Bedrohungsmodell (MITRE ATLAS)

MITRE-ATLAS-Framework

Version: 1.0-draft Zuletzt aktualisiert: 2026-02-04 Methodik: MITRE ATLAS + Datenflussdiagramme Framework: MITRE ATLAS (Adversarial Threat Landscape for AI Systems)

Framework-Zuordnung

Dieses Bedrohungsmodell basiert auf MITRE ATLAS, dem branchenüblichen Framework zur Dokumentation adversarialer Bedrohungen für KI/ML-Systeme. ATLAS wird von MITRE in Zusammenarbeit mit der KI-Sicherheitscommunity gepflegt. Wichtige ATLAS-Ressourcen:

Zu diesem Bedrohungsmodell beitragen

Dies ist ein lebendes Dokument, das von der OpenClaw-Community gepflegt wird. Richtlinien zum Beitragen finden Sie unter CONTRIBUTING-THREAT-MODEL.md:

Neue Bedrohungen melden
Bestehende Bedrohungen aktualisieren
Angriffsketten vorschlagen
Gegenmaßnahmen vorschlagen

1. Einführung

1.1 Zweck

Dieses Bedrohungsmodell dokumentiert adversariale Bedrohungen für die OpenClaw-KI-Agentenplattform und den ClawHub-Skills-Marktplatz mithilfe des MITRE-ATLAS-Frameworks, das speziell für KI/ML-Systeme entwickelt wurde.

1.2 Umfang

Komponente	Enthalten	Hinweise
OpenClaw Agent Runtime	Ja	Zentrale Agentenausführung, Tool-Aufrufe, Sitzungen
Gateway	Ja	Authentifizierung, Routing, Kanalintegration
Kanalintegrationen	Ja	WhatsApp, Telegram, Discord, Signal, Slack usw.
ClawHub-Marktplatz	Ja	Veröffentlichung, Moderation, Verteilung von Skills
MCP-Server	Ja	Externe Tool-Provider
Benutzergeräte	Teilweise	Mobile Apps, Desktop-Clients

1.3 Außerhalb des Umfangs

Für dieses Bedrohungsmodell ist nichts ausdrücklich außerhalb des Umfangs.

2. Systemarchitektur

2.1 Vertrauensgrenzen

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Datenflüsse

Fluss	Quelle	Ziel	Daten	Schutz
F1	Kanal	Gateway	Benutzernachrichten	TLS, AllowFrom
F2	Gateway	Agent	Weitergeleitete Nachrichten	Sitzungsisolierung
F3	Agent	Tools	Tool-Aufrufe	Richtliniendurchsetzung
F4	Agent	Extern	web_fetch-Anfragen	SSRF-Blockierung
F5	ClawHub	Agent	Skill-Code	Moderation, Scans
F6	Agent	Kanal	Antworten	Ausgabefilterung

3. Bedrohungsanalyse nach ATLAS-Taktik

3.1 Aufklärung (AML.TA0002)

T-RECON-001: Erkennung von Agent-Endpunkten

Attribut	Wert
ATLAS-ID	AML.T0006 - Aktives Scannen
Beschreibung	Angreifer scannt nach offengelegten OpenClaw-Gateway-Endpunkten
Angriffsvektor	Netzwerk-Scanning, Shodan-Abfragen, DNS-Enumeration
Betroffene Komponenten	Gateway, offengelegte API-Endpunkte
Aktuelle Gegenmaßnahmen	Tailscale-Auth-Option, standardmäßige Bindung an local loopback
Restrisiko	Mittel - Öffentliche Gateways sind auffindbar
Empfehlungen	Sichere Bereitstellung dokumentieren, Rate-Limiting für Erkennungsendpunkte hinzufügen

T-RECON-002: Untersuchung von Kanalintegrationen

Attribut	Wert
ATLAS-ID	AML.T0006 - Aktives Scannen
Beschreibung	Angreifer sondiert Messaging-Kanäle, um KI-verwaltete Konten zu finden
Angriffsvektor	Senden von Testnachrichten, Beobachten von Antwortmustern
Betroffene Komponenten	Alle Kanalintegrationen
Aktuelle Mitigations	Keine spezifischen
Restrisiko	Niedrig - Begrenzter Wert allein durch Entdeckung
Empfehlungen	Randomisierung der Antwortzeiten erwägen

