نموذج التهديد لـ OpenClaw الإصدار 1.0

إطار MITRE ATLAS

الإصدار: 1.0-draft آخر تحديث: 2026-02-04 المنهجية: MITRE ATLAS + مخططات تدفق البيانات الإطار: MITRE ATLAS (مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي)

نسبة الإطار

يعتمد نموذج التهديد هذا على MITRE ATLAS، وهو الإطار القياسي في الصناعة لتوثيق التهديدات العدائية لأنظمة الذكاء الاصطناعي/تعلّم الآلة. تتم صيانة ATLAS بواسطة MITRE بالتعاون مع مجتمع أمن الذكاء الاصطناعي. موارد ATLAS الأساسية:

المساهمة في نموذج التهديد هذا

هذه وثيقة حيّة يصونها مجتمع OpenClaw. راجع CONTRIBUTING-THREAT-MODEL.md للاطلاع على إرشادات المساهمة:

الإبلاغ عن تهديدات جديدة
تحديث التهديدات الحالية
اقتراح سلاسل الهجوم
اقتراح وسائل التخفيف

1. المقدمة

1.1 الغرض

يوثّق نموذج التهديد هذا التهديدات العدائية لمنصة وكيل الذكاء الاصطناعي OpenClaw وسوق Skills الخاص بـ ClawHub، باستخدام إطار MITRE ATLAS المصمم خصيصًا لأنظمة الذكاء الاصطناعي/تعلّم الآلة.

1.2 النطاق

المكوّن	مشمول	ملاحظات
بيئة تشغيل وكيل OpenClaw	نعم	تنفيذ الوكيل الأساسي، واستدعاءات الأدوات، والجلسات
Gateway	نعم	المصادقة، والتوجيه، ودمج القنوات
تكاملات القنوات	نعم	WhatsApp وTelegram وDiscord وSignal وSlack وغيرها
سوق ClawHub	نعم	نشر Skills، والإشراف، والتوزيع
خوادم MCP	نعم	موفرو الأدوات الخارجيون
أجهزة المستخدم	جزئي	تطبيقات الهاتف المحمول، وعملاء سطح المكتب

1.3 خارج النطاق

لا يوجد أي شيء خارج النطاق صراحةً في نموذج التهديد هذا.

2. بنية النظام

2.1 حدود الثقة

┌─────────────────────────────────────────────────────────────────┐
│                    ZONE غير موثوق بها                            │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 حد الثقة 1: وصول القناة                           │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • إقران الأجهزة (فترة سماح ساعة واحدة للرسائل المباشرة / 5 دقائق للعقدة) │   │
│  │  • التحقق من AllowFrom / AllowList                       │   │
│  │  • مصادقة الرمز المميز/كلمة المرور/Tailscale            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 حد الثقة 2: عزل الجلسات                          │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   جلسات الوكيل                            │   │
│  │  • مفتاح الجلسة = agent:channel:peer                     │   │
│  │  • سياسات الأدوات لكل وكيل                               │   │
│  │  • تسجيل النصوص                                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 حد الثقة 3: تنفيذ الأدوات                        │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  صندوق تنفيذ معزول                        │   │
│  │  • صندوق Docker معزول أو Host (exec-approvals)           │   │
│  │  • تنفيذ Node عن بُعد                                     │   │
│  │  • حماية SSRF (تثبيت DNS + حظر IP)                       │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 حد الثقة 4: المحتوى الخارجي                      │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              عناوين URL / الرسائل الإلكترونية / webhooks المُجلَبة │   │
│  │  • تغليف المحتوى الخارجي (وسوم XML)                     │   │
│  │  • حقن إشعار أمني                                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 حد الثقة 5: سلسلة التوريد                        │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • نشر Skills (semver، وSKILL.md مطلوب)                 │   │
│  │  • علامات إشراف قائمة على الأنماط                       │   │
│  │  • فحص VirusTotal (قريبًا)                              │   │
│  │  • التحقق من عمر حساب GitHub                            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 تدفقات البيانات

