نموذج التهديد (MITRE ATLAS)

إطار عمل MITRE ATLAS

الإصدار: 1.0-draft آخر تحديث: 2026-02-04 المنهجية: MITRE ATLAS + مخططات تدفق البيانات إطار العمل: MITRE ATLAS (مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي)

نسب إطار العمل

بُني نموذج التهديد هذا على MITRE ATLAS، وهو إطار العمل القياسي في الصناعة لتوثيق التهديدات العدائية لأنظمة الذكاء الاصطناعي/تعلّم الآلة. تتم صيانة ATLAS بواسطة MITRE بالتعاون مع مجتمع أمن الذكاء الاصطناعي. موارد ATLAS الرئيسية:

المساهمة في نموذج التهديد هذا

هذا مستند حيّ تتم صيانته بواسطة مجتمع OpenClaw. راجع CONTRIBUTING-THREAT-MODEL.md للاطلاع على إرشادات المساهمة:

الإبلاغ عن تهديدات جديدة
تحديث التهديدات الحالية
اقتراح سلاسل هجوم
اقتراح إجراءات تخفيف

1. المقدمة

1.1 الغرض

يوثّق نموذج التهديد هذا التهديدات العدائية لمنصة وكلاء الذكاء الاصطناعي OpenClaw وسوق Skills في ClawHub، باستخدام إطار عمل MITRE ATLAS المصمم خصيصًا لأنظمة الذكاء الاصطناعي/تعلّم الآلة.

1.2 النطاق

المكوّن	مشمول	ملاحظات
بيئة تشغيل وكيل OpenClaw	نعم	تنفيذ الوكيل الأساسي، استدعاءات الأدوات، الجلسات
Gateway	نعم	المصادقة، التوجيه، تكامل القنوات
تكاملات القنوات	نعم	WhatsApp، Telegram، Discord، Signal، Slack، إلخ.
سوق ClawHub	نعم	نشر Skills، الإشراف، التوزيع
خوادم MCP	نعم	مزوّدو الأدوات الخارجيون
أجهزة المستخدمين	جزئي	تطبيقات الأجهزة المحمولة، عملاء سطح المكتب

1.3 خارج النطاق

لا يوجد شيء خارج نطاق نموذج التهديد هذا صراحةً.

2. بنية النظام

2.1 حدود الثقة

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 تدفقات البيانات

التدفق	المصدر	الوجهة	البيانات	الحماية
F1	القناة	Gateway	رسائل المستخدم	TLS، AllowFrom
F2	Gateway	الوكيل	الرسائل الموجّهة	عزل الجلسات
F3	الوكيل	الأدوات	استدعاءات الأدوات	فرض السياسة
F4	الوكيل	خارجي	طلبات web_fetch	حظر SSRF
F5	ClawHub	الوكيل	شيفرة Skill	الإشراف، الفحص
F6	الوكيل	القناة	الردود	تصفية المخرجات

3. تحليل التهديدات حسب تكتيك ATLAS

3.1 الاستطلاع (AML.TA0002)

T-RECON-001: اكتشاف نقطة نهاية الوكيل

السمة	القيمة
معرّف ATLAS	AML.T0006 - الفحص النشط
الوصف	يفحص المهاجم نقاط نهاية Gateway المكشوفة في OpenClaw
متجه الهجوم	فحص الشبكة، استعلامات shodan، تعداد DNS
المكوّنات المتأثرة	Gateway، نقاط نهاية API المكشوفة
إجراءات التخفيف الحالية	خيار مصادقة Tailscale، الربط بـ local loopback افتراضيًا
الخطر المتبقي	متوسط - يمكن اكتشاف البوابات العامة
التوصيات	توثيق النشر الآمن، إضافة تحديد معدل على نقاط نهاية الاكتشاف