3.2 Initialzugriff (AML.TA0004)

T-ACCESS-001: Abfangen des Pairing-Codes

Attribut	Wert
ATLAS-ID	AML.T0040 - Zugriff auf KI-Modell-Inferenz-API
Beschreibung	Angreifer fängt den Pairing-Code während der Pairing-Nachfrist ab (1 h für DM-Kanal-Pairing, 5 min für Node-Pairing)
Angriffsvektor	Shoulder Surfing, Netzwerk-Sniffing, Social Engineering
Betroffene Komponenten	Geräte-Pairing-System
Aktuelle Mitigations	Ablauf nach 1 h (DM-Pairing) / Ablauf nach 5 min (Node-Pairing), Codes werden über vorhandenen Kanal gesendet
Restrisiko	Mittel - Nachfrist ausnutzbar
Empfehlungen	Nachfrist verkürzen, Bestätigungsschritt hinzufügen

T-ACCESS-002: AllowFrom-Spoofing

Attribut	Wert
ATLAS-ID	AML.T0040 - Zugriff auf KI-Modell-Inferenz-API
Beschreibung	Angreifer fälscht die Identität eines erlaubten Absenders im Kanal
Angriffsvektor	Abhängig vom Kanal - Telefonnummern-Spoofing, Identitätsvortäuschung über Benutzernamen
Betroffene Komponenten	AllowFrom-Validierung pro Kanal
Aktuelle Mitigations	Kanalspezifische Identitätsprüfung
Restrisiko	Mittel - Einige Kanäle sind anfällig für Spoofing
Empfehlungen	Kanalspezifische Risiken dokumentieren, kryptografische Verifizierung hinzufügen, wo möglich

T-ACCESS-003: Token-Diebstahl

Attribut	Wert
ATLAS-ID	AML.T0040 - Zugriff auf KI-Modell-Inferenz-API
Beschreibung	Angreifer stiehlt Authentifizierungs-Tokens aus Konfigurationsdateien
Angriffsvektor	Malware, unbefugter Gerätezugriff, Offenlegung von Konfigurations-Backups
Betroffene Komponenten	~/.openclaw/credentials/, Konfigurationsspeicher
Aktuelle Mitigations	Dateiberechtigungen
Restrisiko	Hoch - Tokens werden im Klartext gespeichert
Empfehlungen	Token-Verschlüsselung im Ruhezustand implementieren, Token-Rotation hinzufügen

3.3 Ausführung (AML.TA0005)

T-EXEC-001: Direkte Prompt-Injection

Attribut	Wert
ATLAS-ID	AML.T0051.000 - LLM-Prompt-Injection: Direkt
Beschreibung	Angreifer sendet präparierte Prompts, um das Verhalten des Agenten zu manipulieren
Angriffsvektor	Kanalnachrichten mit gegnerischen Anweisungen
Betroffene Komponenten	Agent-LLM, alle Eingabeflächen
Aktuelle Mitigations	Mustererkennung, Umhüllung externer Inhalte
Restrisiko	Kritisch - Nur Erkennung, keine Blockierung; ausgefeilte Angriffe umgehen sie
Empfehlungen	Mehrschichtige Abwehr, Ausgabevalidierung und Benutzerbestätigung für sensible Aktionen implementieren

T-EXEC-002: Indirekte Prompt-Injection

Attribut	Wert
ATLAS-ID	AML.T0051.001 - LLM-Prompt-Injection: Indirekt
Beschreibung	Angreifer bettet bösartige Anweisungen in abgerufene Inhalte ein
Angriffsvektor	Bösartige URLs, vergiftete E-Mails, kompromittierte Webhooks
Betroffene Komponenten	web_fetch, E-Mail-Ingestion, externe Datenquellen
Aktuelle Mitigations	Inhaltsumhüllung mit XML-Tags und Sicherheitshinweis
Restrisiko	Hoch - LLM ignoriert möglicherweise Wrapper-Anweisungen
Empfehlungen	Inhaltssanitisierung implementieren, Ausführungskontexte trennen