التدفق	المصدر	الوجهة	البيانات	الحماية
F1	القناة	Gateway	رسائل المستخدم	TLS، AllowFrom
F2	Gateway	الوكيل	الرسائل الموجّهة	عزل الجلسات
F3	الوكيل	الأدوات	استدعاءات الأدوات	فرض السياسات
F4	الوكيل	خارجي	طلبات `web_fetch`	حظر SSRF
F5	ClawHub	الوكيل	شيفرة Skills	الإشراف، والفحص
F6	الوكيل	القناة	الردود	ترشيح المخرجات

3. تحليل التهديد حسب تكتيك ATLAS

3.1 الاستطلاع (AML.TA0002)

T-RECON-001: اكتشاف نقاط نهاية الوكيل

السمة	القيمة
معرّف ATLAS	AML.T0006 - الفحص النشط
الوصف	يفحص المهاجم نقاط نهاية Gateway المكشوفة الخاصة بـ OpenClaw
متجه الهجوم	فحص الشبكة، واستعلامات shodan، وتعداد DNS
المكوّنات المتأثرة	Gateway، ونقاط نهاية API المكشوفة
وسائل التخفيف الحالية	خيار مصادقة Tailscale، والربط بـ loopback افتراضيًا
المخاطر المتبقية	متوسطة - يمكن اكتشاف البوابات العامة
التوصيات	توثيق النشر الآمن، وإضافة تحديد المعدّل على نقاط نهاية الاكتشاف

T-RECON-002: جسّ تكاملات القنوات

السمة	القيمة
معرّف ATLAS	AML.T0006 - الفحص النشط
الوصف	يجسّ المهاجم قنوات المراسلة لتحديد الحسابات التي يديرها الذكاء الاصطناعي
متجه الهجوم	إرسال رسائل اختبار، ومراقبة أنماط الاستجابة
المكوّنات المتأثرة	جميع تكاملات القنوات
وسائل التخفيف الحالية	لا شيء محدد
المخاطر المتبقية	منخفضة - قيمة محدودة من الاكتشاف وحده
التوصيات	النظر في عشوائية توقيت الاستجابة

3.2 الوصول الأولي (AML.TA0004)

T-ACCESS-001: اعتراض رمز الإقران

السمة	القيمة
معرّف ATLAS	AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف	يعترض المهاجم رمز الإقران أثناء فترة سماح الإقران (ساعة واحدة لإقران قناة الرسائل المباشرة، و5 دقائق لإقران العقدة)
متجه الهجوم	التلصص من فوق الكتف، والتقاط حركة الشبكة، والهندسة الاجتماعية
المكوّنات المتأثرة	نظام إقران الأجهزة
وسائل التخفيف الحالية	انتهاء خلال ساعة واحدة (إقران الرسائل المباشرة) / 5 دقائق (إقران العقدة)، وإرسال الرموز عبر القناة الحالية
المخاطر المتبقية	متوسطة - يمكن استغلال فترة السماح
التوصيات	تقليل فترة السماح، وإضافة خطوة تأكيد

T-ACCESS-002: انتحال AllowFrom

السمة	القيمة
معرّف ATLAS	AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف	ينتحل المهاجم هوية مرسل مسموح به في القناة
متجه الهجوم	يعتمد على القناة - انتحال رقم الهاتف، أو انتحال اسم المستخدم
المكوّنات المتأثرة	التحقق من AllowFrom لكل قناة
وسائل التخفيف الحالية	التحقق من الهوية الخاص بكل قناة
المخاطر المتبقية	متوسطة - بعض القنوات عرضة للانتحال
التوصيات	توثيق المخاطر الخاصة بكل قناة، وإضافة تحقق تشفيري حيثما أمكن