T-RECON-002: اختبار تكامل القنوات

السمة	القيمة
معرّف ATLAS	AML.T0006 - الفحص النشط
الوصف	يجسّ المهاجم قنوات المراسلة لتحديد الحسابات المُدارة بالذكاء الاصطناعي
متجه الهجوم	إرسال رسائل اختبار، ومراقبة أنماط الاستجابة
المكونات المتأثرة	جميع تكاملات القنوات
التخفيفات الحالية	لا توجد إجراءات محددة
الخطر المتبقي	منخفض - قيمة محدودة من الاكتشاف وحده
التوصيات	النظر في عشوائية توقيت الاستجابة

3.2 الوصول الأولي (AML.TA0004)

T-ACCESS-001: اعتراض رمز الاقتران

السمة	القيمة
معرّف ATLAS	AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف	يعترض المهاجم رمز الاقتران أثناء فترة سماح الاقتران (1h لاقتران قناة DM، و5m لاقتران Node)
متجه الهجوم	التطفل البصري، والتنصت على الشبكة، والهندسة الاجتماعية
المكونات المتأثرة	نظام اقتران الأجهزة
التخفيفات الحالية	انتهاء الصلاحية بعد 1h (اقتران DM) / انتهاء الصلاحية بعد 5m (اقتران Node)، وتُرسل الرموز عبر القناة الحالية
الخطر المتبقي	متوسط - فترة السماح قابلة للاستغلال
التوصيات	تقليل فترة السماح، وإضافة خطوة تأكيد

T-ACCESS-002: انتحال AllowFrom

السمة	القيمة
معرّف ATLAS	AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف	ينتحل المهاجم هوية المرسل المسموح بها في القناة
متجه الهجوم	يعتمد على القناة - انتحال رقم الهاتف، وانتحال اسم المستخدم
المكونات المتأثرة	التحقق من AllowFrom لكل قناة
التخفيفات الحالية	التحقق من الهوية حسب القناة
الخطر المتبقي	متوسط - بعض القنوات عرضة للانتحال
التوصيات	توثيق المخاطر الخاصة بكل قناة، وإضافة تحقق تشفيري حيثما أمكن

T-ACCESS-003: سرقة الرمز المميز

السمة	القيمة
معرّف ATLAS	AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف	يسرق المهاجم رموز المصادقة من ملفات التكوين
متجه الهجوم	برمجيات خبيثة، وصول غير مصرح به إلى الجهاز، انكشاف نسخ التكوين الاحتياطية
المكونات المتأثرة	~/.openclaw/credentials/، تخزين التكوين
التخفيفات الحالية	أذونات الملفات
الخطر المتبقي	مرتفع - الرموز المميزة مخزنة بنص صريح
التوصيات	تنفيذ تشفير الرموز المميزة أثناء السكون، وإضافة تدوير للرموز

3.3 التنفيذ (AML.TA0005)

T-EXEC-001: حقن موجه مباشر

السمة	القيمة
معرّف ATLAS	AML.T0051.000 - حقن موجه LLM: مباشر
الوصف	يرسل المهاجم موجهات مصممة للتلاعب بسلوك الوكيل
متجه الهجوم	رسائل القنوات التي تحتوي على تعليمات عدائية
المكونات المتأثرة	LLM الخاص بالوكيل، وجميع أسطح الإدخال
التخفيفات الحالية	اكتشاف الأنماط، وتغليف المحتوى الخارجي
الخطر المتبقي	حرج - اكتشاف فقط، بلا حظر؛ الهجمات المتقدمة تتجاوزه
التوصيات	تنفيذ دفاع متعدد الطبقات، والتحقق من المخرجات، وتأكيد المستخدم للإجراءات الحساسة

T-EXEC-002: حقن موجه غير مباشر

السمة	القيمة
معرّف ATLAS	AML.T0051.001 - حقن موجه LLM: غير مباشر
الوصف	يضمّن المهاجم تعليمات خبيثة في المحتوى المُجلَب
متجه الهجوم	عناوين URL خبيثة، ورسائل بريد إلكتروني مسمومة، وWebhooks مخترقة
المكونات المتأثرة	web_fetch، واستيعاب البريد الإلكتروني، ومصادر البيانات الخارجية
التخفيفات الحالية	تغليف المحتوى بوسوم XML وإشعار أمني
الخطر المتبقي	مرتفع - قد يتجاهل LLM تعليمات التغليف
التوصيات	تنفيذ تنقية المحتوى، وفصل سياقات التنفيذ