T-EXEC-003: Tool-Argument-Injection

Attribut	Wert
ATLAS-ID	AML.T0051.000 - LLM-Prompt-Injection: Direkt
Beschreibung	Angreifer manipuliert Tool-Argumente durch Prompt-Injection
Angriffsvektor	Präparierte Prompts, die Tool-Parameterwerte beeinflussen
Betroffene Komponenten	Alle Tool-Aufrufe
Aktuelle Mitigations	Exec-Genehmigungen für gefährliche Befehle
Restrisiko	Hoch - Verlässt sich auf das Urteilsvermögen des Benutzers
Empfehlungen	Argumentvalidierung, parametrisierte Tool-Aufrufe implementieren

T-EXEC-004: Umgehung der Exec-Genehmigung

Attribut	Wert
ATLAS-ID	AML.T0043 - Gegnerische Daten erstellen
Beschreibung	Angreifer erstellt Befehle, die die Genehmigungs-Allowlist umgehen
Angriffsvektor	Befehlsverschleierung, Alias-Ausnutzung, Pfadmanipulation
Betroffene Komponenten	exec-approvals.ts, Befehls-Allowlist
Aktuelle Mitigations	Allowlist + Ask-Modus
Restrisiko	Hoch - Keine Befehlssanitisierung
Empfehlungen	Befehlsnormalisierung implementieren, Blocklist erweitern

3.4 Persistenz (AML.TA0006)

T-PERSIST-001: Installation bösartiger Skills

Attribut	Wert
ATLAS-ID	AML.T0010.001 - Supply-Chain-Kompromittierung: KI-Software
Beschreibung	Angreifer veröffentlicht bösartigen Skill auf ClawHub
Angriffsvektor	Konto erstellen, Skill mit verborgenem bösartigem Code veröffentlichen
Betroffene Komponenten	ClawHub, Skill-Laden, Agent-Ausführung
Aktuelle Mitigations	Verifizierung des Alters des GitHub-Kontos, musterbasierte Moderations-Flags
Restrisiko	Kritisch - Kein Sandboxing, begrenzte Prüfung
Empfehlungen	VirusTotal-Integration (in Arbeit), Skill-Sandboxing, Community-Prüfung

T-PERSIST-002: Vergiftung von Skill-Updates

Attribut	Wert
ATLAS-ID	AML.T0010.001 - Supply-Chain-Kompromittierung: KI-Software
Beschreibung	Angreifer kompromittiert beliebten Skill und spielt bösartiges Update ein
Angriffsvektor	Kontokompromittierung, Social Engineering beim Skill-Eigentümer
Betroffene Komponenten	ClawHub-Versionierung, Auto-Update-Abläufe
Aktuelle Mitigations	Versions-Fingerprinting
Restrisiko	Hoch - Auto-Updates können bösartige Versionen abrufen
Empfehlungen	Update-Signierung, Rollback-Fähigkeit, Versions-Pinning implementieren

T-PERSIST-003: Manipulation der Agent-Konfiguration

Attribut	Wert
ATLAS-ID	AML.T0010.002 - Supply-Chain-Kompromittierung: Daten
Beschreibung	Angreifer ändert die Agent-Konfiguration, um Zugriff dauerhaft zu machen
Angriffsvektor	Änderung von Konfigurationsdateien, Einschleusen von Einstellungen
Betroffene Komponenten	Agent-Konfiguration, Tool-Richtlinien
Aktuelle Mitigations	Dateiberechtigungen
Restrisiko	Mittel - Erfordert lokalen Zugriff
Empfehlungen	Integritätsprüfung der Konfiguration, Audit-Protokollierung für Konfigurationsänderungen

