Zum Hauptinhalt springen

OpenClaw-Bedrohungsmodell v1.0

MITRE-ATLAS-Framework

Version: 1.0-draft Zuletzt aktualisiert: 2026-02-04 Methodik: MITRE ATLAS + Datenflussdiagramme Framework: MITRE ATLAS (Adversarial Threat Landscape for AI Systems)

Quellenangabe zum Framework

Dieses Bedrohungsmodell basiert auf MITRE ATLAS, dem branchenüblichen Standard-Framework zur Dokumentation gegnerischer Bedrohungen für KI-/ML-Systeme. ATLAS wird von MITRE in Zusammenarbeit mit der KI-Sicherheits-Community gepflegt. Wichtige ATLAS-Ressourcen:

Zu diesem Bedrohungsmodell beitragen

Dies ist ein lebendes Dokument, das von der OpenClaw-Community gepflegt wird. Siehe CONTRIBUTING-THREAT-MODEL.md für Richtlinien zum Beitragen:
  • Neue Bedrohungen melden
  • Bestehende Bedrohungen aktualisieren
  • Angriffsketten vorschlagen
  • Gegenmaßnahmen vorschlagen

1. Einführung

1.1 Zweck

Dieses Bedrohungsmodell dokumentiert gegnerische Bedrohungen für die OpenClaw-KI-Agent-Plattform und den ClawHub-Skills-Marketplace unter Verwendung des MITRE-ATLAS-Frameworks, das speziell für KI-/ML-Systeme entwickelt wurde.

1.2 Geltungsbereich

KomponenteEnthaltenHinweise
OpenClaw-Agent-RuntimeJaKern-Agent-Ausführung, Tool-Aufrufe, Sitzungen
GatewayJaAuthentifizierung, Routing, Channel-Integration
Channel-IntegrationenJaWhatsApp, Telegram, Discord, Signal, Slack usw.
ClawHub MarketplaceJaSkill-Veröffentlichung, Moderation, Verteilung
MCP-ServerJaExterne Tool-Provider
BenutzergeräteTeilweiseMobile Apps, Desktop-Clients

1.3 Außerhalb des Geltungsbereichs

Nichts ist für dieses Bedrohungsmodell ausdrücklich außerhalb des Geltungsbereichs.

2. Systemarchitektur

2.1 Vertrauensgrenzen

┌─────────────────────────────────────────────────────────────────┐
│                    NICHT VERTRAUENSWÜRDIGE ZONE                  │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│              VERTRAUENSGRENZE 1: Channel-Zugriff                │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Gerätekopplung (1 h DM / 5 min Node-Gnadenfrist)      │   │
│  │  • AllowFrom-/AllowList-Validierung                      │   │
│  │  • Token-/Passwort-/Tailscale-Authentifizierung          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│            VERTRAUENSGRENZE 2: Sitzungsisolierung               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT-SITZUNGEN                         │   │
│  │  • Sitzungsschlüssel = agent:channel:peer                │   │
│  │  • Tool-Richtlinien pro Agent                            │   │
│  │  • Transkriptprotokollierung                             │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│             VERTRAUENSGRENZE 3: Tool-Ausführung                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  AUSFÜHRUNGS-SANDBOX                      │   │
│  │  • Docker-Sandbox ODER Host (exec-approvals)             │   │
│  │  • Node-Remote-Ausführung                                │   │
│  │  • SSRF-Schutz (DNS-Pinning + IP-Blockierung)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│            VERTRAUENSGRENZE 4: Externe Inhalte                  │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │            ABGERUFENE URLs / E-MAILS / WEBHOOKS          │   │
│  │  • Wrapping externer Inhalte (XML-Tags)                  │   │
│  │  • Einfügung von Sicherheitshinweisen                    │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│             VERTRAUENSGRENZE 5: Lieferkette                    │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill-Veröffentlichung (semver, SKILL.md erforderlich)│   │
│  │  • Musterbasierte Moderations-Flags                      │   │
│  │  • VirusTotal-Scans (demnächst)                          │   │
│  │  • Überprüfung des Alters von GitHub-Konten              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Datenflüsse

FlowQuelleZielDatenSchutz
F1ChannelGatewayBenutzernachrichtenTLS, AllowFrom
F2GatewayAgentGeroutete NachrichtenSitzungsisolierung
F3AgentToolsTool-AufrufeRichtliniendurchsetzung
F4AgentExternweb_fetch-RequestsSSRF-Blockierung
F5ClawHubAgentSkill-CodeModeration, Scanning
F6AgentChannelAntwortenAusgabefilterung