T-EXEC-003: حقن وسيطات الأداة

السمة	القيمة
معرّف ATLAS	AML.T0051.000 - حقن موجه LLM: مباشر
الوصف	يتلاعب المهاجم بوسيطات الأداة من خلال حقن الموجه
متجه الهجوم	موجهات مصممة تؤثر في قيم معلمات الأداة
المكونات المتأثرة	جميع استدعاءات الأدوات
التخفيفات الحالية	موافقات Exec للأوامر الخطرة
الخطر المتبقي	مرتفع - يعتمد على تقدير المستخدم
التوصيات	تنفيذ التحقق من الوسيطات، واستدعاءات أدوات ذات معلمات

T-EXEC-004: تجاوز موافقة Exec

السمة	القيمة
معرّف ATLAS	AML.T0043 - صياغة بيانات عدائية
الوصف	يصوغ المهاجم أوامر تتجاوز قائمة السماح للموافقات
متجه الهجوم	تعمية الأوامر، واستغلال الأسماء المستعارة، والتلاعب بالمسارات
المكونات المتأثرة	exec-approvals.ts، قائمة السماح للأوامر
التخفيفات الحالية	قائمة السماح + وضع السؤال
الخطر المتبقي	مرتفع - لا توجد تنقية للأوامر
التوصيات	تنفيذ تطبيع الأوامر، وتوسيع قائمة الحظر

3.4 الاستمرارية (AML.TA0006)

T-PERSIST-001: تثبيت Skill خبيثة

السمة	القيمة
معرّف ATLAS	AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي
الوصف	ينشر المهاجم Skill خبيثة إلى ClawHub
متجه الهجوم	إنشاء حساب، ونشر Skill تحتوي على شيفرة خبيثة مخفية
المكونات المتأثرة	ClawHub، وتحميل Skill، وتنفيذ الوكيل
التخفيفات الحالية	التحقق من عمر حساب GitHub، وأعلام الإشراف القائمة على الأنماط
الخطر المتبقي	حرج - لا توجد بيئة عزل، ومراجعة محدودة
التوصيات	تكامل VirusTotal (قيد التنفيذ)، وعزل Skill، ومراجعة المجتمع

T-PERSIST-002: تسميم تحديث Skill

السمة	القيمة
معرّف ATLAS	AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي
الوصف	يخترق المهاجم Skill شائعة ويدفع تحديثًا خبيثًا
متجه الهجوم	اختراق الحساب، والهندسة الاجتماعية لمالك Skill
المكونات المتأثرة	إدارة إصدارات ClawHub، وتدفقات التحديث التلقائي
التخفيفات الحالية	بصمة الإصدار
الخطر المتبقي	مرتفع - قد تسحب التحديثات التلقائية إصدارات خبيثة
التوصيات	تنفيذ توقيع التحديثات، وإمكانية التراجع، وتثبيت الإصدارات

T-PERSIST-003: العبث بتكوين الوكيل

السمة	القيمة
معرّف ATLAS	AML.T0010.002 - اختراق سلسلة التوريد: البيانات
الوصف	يعدّل المهاجم تكوين الوكيل لاستدامة الوصول
متجه الهجوم	تعديل ملف التكوين، وحقن الإعدادات
المكونات المتأثرة	تكوين الوكيل، وسياسات الأدوات
التخفيفات الحالية	أذونات الملفات
الخطر المتبقي	متوسط - يتطلب وصولًا محليًا
التوصيات	التحقق من سلامة التكوين، وتسجيل تدقيق لتغييرات التكوين

3.5 التهرب الدفاعي (AML.TA0007)