3.5 Abwehrumgehung (AML.TA0007)

T-EVADE-001: Umgehung von Moderationsmustern

Attribut	Wert
ATLAS-ID	AML.T0043 - Gegnerische Daten erstellen
Beschreibung	Angreifer gestaltet Skill-Inhalte so, dass Moderationsmuster umgangen werden
Angriffsvektor	Unicode-Homoglyphen, Encoding-Tricks, dynamisches Laden
Betroffene Komponenten	ClawHub moderation.ts
Aktuelle Mitigations	Musterbasierte FLAG_RULES
Restrisiko	Hoch - Einfache Regex leicht umgehbar
Empfehlungen	Verhaltensanalyse hinzufügen (VirusTotal Code Insight), AST-basierte Erkennung

T-EVADE-002: Ausbruch aus dem Content-Wrapper

Attribut	Wert
ATLAS-ID	AML.T0043 - Adversariale Daten erstellen
Beschreibung	Angreifer erstellt Inhalte, die aus dem XML-Wrapper-Kontext ausbrechen
Angriffsvektor	Tag-Manipulation, Kontextverwirrung, Überschreiben von Anweisungen
Betroffene Komponenten	Wrapping externer Inhalte
Aktuelle Gegenmaßnahmen	XML-Tags + Sicherheitshinweis
Restrisiko	Mittel - Neue Ausbrüche werden regelmäßig entdeckt
Empfehlungen	Mehrere Wrapper-Ebenen, ausgabeseitige Validierung

3.6 Erkennung (AML.TA0008)

T-DISC-001: Tool-Aufzählung

Attribut	Wert
ATLAS-ID	AML.T0040 - Zugriff auf AI Model Inference API
Beschreibung	Angreifer zählt verfügbare Tools durch Prompting auf
Angriffsvektor	Abfragen im Stil von „Welche Tools haben Sie?“
Betroffene Komponenten	Tool-Registry des Agenten
Aktuelle Gegenmaßnahmen	Keine spezifischen
Restrisiko	Niedrig - Tools sind im Allgemeinen dokumentiert
Empfehlungen	Tool-Sichtbarkeitskontrollen erwägen

T-DISC-002: Extraktion von Sitzungsdaten

Attribut	Wert
ATLAS-ID	AML.T0040 - Zugriff auf AI Model Inference API
Beschreibung	Angreifer extrahiert sensible Daten aus dem Sitzungskontext
Angriffsvektor	Abfragen wie „Was haben wir besprochen?“, Kontextsondierung
Betroffene Komponenten	Sitzungstranskripte, Kontextfenster
Aktuelle Gegenmaßnahmen	Sitzungsisolation pro Absender
Restrisiko	Mittel - Daten innerhalb der Sitzung sind zugänglich
Empfehlungen	Schwärzung sensibler Daten im Kontext implementieren

3.7 Sammlung & Exfiltration (AML.TA0009, AML.TA0010)

T-EXFIL-001: Datendiebstahl über web_fetch

Attribut	Wert
ATLAS-ID	AML.T0009 - Sammlung
Beschreibung	Angreifer exfiltriert Daten, indem er den Agenten anweist, sie an eine externe URL zu senden
Angriffsvektor	Prompt-Injection, die den Agenten veranlasst, Daten per POST an den Server des Angreifers zu senden
Betroffene Komponenten	web_fetch-Tool
Aktuelle Gegenmaßnahmen	SSRF-Blockierung für interne Netzwerke
Restrisiko	Hoch - Externe URLs sind erlaubt
Empfehlungen	URL-Allowlisting, Bewusstsein für Datenklassifizierung implementieren

T-EXFIL-002: Unbefugtes Senden von Nachrichten

Attribut	Wert
ATLAS-ID	AML.T0009 - Sammlung
Beschreibung	Angreifer veranlasst den Agenten, Nachrichten mit sensiblen Daten zu senden
Angriffsvektor	Prompt-Injection, die den Agenten veranlasst, dem Angreifer eine Nachricht zu senden
Betroffene Komponenten	Nachrichten-Tool, Kanalintegrationen
Aktuelle Gegenmaßnahmen	Gating für ausgehende Nachrichten
Restrisiko	Mittel - Gating kann umgangen werden
Empfehlungen	Explizite Bestätigung für neue Empfänger verlangen