T-ACCESS-003: سرقة الرموز المميزة

السمة	القيمة
معرّف ATLAS	AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف	يسرق المهاجم رموز المصادقة المميزة من ملفات التكوين
متجه الهجوم	برمجيات خبيثة، أو وصول غير مصرّح به إلى الجهاز، أو انكشاف نسخ احتياطية للتكوين
المكوّنات المتأثرة	`~/.openclaw/credentials/`، وتخزين التكوين
وسائل التخفيف الحالية	أذونات الملفات
المخاطر المتبقية	مرتفعة - تُخزَّن الرموز المميزة كنص عادي
التوصيات	تنفيذ تشفير الرموز المميزة أثناء السكون، وإضافة تدوير للرموز المميزة

3.3 التنفيذ (AML.TA0005)

T-EXEC-001: حقن أوامر مباشر

السمة	القيمة
معرّف ATLAS	AML.T0051.000 - حقن أوامر LLM: مباشر
الوصف	يرسل المهاجم أوامر مُصاغة بعناية للتلاعب بسلوك الوكيل
متجه الهجوم	رسائل القنوات التي تحتوي على تعليمات عدائية
المكوّنات المتأثرة	LLM الخاص بالوكيل، وجميع أسطح الإدخال
وسائل التخفيف الحالية	كشف الأنماط، وتغليف المحتوى الخارجي
المخاطر المتبقية	حرجة - يوجد كشف فقط دون حظر؛ والهجمات المتطورة تتجاوز ذلك
التوصيات	تنفيذ دفاع متعدد الطبقات، والتحقق من المخرجات، وتأكيد المستخدم للإجراءات الحساسة

T-EXEC-002: حقن أوامر غير مباشر

السمة	القيمة
معرّف ATLAS	AML.T0051.001 - حقن أوامر LLM: غير مباشر
الوصف	يضمّن المهاجم تعليمات خبيثة في المحتوى المُجلَب
متجه الهجوم	عناوين URL خبيثة، ورسائل إلكترونية مسمّمة، وwebhooks مخترَقة
المكوّنات المتأثرة	`web_fetch`، واستيعاب البريد الإلكتروني، ومصادر البيانات الخارجية
وسائل التخفيف الحالية	تغليف المحتوى بوسوم XML وإشعار أمني
المخاطر المتبقية	مرتفعة - قد يتجاهل LLM تعليمات الغلاف
التوصيات	تنفيذ تعقيم المحتوى، وفصل سياقات التنفيذ

T-EXEC-003: حقن وسائط الأدوات

السمة	القيمة
معرّف ATLAS	AML.T0051.000 - حقن أوامر LLM: مباشر
الوصف	يتلاعب المهاجم بوسائط الأدوات عبر حقن الأوامر
متجه الهجوم	أوامر مُصاغة بعناية تؤثر في قيم معلمات الأداة
المكوّنات المتأثرة	جميع استدعاءات الأدوات
وسائل التخفيف الحالية	موافقات التنفيذ للأوامر الخطرة
المخاطر المتبقية	مرتفعة - تعتمد على تقدير المستخدم
التوصيات	تنفيذ التحقق من الوسائط، واستدعاءات أدوات مُعلَّمة بمعلمات

T-EXEC-004: تجاوز موافقة التنفيذ

السمة	القيمة
معرّف ATLAS	AML.T0043 - صياغة بيانات عدائية
الوصف	يصوغ المهاجم أوامر تتجاوز قائمة السماح الخاصة بالموافقة
متجه الهجوم	تمويه الأوامر، واستغلال الأسماء المستعارة، والتلاعب بالمسارات
المكوّنات المتأثرة	`exec-approvals.ts`، وقائمة السماح للأوامر
وسائل التخفيف الحالية	قائمة السماح + وضع السؤال
المخاطر المتبقية	مرتفعة - لا يوجد تعقيم للأوامر
التوصيات	تنفيذ تطبيع الأوامر، وتوسيع قائمة الحظر