3. Bedrohungsanalyse nach ATLAS-Taktik

3.1 Aufklärung (AML.TA0002)

T-RECON-001: Erkennung von Agent-Endpunkten

AttributWert
ATLAS-IDAML.T0006 - Active Scanning
BeschreibungAngreifer scannt nach exponierten OpenClaw-Gateway-Endpunkten
AngriffsvektorNetzwerkscans, Shodan-Abfragen, DNS-Aufzählung
Betroffene KomponentenGateway, exponierte API-Endpunkte
Aktuelle GegenmaßnahmenTailscale-Authentifizierungsoption, standardmäßig an Loopback gebunden
RestrisikoMittel - Öffentliche Gateways auffindbar
EmpfehlungenSichere Bereitstellung dokumentieren, Rate Limiting für Discovery-Endpunkte hinzufügen

T-RECON-002: Sondierung von Channel-Integrationen

AttributWert
ATLAS-IDAML.T0006 - Active Scanning
BeschreibungAngreifer sondiert Messaging-Channels, um KI-verwaltete Konten zu identifizieren
AngriffsvektorTestnachrichten senden, Antwortmuster beobachten
Betroffene KomponentenAlle Channel-Integrationen
Aktuelle GegenmaßnahmenKeine spezifischen
RestrisikoNiedrig - Begrenzter Nutzen durch reine Erkennung
EmpfehlungenRandomisierung der Antwortzeiten erwägen

3.2 Initialzugriff (AML.TA0004)

T-ACCESS-001: Abfangen des Kopplungscodes

AttributWert
ATLAS-IDAML.T0040 - AI Model Inference API Access
BeschreibungAngreifer fängt während der Gnadenfrist für die Kopplung den Kopplungscode ab (1 h für DM-Channel-Kopplung, 5 min für Node-Kopplung)
AngriffsvektorShoulder Surfing, Netzwerksniffing, Social Engineering
Betroffene KomponentenGerätekopplungssystem
Aktuelle GegenmaßnahmenAblauf nach 1 h (DM-Kopplung) / 5 min (Node-Kopplung), Codes werden über bestehenden Channel gesendet
RestrisikoMittel - Gnadenfrist ausnutzbar
EmpfehlungenGnadenfrist verkürzen, Bestätigungsschritt hinzufügen

T-ACCESS-002: AllowFrom-Spoofing

AttributWert
ATLAS-IDAML.T0040 - AI Model Inference API Access
BeschreibungAngreifer fälscht im Channel eine erlaubte Absenderidentität
AngriffsvektorAbhängig vom Channel - Spoofing von Telefonnummern, Nachahmung von Benutzernamen
Betroffene KomponentenAllowFrom-Validierung pro Channel
Aktuelle GegenmaßnahmenChannelspezifische Identitätsprüfung
RestrisikoMittel - Einige Channels anfällig für Spoofing
EmpfehlungenChannelspezifische Risiken dokumentieren, kryptografische Verifikation hinzufügen, wo möglich

T-ACCESS-003: Token-Diebstahl

AttributWert
ATLAS-IDAML.T0040 - AI Model Inference API Access
BeschreibungAngreifer stiehlt Authentifizierungs-Token aus Konfigurationsdateien
AngriffsvektorMalware, unbefugter Gerätezugriff, Offenlegung durch Konfigurations-Backups
Betroffene Komponenten~/.openclaw/credentials/, Konfigurationsspeicher
Aktuelle GegenmaßnahmenDateiberechtigungen
RestrisikoHoch - Token werden im Klartext gespeichert
EmpfehlungenVerschlüsselung ruhender Token implementieren, Token-Rotation hinzufügen

3.3 Ausführung (AML.TA0005)

T-EXEC-001: Direkte Prompt Injection

AttributWert
ATLAS-IDAML.T0051.000 - LLM Prompt Injection: Direct
BeschreibungAngreifer sendet gestaltete Prompts, um das Verhalten des Agenten zu manipulieren
AngriffsvektorChannel-Nachrichten mit gegnerischen Anweisungen
Betroffene KomponentenAgent-LLM, alle Eingabeoberflächen
Aktuelle GegenmaßnahmenMustererkennung, Wrapping externer Inhalte
RestrisikoKritisch - Nur Erkennung, keine Blockierung; ausgefeilte Angriffe umgehen dies
EmpfehlungenMehrschichtige Verteidigung, Ausgabeverifikation, Benutzerbestätigung für sensible Aktionen implementieren