T-EXFIL-003: Abgreifen von Anmeldedaten

Attribut	Wert
ATLAS-ID	AML.T0009 - Sammlung
Beschreibung	Bösartiger Skill sammelt Anmeldedaten aus dem Agentenkontext
Angriffsvektor	Skill-Code liest Umgebungsvariablen, Konfigurationsdateien
Betroffene Komponenten	Skill-Ausführungsumgebung
Aktuelle Gegenmaßnahmen	Keine spezifisch für Skills
Restrisiko	Kritisch - Skills laufen mit Agentenrechten
Empfehlungen	Skill-Sandboxing, Isolation von Anmeldedaten

3.8 Auswirkung (AML.TA0011)

T-IMPACT-001: Unbefugte Befehlsausführung

Attribut	Wert
ATLAS-ID	AML.T0031 - Integrität des KI-Modells untergraben
Beschreibung	Angreifer führt beliebige Befehle auf dem Benutzersystem aus
Angriffsvektor	Prompt-Injection kombiniert mit Umgehung der Exec-Genehmigung
Betroffene Komponenten	Bash-Tool, Befehlsausführung
Aktuelle Gegenmaßnahmen	Exec-Genehmigungen, Docker-Sandbox-Option
Restrisiko	Kritisch - Host-Ausführung ohne Sandbox
Empfehlungen	Standardmäßig Sandbox verwenden, Genehmigungs-UX verbessern

T-IMPACT-002: Ressourcenerschöpfung (DoS)

Attribut	Wert
ATLAS-ID	AML.T0031 - Integrität des KI-Modells untergraben
Beschreibung	Angreifer erschöpft API-Guthaben oder Rechenressourcen
Angriffsvektor	Automatisierte Nachrichtenflut, teure Tool-Aufrufe
Betroffene Komponenten	Gateway, Agentensitzungen, API-Provider
Aktuelle Gegenmaßnahmen	Keine
Restrisiko	Hoch - Keine Ratenbegrenzung
Empfehlungen	Ratenbegrenzungen pro Absender, Kostenbudgets implementieren

T-IMPACT-003: Reputationsschaden

Attribut	Wert
ATLAS-ID	AML.T0031 - Integrität des KI-Modells untergraben
Beschreibung	Angreifer veranlasst den Agenten, schädliche/anstößige Inhalte zu senden
Angriffsvektor	Prompt-Injection, die unangemessene Antworten verursacht
Betroffene Komponenten	Ausgabegenerierung, Kanalnachrichten
Aktuelle Gegenmaßnahmen	Inhaltsrichtlinien des LLM-Providers
Restrisiko	Mittel - Provider-Filter sind unvollkommen
Empfehlungen	Ausgabefilterebene, Benutzerkontrollen

4. ClawHub-Supply-Chain-Analyse

4.1 Aktuelle Sicherheitskontrollen

Kontrolle	Implementierung	Wirksamkeit
Alter des GitHub-Kontos	`requireGitHubAccountAge()`	Mittel - Erhöht die Hürde für neue Angreifer
Pfadbereinigung	`sanitizePath()`	Hoch - Verhindert Path Traversal
Dateitypvalidierung	`isTextFile()`	Mittel - Nur Textdateien, können aber trotzdem bösartig sein
Größenlimits	50 MB Gesamt-Bundle	Hoch - Verhindert Ressourcenerschöpfung
Erforderliche SKILL.md	Obligatorische Readme	Geringer Sicherheitswert - Nur informativ
Muster-Moderation	FLAG_RULES in moderation.ts	Niedrig - Leicht zu umgehen
Moderationsstatus	`moderationStatus`-Feld	Mittel - Manuelle Prüfung möglich

4.2 Moderations-Flag-Muster

Aktuelle Muster in moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Einschränkungen:

Prüft nur Slug, displayName, Zusammenfassung, Frontmatter, Metadaten und Dateipfade
Analysiert nicht den tatsächlichen Skill-Code-Inhalt
Einfache Regex kann leicht durch Verschleierung umgangen werden
Keine Verhaltensanalyse