3.4 الاستمرارية (AML.TA0006)

T-PERSIST-001: تثبيت Skill خبيث

السمة	القيمة
معرّف ATLAS	AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي
الوصف	ينشر المهاجم Skill خبيثًا إلى ClawHub
متجه الهجوم	إنشاء حساب، ونشر Skill يحتوي على شيفرة خبيثة مخفية
المكوّنات المتأثرة	ClawHub، وتحميل Skills، وتنفيذ الوكيل
وسائل التخفيف الحالية	التحقق من عمر حساب GitHub، وعلامات الإشراف القائمة على الأنماط
المخاطر المتبقية	حرجة - لا يوجد عزل، والمراجعة محدودة
التوصيات	دمج VirusTotal (قيد التنفيذ)، وعزل Skills، ومراجعة مجتمعية

T-PERSIST-002: تسميم تحديث Skill

السمة	القيمة
معرّف ATLAS	AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي
الوصف	يخترق المهاجم Skill شائعًا ويدفع تحديثًا خبيثًا
متجه الهجوم	اختراق الحساب، أو الهندسة الاجتماعية لمالك Skill
المكوّنات المتأثرة	إدارة الإصدارات في ClawHub، وتدفقات التحديث التلقائي
وسائل التخفيف الحالية	بصمة الإصدار
المخاطر المتبقية	مرتفعة - قد تجلب التحديثات التلقائية إصدارات خبيثة
التوصيات	تنفيذ توقيع التحديثات، وإمكانية التراجع، وتثبيت الإصدارات

T-PERSIST-003: العبث بتكوين الوكيل

السمة	القيمة
معرّف ATLAS	AML.T0010.002 - اختراق سلسلة التوريد: البيانات
الوصف	يعدّل المهاجم تكوين الوكيل للإبقاء على الوصول
متجه الهجوم	تعديل ملف التكوين، وحقن الإعدادات
المكوّنات المتأثرة	تكوين الوكيل، وسياسات الأدوات
وسائل التخفيف الحالية	أذونات الملفات
المخاطر المتبقية	متوسطة - يتطلب وصولًا محليًا
التوصيات	التحقق من سلامة التكوين، وتسجيل تدقيق لتغييرات التكوين

3.5 التهرب من الدفاعات (AML.TA0007)

T-EVADE-001: تجاوز نمط الإشراف

السمة	القيمة
معرّف ATLAS	AML.T0043 - صياغة بيانات عدائية
الوصف	يصوغ المهاجم محتوى Skill للتهرب من أنماط الإشراف
متجه الهجوم	محارف Unicode المتشابهة، وحيل الترميز، والتحميل الديناميكي
المكوّنات المتأثرة	`moderation.ts` في ClawHub
وسائل التخفيف الحالية	`FLAG_RULES` القائم على الأنماط
المخاطر المتبقية	مرتفعة - يمكن تجاوز regex البسيط بسهولة
التوصيات	إضافة تحليل سلوكي (VirusTotal Code Insight)، واكتشاف قائم على AST

T-EVADE-002: الهروب من غلاف المحتوى

السمة	القيمة
معرّف ATLAS	AML.T0043 - صياغة بيانات عدائية
الوصف	يصوغ المهاجم محتوى يفلت من سياق غلاف XML
متجه الهجوم	التلاعب بالوسوم، وتشويش السياق، وتجاوز التعليمات
المكوّنات المتأثرة	تغليف المحتوى الخارجي
وسائل التخفيف الحالية	وسوم XML + إشعار أمني
المخاطر المتبقية	متوسطة - تُكتشف بانتظام أساليب هروب جديدة
التوصيات	طبقات تغليف متعددة، والتحقق من جهة المخرجات

3.6 الاكتشاف (AML.TA0008)

