# Οδικός Χάρτης Ασφάλειας ZeroClaw (Security Roadmap)

> [!WARNING]
> **Κατάσταση: Πρόταση / Οδικός Χάρτης**
>
> Το παρόν έγγραφο περιγράφει προτεινόμενες βελτιώσεις ασφάλειας και στρατηγικές απομόνωσης. Για την τρέχουσα υλοποίηση, συμβουλευτείτε τον [Οδηγό Αγνωστικιστικής Ασφάλειας](agnostic-security.md).

---

## 1. Τρέχουσα Κατάσταση: Ασφάλεια Επίπεδου Εφαρμογής

Το ZeroClaw διαθέτει ήδη ισχυρά θεμέλια ασφάλειας στο επίπεδο της εφαρμογής:

- **Διαχείριση Πρόσβασης**: Αυστηρή πολιτική επιτρεπόμενων χρηστών (Allowlist) ανά κανάλι.
- **Περιορισμός Εντολών**: Καθορισμός επιτρεπόμενων εντολών και αποτροπή command injection.
- **Ακεραιότητα Διαδρομών**: Επαλήθευση path traversal και αποκλεισμός απαγορευμένων καταλόγων.
- **Προστασία Δεδομένων**: Απομόνωση μυστικών (API keys) από το κέλυφος και εκκαθάριση μεταβλητών περιβάλλοντος.
- **Ποιοτικός Έλεγχος**: 1.017 αυτοματοποιημένες δοκιμές (test coverage).

## 2. Στρατηγικοί Στόχοι: Απομόνωση Επιπέδου Συστήματος

Η επόμενη φάση ανάπτυξης εστιάζει στον περιορισμό του πράκτορα AI σε επίπεδο λειτουργικού συστήματος:

- **Sandboxing**: Υλοποίηση απομόνωσης μέσω Linux namespaces (Firejail, Bubblewrap, Landlock).
- **Διαχείριση Πόρων**: Επιβολή ορίων σε CPU, RAM και I/O μέσω cgroups.
- **Σάρωση Κλήσεων Συστήματος**: Φιλτράρισμα επικίνδυνων κλήσεων μέσω Seccomp.
- **Αδιάβλητο Audit**: Καταγραφή συμβάντων με υπογραφή HMAC για την αποτροπή παραποίησης.

---

## 3. Συγκριτική Ανάλυση: ZeroClaw vs PicoClaw

| Παράμετρος | PicoClaw | ZeroClaw (Τρέχουσα) | ZeroClaw (Στόχος) |
|:---|:---:|:---:|:---:|
| **Μέγεθος Δυαδικού** | ~8MB | **3.4MB** ✅ | < 5MB |
| **Χρήση Μνήμης (Idle)** | < 10MB | **< 5MB** ✅ | < 20MB |
| **Χρόνος Εκκίνησης** | < 1s | **< 10ms** ✅ | < 100ms |
| **Sandbox ΛΕΙΤ.** | Όχι | ❌ Όχι | ✅ Native / Container |
| **Audit Logging** | Όχι | ❌ Όχι | ✅ HMAC Signed |
| **Επίπεδο Ασφαλείας** | C | **B+** | **A+** |

---

## 4. Χρονοδιάγραμμα Υλοποίησης

### Φάση 1: Άμεση Θωράκιση (P0-P1)

- **Landlock integration**: Περιορισμός πρόσβασης στο σύστημα αρχείων μόνο στους απαραίτητους καταλόγους.
- **Resource Monitoring**: Προστασία από memory leaks και CPU exhaustion μέσω OOM kill και timeouts.
- **Basic Audit Engine**: Δημιουργία αδιάβλητου ίχνους ελέγχου (audit trail).

### Φάση 2: Προηγμένη Απομόνωση (P1-P2)

- **Firejail/Bubblewrap Wrappers**: Πλήρης απομόνωση user space διεργασιών.
- **Systemd Cgroups v2**: Ενσωμάτωση με τη διαχείριση πόρων του συστήματος.
- **Seccomp Filters**: Αποκλεισμός προνομιακών κλήσεων συστήματος.

### Φάση 3: Επιχειρησιακή Ετοιμότητα (P2-P3)

- **Docker Sandbox Mode**: Δυνατότητα εκτέλεσης σε εφήμερα κοντέινερ.
- **Signed Configuration**: Επαλήθευση ακεραιότητας αρχείων ρυθμίσεων.
- **SIEM Integration**: Εξαγωγή καταγραφών σε πρότυπα συμβατά με συστήματα παρακολούθησης ασφαλείας.

---

## 5. Συμμετοχή και Αναφορά Ευπαθειών

Εάν εντοπίσετε κενό ασφαλείας, παρακαλούμε ακολουθήστε τη διαδικασία **Private Disclosure** που περιγράφεται στο αρχείο `SECURITY.md`. Μην ανοίγετε δημόσια issues για θέματα ασφαλείας.