T-EVADE-001: تجاوز أنماط الإشراف

السمة	القيمة
معرّف ATLAS	AML.T0043 - صياغة بيانات عدائية
الوصف	يصوغ المهاجم محتوى Skill للتهرب من أنماط الإشراف
متجه الهجوم	محارف Unicode متشابهة الشكل، وحيل الترميز، والتحميل الديناميكي
المكونات المتأثرة	moderation.ts في ClawHub
التخفيفات الحالية	FLAG_RULES القائمة على الأنماط
الخطر المتبقي	مرتفع - يمكن تجاوز regex بسيط بسهولة
التوصيات	إضافة تحليل سلوكي (VirusTotal Code Insight)، واكتشاف قائم على AST

T-EVADE-002: الهروب من غلاف المحتوى

السمة	القيمة
معرّف ATLAS	AML.T0043 - صياغة بيانات عدائية
الوصف	يصوغ المهاجم محتوى يخرج من سياق غلاف XML
متجه الهجوم	التلاعب بالوسوم، إرباك السياق، تجاوز التعليمات
المكونات المتأثرة	تغليف المحتوى الخارجي
التخفيفات الحالية	وسوم XML + إشعار أمني
الخطر المتبقي	متوسط - تُكتشف طرق خروج جديدة بانتظام
التوصيات	طبقات تغليف متعددة، تحقق من جهة الإخراج

3.6 الاكتشاف (AML.TA0008)

T-DISC-001: تعداد الأدوات

السمة	القيمة
معرّف ATLAS	AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف	يعدّد المهاجم الأدوات المتاحة عبر التوجيهات
متجه الهجوم	استعلامات بأسلوب “ما الأدوات التي لديك؟“
المكونات المتأثرة	سجل أدوات الوكيل
التخفيفات الحالية	لا يوجد شيء محدد
الخطر المتبقي	منخفض - الأدوات موثقة عموما
التوصيات	النظر في ضوابط إظهار الأدوات

T-DISC-002: استخراج بيانات الجلسة

السمة	القيمة
معرّف ATLAS	AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف	يستخرج المهاجم بيانات حساسة من سياق الجلسة
متجه الهجوم	استعلامات “ماذا ناقشنا؟”، استكشاف السياق
المكونات المتأثرة	نصوص الجلسات، نافذة السياق
التخفيفات الحالية	عزل الجلسة لكل مرسل
الخطر المتبقي	متوسط - يمكن الوصول إلى بيانات داخل الجلسة
التوصيات	تنفيذ تنقيح البيانات الحساسة في السياق

3.7 الجمع والإخراج غير المصرح به (AML.TA0009, AML.TA0010)

T-EXFIL-001: سرقة البيانات عبر web_fetch

السمة	القيمة
معرّف ATLAS	AML.T0009 - الجمع
الوصف	يخرج المهاجم البيانات بإصدار تعليمات للوكيل لإرسالها إلى URL خارجي
متجه الهجوم	حقن توجيه يجعل الوكيل يرسل البيانات عبر POST إلى خادم المهاجم
المكونات المتأثرة	أداة web_fetch
التخفيفات الحالية	حظر SSRF للشبكات الداخلية
الخطر المتبقي	عال - عناوين URL الخارجية مسموح بها
التوصيات	تنفيذ قوائم السماح لعناوين URL، الوعي بتصنيف البيانات

T-EXFIL-002: إرسال رسائل غير مصرح به

السمة	القيمة
معرّف ATLAS	AML.T0009 - الجمع
الوصف	يجعل المهاجم الوكيل يرسل رسائل تحتوي على بيانات حساسة
متجه الهجوم	حقن توجيه يجعل الوكيل يرسل رسالة إلى المهاجم
المكونات المتأثرة	أداة الرسائل، تكاملات القنوات
التخفيفات الحالية	ضبط الرسائل الصادرة
الخطر المتبقي	متوسط - قد يتم تجاوز الضبط
التوصيات	طلب تأكيد صريح للمستلمين الجدد