T-DISC-001: تعداد الأدوات

السمة	القيمة
معرّف ATLAS	AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف	يُعدّد المهاجم الأدوات المتاحة عبر الأوامر
متجه الهجوم	استعلامات من نمط “ما الأدوات التي لديك؟“
المكوّنات المتأثرة	سجل أدوات الوكيل
وسائل التخفيف الحالية	لا شيء محدد
المخاطر المتبقية	منخفضة - الأدوات موثقة عمومًا
التوصيات	النظر في ضوابط إظهار الأدوات

T-DISC-002: استخراج بيانات الجلسة

السمة	القيمة
معرّف ATLAS	AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف	يستخرج المهاجم بيانات حساسة من سياق الجلسة
متجه الهجوم	استعلامات “عمّ ناقشنا؟”، وجسّ السياق
المكوّنات المتأثرة	نصوص الجلسات، ونافذة السياق
وسائل التخفيف الحالية	عزل الجلسات لكل مرسل
المخاطر المتبقية	متوسطة - يمكن الوصول إلى بيانات داخل الجلسة
التوصيات	تنفيذ حجب البيانات الحساسة في السياق

3.7 الجمع والإخراج غير المصرح به للبيانات (AML.TA0009, AML.TA0010)

T-EXFIL-001: سرقة البيانات عبر web_fetch

السمة	القيمة
معرّف ATLAS	AML.T0009 - الجمع
الوصف	يسرّب المهاجم البيانات عبر توجيه الوكيل للإرسال إلى عنوان URL خارجي
متجه الهجوم	حقن أوامر يؤدي إلى جعل الوكيل يرسل طلب POST يحوي بيانات إلى خادم المهاجم
المكوّنات المتأثرة	أداة `web_fetch`
وسائل التخفيف الحالية	حظر SSRF للشبكات الداخلية
المخاطر المتبقية	مرتفعة - عناوين URL الخارجية مسموح بها
التوصيات	تنفيذ قائمة سماح لعناوين URL، وإدراك تصنيف البيانات

T-EXFIL-002: إرسال رسائل غير مصرّح به

السمة	القيمة
معرّف ATLAS	AML.T0009 - الجمع
الوصف	يتسبب المهاجم في إرسال الوكيل رسائل تحتوي على بيانات حساسة
متجه الهجوم	حقن أوامر يؤدي إلى جعل الوكيل يراسل المهاجم
المكوّنات المتأثرة	أداة الرسائل، وتكاملات القنوات
وسائل التخفيف الحالية	تقييد الرسائل الصادرة
المخاطر المتبقية	متوسطة - قد يتم تجاوز التقييد
التوصيات	اشتراط تأكيد صريح للمستلمين الجدد

T-EXFIL-003: جمع بيانات الاعتماد

السمة	القيمة
معرّف ATLAS	AML.T0009 - الجمع
الوصف	يجمع Skill خبيث بيانات الاعتماد من سياق الوكيل
متجه الهجوم	شيفرة Skill تقرأ متغيرات البيئة وملفات التكوين
المكوّنات المتأثرة	بيئة تنفيذ Skill
وسائل التخفيف الحالية	لا شيء محدد بالنسبة إلى Skills
المخاطر المتبقية	حرجة - تعمل Skills بصلاحيات الوكيل
التوصيات	عزل Skills، وعزل بيانات الاعتماد

3.8 التأثير (AML.TA0011)

T-IMPACT-001: تنفيذ أوامر غير مصرّح به

السمة	القيمة
معرّف ATLAS	AML.T0031 - تقويض سلامة نموذج الذكاء الاصطناعي
الوصف	ينفّذ المهاجم أوامر اعتباطية على نظام المستخدم
متجه الهجوم	حقن أوامر مقترن بتجاوز موافقة التنفيذ
المكوّنات المتأثرة	أداة Bash، وتنفيذ الأوامر
وسائل التخفيف الحالية	موافقات التنفيذ، وخيار صندوق Docker المعزول
المخاطر المتبقية	حرجة - تنفيذ على Host دون عزل
التوصيات	جعل العزل هو الافتراضي، وتحسين تجربة موافقة التنفيذ