4.3 Geplante Verbesserungen

Verbesserung	Status	Auswirkung
VirusTotal-Integration	In Arbeit	Hoch - Verhaltensanalyse durch Code Insight
Community-Meldungen	Teilweise (`skillReports`-Tabelle existiert)	Mittel
Audit-Protokollierung	Teilweise (`auditLogs`-Tabelle existiert)	Mittel
Badge-System	Implementiert	Mittel - `highlighted`, `official`, `deprecated`, `redactionApproved`

5. Risikomatrix

5.1 Wahrscheinlichkeit vs. Auswirkung

Bedrohungs-ID	Wahrscheinlichkeit	Auswirkung	Risikostufe	Priorität
T-EXEC-001	Hoch	Kritisch	Kritisch	P0
T-PERSIST-001	Hoch	Kritisch	Kritisch	P0
T-EXFIL-003	Mittel	Kritisch	Kritisch	P0
T-IMPACT-001	Mittel	Kritisch	Hoch	P1
T-EXEC-002	Hoch	Hoch	Hoch	P1
T-EXEC-004	Mittel	Hoch	Hoch	P1
T-ACCESS-003	Mittel	Hoch	Hoch	P1
T-EXFIL-001	Mittel	Hoch	Hoch	P1
T-IMPACT-002	Hoch	Mittel	Hoch	P1
T-EVADE-001	Hoch	Mittel	Mittel	P2
T-ACCESS-001	Niedrig	Hoch	Mittel	P2
T-ACCESS-002	Niedrig	Hoch	Mittel	P2
T-PERSIST-002	Niedrig	Hoch	Mittel	P2

5.2 Angriffsketten des kritischen Pfads

Angriffskette 1: Skill-basierter Datendiebstahl

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Angriffskette 2: Prompt-Injection zu RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Angriffskette 3: Indirekte Injection über abgerufene Inhalte

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Zusammenfassung der Empfehlungen

6.1 Sofort (P0)

ID	Empfehlung	Behandelt
R-001	VirusTotal-Integration abschließen	T-PERSIST-001, T-EVADE-001
R-002	Skills-Sandboxing implementieren	T-PERSIST-001, T-EXFIL-003
R-003	Ausgabevalidierung für sensible Aktionen hinzufügen	T-EXEC-001, T-EXEC-002

6.2 Kurzfristig (P1)

ID	Empfehlung	Behandelt
R-004	Rate Limiting implementieren	T-IMPACT-002
R-005	Token-Verschlüsselung im Ruhezustand hinzufügen	T-ACCESS-003
R-006	UX und Validierung für exec-Genehmigungen verbessern	T-EXEC-004
R-007	URL-Allowlisting für web_fetch implementieren	T-EXFIL-001

6.3 Mittelfristig (P2)

ID	Empfehlung	Behandelt
R-008	Kryptografische Kanalverifizierung hinzufügen, wo möglich	T-ACCESS-002
R-009	Integritätsprüfung der Konfiguration implementieren	T-PERSIST-003
R-010	Update-Signierung und Versions-Pinning hinzufügen	T-PERSIST-002

7. Anhänge

7.1 Zuordnung von ATLAS-Techniken

ATLAS-ID	Technikname	OpenClaw-Bedrohungen
AML.T0006	Aktives Scannen	T-RECON-001, T-RECON-002
AML.T0009	Sammlung	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	Lieferkette: KI-Software	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	Lieferkette: Daten	T-PERSIST-003
AML.T0031	Integrität des KI-Modells untergraben	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	Zugriff auf KI-Modell-Inferenz-API	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	Gegnerische Daten erstellen	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	LLM-Prompt-Injection: Direkt	T-EXEC-001, T-EXEC-003
AML.T0051.001	LLM-Prompt-Injection: Indirekt	T-EXEC-002