T-EXFIL-003: جمع بيانات الاعتماد

السمة	القيمة
معرّف ATLAS	AML.T0009 - الجمع
الوصف	Skill خبيثة تجمع بيانات الاعتماد من سياق الوكيل
متجه الهجوم	تقرأ شيفرة Skill متغيرات البيئة وملفات الإعدادات
المكونات المتأثرة	بيئة تنفيذ Skill
التخفيفات الحالية	لا يوجد شيء محدد لـ Skills
الخطر المتبقي	حرج - تعمل Skills بصلاحيات الوكيل
التوصيات	عزل Skills، عزل بيانات الاعتماد

3.8 الأثر (AML.TA0011)

T-IMPACT-001: تنفيذ أوامر غير مصرح به

السمة	القيمة
معرّف ATLAS	AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي
الوصف	ينفذ المهاجم أوامر عشوائية على نظام المستخدم
متجه الهجوم	حقن توجيه مع تجاوز موافقة exec
المكونات المتأثرة	أداة Bash، تنفيذ الأوامر
التخفيفات الحالية	موافقات exec، خيار عزل Docker
الخطر المتبقي	حرج - تنفيذ على المضيف دون عزل
التوصيات	جعل العزل هو الافتراضي، تحسين تجربة الموافقة

T-IMPACT-002: استنزاف الموارد (DoS)

السمة	القيمة
معرّف ATLAS	AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي
الوصف	يستنزف المهاجم أرصدة API أو موارد الحوسبة
متجه الهجوم	إغراق آلي بالرسائل، استدعاءات أدوات مكلفة
المكونات المتأثرة	Gateway، جلسات الوكيل، مزود API
التخفيفات الحالية	لا يوجد
الخطر المتبقي	عال - لا توجد حدود للمعدل
التوصيات	تنفيذ حدود معدل لكل مرسل، ميزانيات تكلفة

T-IMPACT-003: الإضرار بالسمعة

السمة	القيمة
معرّف ATLAS	AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي
الوصف	يجعل المهاجم الوكيل يرسل محتوى ضارا/مسيئا
متجه الهجوم	حقن توجيه يسبب ردودا غير ملائمة
المكونات المتأثرة	توليد المخرجات، رسائل القنوات
التخفيفات الحالية	سياسات محتوى مزود LLM
الخطر المتبقي	متوسط - مرشحات المزود غير مثالية
التوصيات	طبقة ترشيح للمخرجات، ضوابط للمستخدم

4. تحليل سلسلة توريد ClawHub

4.1 ضوابط الأمان الحالية

الضابط	التنفيذ	الفاعلية
عمر حساب GitHub	`requireGitHubAccountAge()`	متوسط - يرفع العائق أمام المهاجمين الجدد
تطهير المسار	`sanitizePath()`	عال - يمنع اجتياز المسارات
التحقق من نوع الملف	`isTextFile()`	متوسط - ملفات نصية فقط، لكنها قد تبقى خبيثة
حدود الحجم	إجمالي الحزمة 50MB	عال - يمنع استنزاف الموارد
SKILL.md مطلوب	ملف تمهيدي إلزامي	قيمة أمنية منخفضة - معلومات فقط
ضبط الأنماط	FLAG_RULES في moderation.ts	منخفض - يسهل تجاوزه
حالة الضبط	حقل `moderationStatus`	متوسط - المراجعة اليدوية ممكنة

4.2 أنماط إشارات الضبط

الأنماط الحالية في moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

القيود:

يفحص فقط slug وdisplayName والملخص وfrontmatter والبيانات الوصفية ومسارات الملفات
لا يحلل محتوى شيفرة Skill الفعلي
تعبيرات regex بسيطة يسهل تجاوزها بالإخفاء
لا يوجد تحليل سلوكي