T-IMPACT-002: استنزاف الموارد (DoS)

السمة	القيمة
معرّف ATLAS	AML.T0031 - تقويض سلامة نموذج الذكاء الاصطناعي
الوصف	يستنزف المهاجم أرصدة API أو موارد الحوسبة
متجه الهجوم	إغراق آلي بالرسائل، واستدعاءات أدوات مكلفة
المكوّنات المتأثرة	Gateway، وجلسات الوكيل، وموفر API
وسائل التخفيف الحالية	لا شيء
المخاطر المتبقية	مرتفعة - لا يوجد تحديد معدّل
التوصيات	تنفيذ حدود معدّل لكل مرسل، وميزانيات تكلفة

T-IMPACT-003: ضرر بالسمعة

السمة	القيمة
معرّف ATLAS	AML.T0031 - تقويض سلامة نموذج الذكاء الاصطناعي
الوصف	يتسبب المهاجم في أن يرسل الوكيل محتوى ضارًا أو مسيئًا
متجه الهجوم	حقن أوامر يؤدي إلى استجابات غير مناسبة
المكوّنات المتأثرة	توليد المخرجات، ومراسلة القنوات
وسائل التخفيف الحالية	سياسات محتوى موفري LLM
المخاطر المتبقية	متوسطة - مرشحات الموفر غير كاملة
التوصيات	طبقة ترشيح للمخرجات، وضوابط للمستخدم

4. تحليل سلسلة التوريد لـ ClawHub

4.1 ضوابط الأمان الحالية

الضابط	التنفيذ	الفاعلية
عمر حساب GitHub	`requireGitHubAccountAge()`	متوسطة - يرفع العتبة أمام المهاجمين الجدد
تعقيم المسار	`sanitizePath()`	مرتفعة - يمنع اجتياز المسار
التحقق من نوع الملف	`isTextFile()`	متوسطة - الملفات النصية فقط، لكنها قد تظل خبيثة
حدود الحجم	حزمة إجمالية 50MB	مرتفعة - يمنع استنزاف الموارد
`SKILL.md` مطلوب	ملف readme إلزامي	قيمة أمنية منخفضة - معلوماتية فقط
إشراف قائم على الأنماط	`FLAG_RULES` في `moderation.ts`	منخفضة - يسهل تجاوزه
حالة الإشراف	الحقل `moderationStatus`	متوسطة - المراجعة اليدوية ممكنة

4.2 أنماط علامات الإشراف

الأنماط الحالية في moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

القيود:

يتحقق فقط من slug وdisplayName وsummary وfrontmatter والبيانات الوصفية ومسارات الملفات
لا يحلل محتوى شيفرة Skill الفعلي
يمكن تجاوز regex البسيط بسهولة عبر الإخفاء
لا يوجد تحليل سلوكي

4.3 التحسينات المخطط لها

التحسين	الحالة	الأثر
دمج VirusTotal	قيد التنفيذ	مرتفع - تحليل سلوكي عبر Code Insight
الإبلاغ المجتمعي	جزئي (جدول `skillReports` موجود)	متوسط
تسجيل التدقيق	جزئي (جدول `auditLogs` موجود)	متوسط
نظام الشارات	مُنفّذ	متوسط - `highlighted` و`official` و`deprecated` و`redactionApproved`

