Contribuindo para o Modelo de Ameaça do Mayros
Obrigado por ajudar a tornar o Mayros mais seguro. Este modelo de ameaça é um documento vivo e aceitamos contribuições de qualquer pessoa - você não precisa ser um especialista em segurança.
Formas de Contribuir
Adicionar uma Ameaça
Identificou um vetor de ataque ou risco que não cobrimos? Abra uma issue em mayros/trust e descreva com suas próprias palavras. Você não precisa conhecer nenhum framework ou preencher todos os campos - apenas descreva o cenário.
Útil incluir (mas não obrigatório):
- O cenário de ataque e como ele poderia ser explorado
- Quais partes do Mayros são afetadas (CLI, gateway, canais, Skills Hub, servidores MCP, etc.)
- Quão grave você acha que é (baixo / médio / alto / crítico)
- Quaisquer links para pesquisas relacionadas, CVEs ou exemplos do mundo real
Lidaremos com o mapeamento ATLAS, IDs de ameaça e avaliação de risco durante a revisão. Se você quiser incluir esses detalhes, ótimo - mas não é esperado.
Isso é para adicionar ao modelo de ameaça, não para relatar vulnerabilidades ao vivo. Se você encontrou uma vulnerabilidade explorável, consulte nossa página de Confiança para instruções de divulgação responsável.
Sugerir uma Mitigação
Tem uma ideia de como abordar uma ameaça existente? Abra uma issue ou PR referenciando a ameaça. Mitigações úteis são específicas e acionáveis - por exemplo, "limitação de taxa por remetente de 10 mensagens/minuto no gateway" é melhor que "implementar limitação de taxa".
Propor uma Cadeia de Ataque
Cadeias de ataque mostram como múltiplas ameaças se combinam em um cenário de ataque realista. Se você vê uma combinação perigosa, descreva as etapas e como um atacante as encadearia. Uma narrativa curta de como o ataque se desenrola na prática é mais valiosa que um template formal.
Corrigir ou Melhorar Conteúdo Existente
Erros de digitação, esclarecimentos, informações desatualizadas, melhores exemplos - PRs são bem-vindos, nenhuma issue necessária.
O Que Usamos
MITRE ATLAS
Este modelo de ameaça é construído sobre MITRE ATLAS (Adversarial Threat Landscape for AI Systems), um framework projetado especificamente para ameaças de IA/ML como injeção de prompt, uso indevido de ferramenta e exploração de agente. Você não precisa conhecer ATLAS para contribuir - mapeamos submissões para o framework durante a revisão.
IDs de Ameaça
Cada ameaça recebe um ID como T-EXEC-003. As categorias são:
| Código | Categoria |
|---|---|
| RECON | Reconhecimento - coleta de informações |
| ACCESS | Acesso inicial - obter entrada |
| EXEC | Execução - executar ações maliciosas |
| PERSIST | Persistência - manter acesso |
| EVADE | Evasão de defesa - evitar detecção |
| DISC | Descoberta - aprender sobre o ambiente |
| EXFIL | Exfiltração - roubar dados |
| IMPACT | Impacto - dano ou interrupção |
IDs são atribuídos por mantenedores durante a revisão. Você não precisa escolher um.
Níveis de Risco
| Nível | Significado |
|---|---|
| Crítico | Comprometimento total do sistema, ou alta probabilidade + impacto crítico |
| Alto | Dano significativo provável, ou média probabilidade + impacto crítico |
| Médio | Risco moderado, ou baixa probabilidade + alto impacto |
| Baixo | Improvável e impacto limitado |
Se você não tiver certeza sobre o nível de risco, apenas descreva o impacto e avaliaremos.
Processo de Revisão
- Triagem - Revisamos novas submissões em 48 horas
- Avaliação - Verificamos viabilidade, atribuímos mapeamento ATLAS e ID de ameaça, validamos nível de risco
- Documentação - Garantimos que tudo esteja formatado e completo
- Mesclagem - Adicionado ao modelo de ameaça e visualização
Recursos
Contato
- Vulnerabilidades de segurança: Consulte nossa página de Confiança para instruções de relatório
- Perguntas sobre modelo de ameaça: Abra uma issue em mayros/trust
- Chat geral: Canal #security do Discord
Reconhecimento
Contribuidores para o modelo de ameaça são reconhecidos nos agradecimentos do modelo de ameaça, notas de lançamento e no hall da fama de segurança do Mayros para contribuições significativas.