4.3 التحسينات المخطط لها

التحسين	الحالة	الأثر
تكامل VirusTotal	قيد التنفيذ	عال - تحليل سلوكي عبر Code Insight
الإبلاغ المجتمعي	جزئي (جدول `skillReports` موجود)	متوسط
تسجيل التدقيق	جزئي (جدول `auditLogs` موجود)	متوسط
نظام الشارات	منفذ	متوسط - `highlighted`, `official`, `deprecated`, `redactionApproved`

5. مصفوفة المخاطر

5.1 الاحتمالية مقابل الأثر

معرّف التهديد	الاحتمالية	الأثر	مستوى الخطر	الأولوية
T-EXEC-001	عالية	حرج	حرج	P0
T-PERSIST-001	عالية	حرج	حرج	P0
T-EXFIL-003	متوسطة	حرج	حرج	P0
T-IMPACT-001	متوسطة	حرج	عال	P1
T-EXEC-002	عالية	عال	عال	P1
T-EXEC-004	متوسطة	عال	عال	P1
T-ACCESS-003	متوسطة	عال	عال	P1
T-EXFIL-001	متوسطة	عال	عال	P1
T-IMPACT-002	عالية	متوسط	عال	P1
T-EVADE-001	عالية	متوسط	متوسط	P2
T-ACCESS-001	منخفضة	عال	متوسط	P2
T-ACCESS-002	منخفضة	عال	متوسط	P2
T-PERSIST-002	منخفضة	عال	متوسط	P2

5.2 سلاسل الهجوم ذات المسار الحرج

سلسلة الهجوم 1: سرقة بيانات قائمة على Skill

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

سلسلة الهجوم 2: حقن توجيه إلى RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

سلسلة الهجوم 3: حقن غير مباشر عبر محتوى مجلوب

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. ملخص التوصيات

6.1 فوري (P0)

المعرّف	التوصية	يعالج
R-001	إكمال تكامل VirusTotal	T-PERSIST-001, T-EVADE-001
R-002	تنفيذ عزل المهارات	T-PERSIST-001, T-EXFIL-003
R-003	إضافة تحقق من المخرجات للإجراءات الحساسة	T-EXEC-001, T-EXEC-002

6.2 المدى القصير (P1)

المعرّف	التوصية	يعالج
R-004	تنفيذ تحديد معدل الطلبات	T-IMPACT-002
R-005	إضافة تشفير الرموز المميزة عند التخزين	T-ACCESS-003
R-006	تحسين تجربة موافقة exec والتحقق منها	T-EXEC-004
R-007	تنفيذ قائمة سماح لعناوين URL لـ web_fetch	T-EXFIL-001

6.3 المدى المتوسط (P2)

المعرّف	التوصية	يعالج
R-008	إضافة تحقق تشفيري من القناة حيثما أمكن	T-ACCESS-002
R-009	تنفيذ تحقق من سلامة الإعدادات	T-PERSIST-003
R-010	إضافة توقيع التحديثات وتثبيت الإصدارات	T-PERSIST-002

7. الملاحق

7.1 ربط تقنيات ATLAS

معرّف ATLAS	اسم التقنية	تهديدات OpenClaw
AML.T0006	الفحص النشط	T-RECON-001, T-RECON-002
AML.T0009	الجمع	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	سلسلة التوريد: برمجيات الذكاء الاصطناعي	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	سلسلة التوريد: البيانات	T-PERSIST-003
AML.T0031	إضعاف سلامة نموذج الذكاء الاصطناعي	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	صياغة بيانات خصومية	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	حقن مطالبة LLM: مباشر	T-EXEC-001, T-EXEC-003
AML.T0051.001	حقن مطالبة LLM: غير مباشر	T-EXEC-002

7.2 ملفات الأمان الرئيسية

المسار	الغرض	مستوى الخطر
`src/infra/exec-approvals.ts`	منطق الموافقة على الأوامر	حرج
`src/gateway/auth.ts`	مصادقة Gateway	حرج
`src/infra/net/ssrf.ts`	حماية SSRF	حرج
`src/security/external-content.ts`	تخفيف حقن المطالبات	حرج
`src/agents/sandbox/tool-policy.ts`	إنفاذ سياسة الأدوات	حرج
`src/routing/resolve-route.ts`	عزل الجلسات	متوسط

