. برای مشارکت لازم نیست ATLAS را بشناسید؛ ما هنگام بازبینی، ارسال‌ها را به این چارچوب نگاشت می‌کنیم.

### شناسه‌های تهدید

هر تهدید یک شناسه مانند `T-EXEC-003` می‌گیرد. دسته‌ها عبارت‌اند از:

| کد     | دسته                                      |
| ------- | ------------------------------------------ |
| RECON   | شناسایی - گردآوری اطلاعات                 |
| ACCESS  | دسترسی اولیه - ورود گرفتن                 |
| EXEC    | اجرا - اجرای اقدامات مخرب                 |
| PERSIST | ماندگاری - حفظ دسترسی                     |
| EVADE   | گریز از دفاع - پرهیز از شناسایی           |
| DISC    | کشف - شناخت محیط                          |
| EXFIL   | برون‌برد - سرقت داده                      |
| IMPACT  | اثرگذاری - آسیب یا اختلال                 |

شناسه‌ها هنگام بازبینی توسط نگه‌دارندگان اختصاص داده می‌شوند. لازم نیست خودتان یکی انتخاب کنید.

### سطوح ریسک

| سطح         | معنی                                                               |
| ------------ | ----------------------------------------------------------------- |
| **بحرانی**  | سازش کامل سامانه، یا احتمال بالا + اثر بحرانی                    |
| **بالا**    | احتمال آسیب قابل توجه، یا احتمال متوسط + اثر بحرانی              |
| **متوسط**   | ریسک متوسط، یا احتمال پایین + اثر بالا                           |
| **پایین**   | نامحتمل و با اثر محدود                                            |

اگر درباره سطح ریسک مطمئن نیستید، فقط اثر را توضیح دهید و ما آن را ارزیابی می‌کنیم.

## فرایند بازبینی

1. **تریاژ** - ارسال‌های جدید را ظرف ۴۸ ساعت بازبینی می‌کنیم
2. **ارزیابی** - امکان‌پذیری را بررسی می‌کنیم، نگاشت ATLAS و شناسه تهدید را اختصاص می‌دهیم، و سطح ریسک را اعتبارسنجی می‌کنیم
3. **مستندسازی** - مطمئن می‌شویم همه چیز قالب‌بندی‌شده و کامل است
4. **ادغام** - به مدل تهدید و مصورسازی افزوده می‌شود

## منابع

- [وب‌سایت ATLAS](https://atlas.mitre.org/)
- [تکنیک‌های ATLAS](https://atlas.mitre.org/techniques/)
- [مطالعات موردی ATLAS](https://atlas.mitre.org/studies/)
- [مدل تهدید OpenClaw](/fa/security/THREAT-MODEL-ATLAS)

## تماس

- **آسیب‌پذیری‌های امنیتی:** برای دستورالعمل‌های گزارش‌دهی به [صفحه اعتماد](https://trust.openclaw.ai) ما مراجعه کنید
- **پرسش‌های مدل تهدید:** یک مسئله در [openclaw/trust](https://github.com/openclaw/trust/issues) باز کنید
- **گفت‌وگوی عمومی:** کانال #security در Discord

## قدردانی

مشارکت‌کنندگان در مدل تهدید در بخش قدردانی‌های مدل تهدید، یادداشت‌های انتشار، و تالار افتخار امنیت OpenClaw برای مشارکت‌های مهم شناخته می‌شوند.

## مرتبط

- [مدل تهدید](/fa/security/THREAT-MODEL-ATLAS)
- [راستی‌آزمایی رسمی](/fa/security/formal-verification)