T-EXEC-002: Indirekte Prompt Injection

AttributWert
ATLAS-IDAML.T0051.001 - LLM Prompt Injection: Indirect
BeschreibungAngreifer bettet bösartige Anweisungen in abgerufene Inhalte ein
AngriffsvektorBösartige URLs, vergiftete E-Mails, kompromittierte Webhooks
Betroffene Komponentenweb_fetch, E-Mail-Ingestion, externe Datenquellen
Aktuelle GegenmaßnahmenInhalts-Wrapping mit XML-Tags und Sicherheitshinweis
RestrisikoHoch - LLM kann Wrapper-Anweisungen ignorieren
EmpfehlungenInhaltsbereinigung, getrennte Ausführungskontexte implementieren

T-EXEC-003: Einschleusen von Tool-Argumenten

AttributWert
ATLAS-IDAML.T0051.000 - LLM Prompt Injection: Direct
BeschreibungAngreifer manipuliert Tool-Argumente durch Prompt Injection
AngriffsvektorGestaltete Prompts, die Parameterwerte von Tools beeinflussen
Betroffene KomponentenAlle Tool-Aufrufe
Aktuelle GegenmaßnahmenExec-Genehmigungen für gefährliche Befehle
RestrisikoHoch - Verlass auf Benutzerurteil
EmpfehlungenArgumentvalidierung, parametrisierte Tool-Aufrufe implementieren

T-EXEC-004: Umgehung von Exec-Genehmigungen

AttributWert
ATLAS-IDAML.T0043 - Craft Adversarial Data
BeschreibungAngreifer konstruiert Befehle, die die Genehmigungs-Allowlist umgehen
AngriffsvektorBefehlsverschleierung, Ausnutzung von Aliasen, Pfadmanipulation
Betroffene Komponentenexec-approvals.ts, Befehls-Allowlist
Aktuelle GegenmaßnahmenAllowlist + Fragemodus
RestrisikoHoch - Keine Befehlsbereinigung
EmpfehlungenBefehlsnormalisierung implementieren, Blocklist erweitern

3.4 Persistenz (AML.TA0006)

T-PERSIST-001: Installation eines bösartigen Skills

AttributWert
ATLAS-IDAML.T0010.001 - Supply Chain Compromise: AI Software
BeschreibungAngreifer veröffentlicht einen bösartigen Skill auf ClawHub
AngriffsvektorKonto erstellen, Skill mit verstecktem bösartigem Code veröffentlichen
Betroffene KomponentenClawHub, Skill-Laden, Agent-Ausführung
Aktuelle GegenmaßnahmenÜberprüfung des Alters von GitHub-Konten, musterbasierte Moderations-Flags
RestrisikoKritisch - Kein Sandboxing, begrenzte Prüfung
EmpfehlungenVirusTotal-Integration (in Arbeit), Skill-Sandboxing, Community-Review

T-PERSIST-002: Vergiftung von Skill-Updates

AttributWert
ATLAS-IDAML.T0010.001 - Supply Chain Compromise: AI Software
BeschreibungAngreifer kompromittiert einen beliebten Skill und pusht ein bösartiges Update
AngriffsvektorKontokompromittierung, Social Engineering gegen den Skill-Eigentümer
Betroffene KomponentenClawHub-Versionierung, Auto-Update-Flows
Aktuelle GegenmaßnahmenVersions-Fingerprinting
RestrisikoHoch - Auto-Updates könnten bösartige Versionen übernehmen
EmpfehlungenUpdate-Signierung, Rollback-Fähigkeit, Version Pinning implementieren

T-PERSIST-003: Manipulation der Agent-Konfiguration

AttributWert
ATLAS-IDAML.T0010.002 - Supply Chain Compromise: Data
BeschreibungAngreifer verändert die Agent-Konfiguration, um Zugriff dauerhaft zu erhalten
AngriffsvektorModifikation von Konfigurationsdateien, Einschleusen von Einstellungen
Betroffene KomponentenAgent-Konfiguration, Tool-Richtlinien
Aktuelle GegenmaßnahmenDateiberechtigungen
RestrisikoMittel - Erfordert lokalen Zugriff
EmpfehlungenIntegritätsprüfung der Konfiguration, Audit-Logging für Konfigurationsänderungen