7.3 مسرد المصطلحات

المصطلح	التعريف
ATLAS	مشهد MITRE للتهديدات الخصومية لأنظمة الذكاء الاصطناعي
ClawHub	سوق المهارات في OpenClaw
Gateway	طبقة توجيه الرسائل والمصادقة في OpenClaw
MCP	Model Context Protocol - واجهة موفر الأدوات
Prompt Injection	هجوم تُضمَّن فيه تعليمات ضارة في الإدخال
Skill	امتداد قابل للتنزيل لوكلاء OpenClaw
SSRF	تزوير الطلبات من جانب الخادم

نموذج التهديدات هذا مستند حي. أبلغ عن مشكلات الأمان عبر security@openclaw.ai

Gateway

Remote access

Security

Nodes and media

Web interfaces

Documentation Index

​إطار عمل MITRE ATLAS

​نسب إطار العمل

​المساهمة في نموذج التهديد هذا

​1. المقدمة

​1.1 الغرض

​1.2 النطاق

​1.3 خارج النطاق

​2. بنية النظام

​2.1 حدود الثقة

​2.2 تدفقات البيانات

​3. تحليل التهديدات حسب تكتيك ATLAS

​3.1 الاستطلاع (AML.TA0002)

​T-RECON-001: اكتشاف نقطة نهاية الوكيل

​T-RECON-002: اختبار تكامل القنوات

​3.2 الوصول الأولي (AML.TA0004)

​T-ACCESS-001: اعتراض رمز الاقتران

​T-ACCESS-002: انتحال AllowFrom

​T-ACCESS-003: سرقة الرمز المميز

​3.3 التنفيذ (AML.TA0005)

​T-EXEC-001: حقن موجه مباشر

​T-EXEC-002: حقن موجه غير مباشر

​T-EXEC-003: حقن وسيطات الأداة

​T-EXEC-004: تجاوز موافقة Exec

​3.4 الاستمرارية (AML.TA0006)

​T-PERSIST-001: تثبيت Skill خبيثة

​T-PERSIST-002: تسميم تحديث Skill

​T-PERSIST-003: العبث بتكوين الوكيل

​3.5 التهرب الدفاعي (AML.TA0007)

​T-EVADE-001: تجاوز أنماط الإشراف

​T-EVADE-002: الهروب من غلاف المحتوى

​3.6 الاكتشاف (AML.TA0008)

​T-DISC-001: تعداد الأدوات

​T-DISC-002: استخراج بيانات الجلسة

​3.7 الجمع والإخراج غير المصرح به (AML.TA0009, AML.TA0010)

​T-EXFIL-001: سرقة البيانات عبر web_fetch

​T-EXFIL-002: إرسال رسائل غير مصرح به

​T-EXFIL-003: جمع بيانات الاعتماد

​3.8 الأثر (AML.TA0011)

​T-IMPACT-001: تنفيذ أوامر غير مصرح به

​T-IMPACT-002: استنزاف الموارد (DoS)

​T-IMPACT-003: الإضرار بالسمعة

​4. تحليل سلسلة توريد ClawHub

​4.1 ضوابط الأمان الحالية

​4.2 أنماط إشارات الضبط

​4.3 التحسينات المخطط لها

​5. مصفوفة المخاطر

​5.1 الاحتمالية مقابل الأثر

​5.2 سلاسل الهجوم ذات المسار الحرج

​6. ملخص التوصيات

​6.1 فوري (P0)

​6.2 المدى القصير (P1)

​6.3 المدى المتوسط (P2)

​7. الملاحق

​7.1 ربط تقنيات ATLAS

​7.2 ملفات الأمان الرئيسية

​7.3 مسرد المصطلحات

​ذو صلة