7.2 Zentrale Sicherheitsdateien

Pfad	Zweck	Risikostufe
`src/infra/exec-approvals.ts`	Logik für Befehlsfreigaben	Kritisch
`src/gateway/auth.ts`	Gateway-Authentifizierung	Kritisch
`src/infra/net/ssrf.ts`	SSRF-Schutz	Kritisch
`src/security/external-content.ts`	Minderung von Prompt Injection	Kritisch
`src/agents/sandbox/tool-policy.ts`	Durchsetzung der Tool-Richtlinie	Kritisch
`src/routing/resolve-route.ts`	Sitzungsisolation	Mittel

7.3 Glossar

Begriff	Definition
ATLAS	MITREs Adversarial Threat Landscape for AI Systems
ClawHub	OpenClaws Marktplatz für Skills
Gateway	OpenClaws Nachrichtenrouting- und Authentifizierungsschicht
MCP	Model Context Protocol - Schnittstelle für Tool-Provider
Prompt Injection	Angriff, bei dem schädliche Anweisungen in Eingaben eingebettet werden
Skill	Herunterladbare Erweiterung für OpenClaw-Agenten
SSRF	Server-Side Request Forgery

Dieses Bedrohungsmodell ist ein lebendes Dokument. Melden Sie Sicherheitsprobleme an security@openclaw.ai

Gateway

Remote access

Security

Nodes and media

Web interfaces

Documentation Index

​MITRE-ATLAS-Framework

​Framework-Zuordnung

​Zu diesem Bedrohungsmodell beitragen

​1. Einführung

​1.1 Zweck

​1.2 Umfang

​1.3 Außerhalb des Umfangs

​2. Systemarchitektur

​2.1 Vertrauensgrenzen

​2.2 Datenflüsse

​3. Bedrohungsanalyse nach ATLAS-Taktik

​3.1 Aufklärung (AML.TA0002)

​T-RECON-001: Erkennung von Agent-Endpunkten

​T-RECON-002: Untersuchung von Kanalintegrationen

​3.2 Initialzugriff (AML.TA0004)

​T-ACCESS-001: Abfangen des Pairing-Codes

​T-ACCESS-002: AllowFrom-Spoofing

​T-ACCESS-003: Token-Diebstahl

​3.3 Ausführung (AML.TA0005)

​T-EXEC-001: Direkte Prompt-Injection

​T-EXEC-002: Indirekte Prompt-Injection

​T-EXEC-003: Tool-Argument-Injection

​T-EXEC-004: Umgehung der Exec-Genehmigung

​3.4 Persistenz (AML.TA0006)

​T-PERSIST-001: Installation bösartiger Skills

​T-PERSIST-002: Vergiftung von Skill-Updates

​T-PERSIST-003: Manipulation der Agent-Konfiguration

​3.5 Abwehrumgehung (AML.TA0007)

​T-EVADE-001: Umgehung von Moderationsmustern

​T-EVADE-002: Ausbruch aus dem Content-Wrapper

​3.6 Erkennung (AML.TA0008)

​T-DISC-001: Tool-Aufzählung

​T-DISC-002: Extraktion von Sitzungsdaten

​3.7 Sammlung & Exfiltration (AML.TA0009, AML.TA0010)

​T-EXFIL-001: Datendiebstahl über web_fetch

​T-EXFIL-002: Unbefugtes Senden von Nachrichten

​T-EXFIL-003: Abgreifen von Anmeldedaten

​3.8 Auswirkung (AML.TA0011)

​T-IMPACT-001: Unbefugte Befehlsausführung

​T-IMPACT-002: Ressourcenerschöpfung (DoS)

​T-IMPACT-003: Reputationsschaden

​4. ClawHub-Supply-Chain-Analyse

​4.1 Aktuelle Sicherheitskontrollen

​4.2 Moderations-Flag-Muster

​4.3 Geplante Verbesserungen

​5. Risikomatrix

​5.1 Wahrscheinlichkeit vs. Auswirkung

​5.2 Angriffsketten des kritischen Pfads

​6. Zusammenfassung der Empfehlungen

​6.1 Sofort (P0)

​6.2 Kurzfristig (P1)

​6.3 Mittelfristig (P2)

​7. Anhänge

​7.1 Zuordnung von ATLAS-Techniken

​7.2 Zentrale Sicherheitsdateien

​7.3 Glossar

​Verwandte Themen