5. مصفوفة المخاطر

5.1 الاحتمالية مقابل الأثر

معرّف التهديد	الاحتمالية	الأثر	مستوى المخاطر	الأولوية
T-EXEC-001	مرتفعة	حرج	حرج	P0
T-PERSIST-001	مرتفعة	حرج	حرج	P0
T-EXFIL-003	متوسطة	حرج	حرج	P0
T-IMPACT-001	متوسطة	حرج	مرتفع	P1
T-EXEC-002	مرتفعة	مرتفع	مرتفع	P1
T-EXEC-004	متوسطة	مرتفع	مرتفع	P1
T-ACCESS-003	متوسطة	مرتفع	مرتفع	P1
T-EXFIL-001	متوسطة	مرتفع	مرتفع	P1
T-IMPACT-002	مرتفعة	متوسط	مرتفع	P1
T-EVADE-001	مرتفعة	متوسط	متوسط	P2
T-ACCESS-001	منخفضة	مرتفع	متوسط	P2
T-ACCESS-002	منخفضة	مرتفع	متوسط	P2
T-PERSIST-002	منخفضة	مرتفع	متوسط	P2

5.2 سلاسل الهجوم ذات المسار الحرج

سلسلة الهجوم 1: سرقة بيانات قائمة على Skill

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(نشر Skill خبيث) → (تجاوز الإشراف) → (جمع بيانات الاعتماد)

سلسلة الهجوم 2: حقن أوامر يؤدي إلى RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(حقن أمر) → (تجاوز موافقة التنفيذ) → (تنفيذ أوامر)

سلسلة الهجوم 3: حقن غير مباشر عبر محتوى مُجلَب

T-EXEC-002 → T-EXFIL-001 → تسريب خارجي
(تسميم محتوى URL) → (يجلب الوكيل المحتوى ويتبع التعليمات) → (إرسال البيانات إلى المهاجم)

6. ملخص التوصيات

6.1 فوري (P0)

المعرّف	التوصية	تعالج
R-001	إكمال دمج VirusTotal	T-PERSIST-001, T-EVADE-001
R-002	تنفيذ عزل Skills	T-PERSIST-001, T-EXFIL-003
R-003	إضافة التحقق من المخرجات للإجراءات الحساسة	T-EXEC-001, T-EXEC-002

6.2 قصير الأجل (P1)

المعرّف	التوصية	تعالج
R-004	تنفيذ تحديد المعدّل	T-IMPACT-002
R-005	إضافة تشفير الرموز المميزة أثناء السكون	T-ACCESS-003
R-006	تحسين تجربة موافقة التنفيذ والتحقق	T-EXEC-004
R-007	تنفيذ قائمة سماح لعناوين URL لـ `web_fetch`	T-EXFIL-001

6.3 متوسط الأجل (P2)

المعرّف	التوصية	تعالج
R-008	إضافة تحقق تشفيري للقنوات حيثما أمكن	T-ACCESS-002
R-009	تنفيذ التحقق من سلامة التكوين	T-PERSIST-003
R-010	إضافة توقيع التحديثات وتثبيت الإصدارات	T-PERSIST-002

7. الملاحق

7.1 ربط تقنيات ATLAS

معرّف ATLAS	اسم التقنية	تهديدات OpenClaw
AML.T0006	الفحص النشط	T-RECON-001, T-RECON-002
AML.T0009	الجمع	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	سلسلة التوريد: برمجيات الذكاء الاصطناعي	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	سلسلة التوريد: البيانات	T-PERSIST-003
AML.T0031	تقويض سلامة نموذج الذكاء الاصطناعي	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	الوصول إلى API استدلال نموذج الذكاء الاصطناعي	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	صياغة بيانات عدائية	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	حقن أوامر LLM: مباشر	T-EXEC-001, T-EXEC-003
AML.T0051.001	حقن أوامر LLM: غير مباشر	T-EXEC-002

7.2 ملفات الأمان الأساسية

المسار	الغرض	مستوى المخاطر
`src/infra/exec-approvals.ts`	منطق الموافقة على الأوامر	حرج
`src/gateway/auth.ts`	مصادقة Gateway	حرج
`src/infra/net/ssrf.ts`	حماية SSRF	حرج
`src/security/external-content.ts`	التخفيف من حقن الأوامر	حرج
`src/agents/sandbox/tool-policy.ts`	فرض سياسة الأدوات	حرج
`src/routing/resolve-route.ts`	عزل الجلسات	متوسط

7.3 مسرد المصطلحات

المصطلح	التعريف
ATLAS	مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي لدى MITRE
ClawHub	سوق Skills الخاص بـ OpenClaw
Gateway	طبقة توجيه الرسائل والمصادقة في OpenClaw
MCP	بروتوكول سياق النموذج - واجهة موفر الأدوات
Prompt Injection	هجوم تُضمَّن فيه تعليمات خبيثة في الإدخال
Skill	امتداد قابل للتنزيل لوكلاء OpenClaw
SSRF	تزوير الطلبات من جهة الخادم

نموذج التهديد هذا وثيقة حيّة. أبلغ عن المشكلات الأمنية إلى security@openclaw.ai

Gateway

Remote access

Security

Nodes and media

Web interfaces

​نموذج التهديد لـ OpenClaw الإصدار 1.0

​إطار MITRE ATLAS

​نسبة الإطار

​المساهمة في نموذج التهديد هذا

​1. المقدمة

​1.1 الغرض

​1.2 النطاق

​1.3 خارج النطاق

​2. بنية النظام

​2.1 حدود الثقة

​2.2 تدفقات البيانات

​3. تحليل التهديد حسب تكتيك ATLAS

​3.1 الاستطلاع (AML.TA0002)

​T-RECON-001: اكتشاف نقاط نهاية الوكيل

​T-RECON-002: جسّ تكاملات القنوات

​3.2 الوصول الأولي (AML.TA0004)

​T-ACCESS-001: اعتراض رمز الإقران

​T-ACCESS-002: انتحال AllowFrom

​T-ACCESS-003: سرقة الرموز المميزة

​3.3 التنفيذ (AML.TA0005)

​T-EXEC-001: حقن أوامر مباشر

​T-EXEC-002: حقن أوامر غير مباشر

​T-EXEC-003: حقن وسائط الأدوات

​T-EXEC-004: تجاوز موافقة التنفيذ

​3.4 الاستمرارية (AML.TA0006)

​T-PERSIST-001: تثبيت Skill خبيث

​T-PERSIST-002: تسميم تحديث Skill

​T-PERSIST-003: العبث بتكوين الوكيل

​3.5 التهرب من الدفاعات (AML.TA0007)

​T-EVADE-001: تجاوز نمط الإشراف

​T-EVADE-002: الهروب من غلاف المحتوى

​3.6 الاكتشاف (AML.TA0008)

​T-DISC-001: تعداد الأدوات

​T-DISC-002: استخراج بيانات الجلسة

​3.7 الجمع والإخراج غير المصرح به للبيانات (AML.TA0009, AML.TA0010)

​T-EXFIL-001: سرقة البيانات عبر web_fetch

​T-EXFIL-002: إرسال رسائل غير مصرّح به

​T-EXFIL-003: جمع بيانات الاعتماد

​3.8 التأثير (AML.TA0011)

​T-IMPACT-001: تنفيذ أوامر غير مصرّح به

​T-IMPACT-002: استنزاف الموارد (DoS)

​T-IMPACT-003: ضرر بالسمعة

​4. تحليل سلسلة التوريد لـ ClawHub

​4.1 ضوابط الأمان الحالية

​4.2 أنماط علامات الإشراف

​4.3 التحسينات المخطط لها

​5. مصفوفة المخاطر

​5.1 الاحتمالية مقابل الأثر

​5.2 سلاسل الهجوم ذات المسار الحرج

​6. ملخص التوصيات

​6.1 فوري (P0)

​6.2 قصير الأجل (P1)

​6.3 متوسط الأجل (P2)

​7. الملاحق

​7.1 ربط تقنيات ATLAS

​7.2 ملفات الأمان الأساسية

​7.3 مسرد المصطلحات