3.5 Umgehung von Schutzmaßnahmen (AML.TA0007)

T-EVADE-001: Umgehung von Moderationsmustern

AttributWert
ATLAS-IDAML.T0043 - Craft Adversarial Data
BeschreibungAngreifer gestaltet Skill-Inhalte so, dass sie Moderationsmuster umgehen
AngriffsvektorUnicode-Homoglyphen, Encoding-Tricks, dynamisches Laden
Betroffene KomponentenClawHub moderation.ts
Aktuelle GegenmaßnahmenMusterbasierte FLAG_RULES
RestrisikoHoch - Einfache Regex leicht zu umgehen
EmpfehlungenVerhaltensanalyse hinzufügen (VirusTotal Code Insight), AST-basierte Erkennung

T-EVADE-002: Ausbruch aus dem Inhalts-Wrapper

AttributWert
ATLAS-IDAML.T0043 - Craft Adversarial Data
BeschreibungAngreifer gestaltet Inhalte, die aus dem XML-Wrapper-Kontext ausbrechen
AngriffsvektorTag-Manipulation, Kontextverwirrung, Übersteuerung von Anweisungen
Betroffene KomponentenWrapping externer Inhalte
Aktuelle GegenmaßnahmenXML-Tags + Sicherheitshinweis
RestrisikoMittel - Neue Escape-Techniken werden regelmäßig entdeckt
EmpfehlungenMehrere Wrapper-Ebenen, ausgabeseitige Validierung

3.6 Erkundung (AML.TA0008)

T-DISC-001: Aufzählung von Tools

AttributWert
ATLAS-IDAML.T0040 - AI Model Inference API Access
BeschreibungAngreifer zählt durch Prompting verfügbare Tools auf
AngriffsvektorAbfragen im Stil von „Welche Tools hast du?“
Betroffene KomponentenAgent-Tool-Registry
Aktuelle GegenmaßnahmenKeine spezifischen
RestrisikoNiedrig - Tools sind generell dokumentiert
EmpfehlungenSichtbarkeitskontrollen für Tools erwägen

T-DISC-002: Extraktion von Sitzungsdaten

AttributWert
ATLAS-IDAML.T0040 - AI Model Inference API Access
BeschreibungAngreifer extrahiert sensible Daten aus dem Sitzungskontext
AngriffsvektorAbfragen wie „Was haben wir besprochen?“, Sondierung des Kontexts
Betroffene KomponentenSitzungs-Transkripte, Kontextfenster
Aktuelle GegenmaßnahmenSitzungsisolierung pro Absender
RestrisikoMittel - Daten innerhalb einer Sitzung zugänglich
EmpfehlungenBereinigung sensibler Daten im Kontext implementieren

3.7 Sammlung und Exfiltration (AML.TA0009, AML.TA0010)

T-EXFIL-001: Datendiebstahl über web_fetch

AttributWert
ATLAS-IDAML.T0009 - Collection
BeschreibungAngreifer exfiltriert Daten, indem er den Agenten anweist, sie an eine externe URL zu senden
AngriffsvektorPrompt Injection veranlasst den Agenten, Daten per POST an den Server des Angreifers zu senden
Betroffene Komponentenweb_fetch-Tool
Aktuelle GegenmaßnahmenSSRF-Blockierung für interne Netzwerke
RestrisikoHoch - Externe URLs sind erlaubt
EmpfehlungenURL-Allowlisting, Bewusstsein für Datenklassifizierung implementieren

T-EXFIL-002: Unbefugtes Senden von Nachrichten

AttributWert
ATLAS-IDAML.T0009 - Collection
BeschreibungAngreifer veranlasst den Agenten, Nachrichten mit sensiblen Daten zu senden
AngriffsvektorPrompt Injection veranlasst den Agenten, dem Angreifer eine Nachricht zu senden
Betroffene KomponentenNachrichtentool, Channel-Integrationen
Aktuelle GegenmaßnahmenGating für ausgehende Nachrichten
RestrisikoMittel - Gating könnte umgangen werden
EmpfehlungenExplizite Bestätigung für neue Empfänger verlangen

T-EXFIL-003: Ernte von Zugangsdaten

AttributWert
ATLAS-IDAML.T0009 - Collection
BeschreibungBösartiger Skill sammelt Zugangsdaten aus dem Agent-Kontext
AngriffsvektorSkill-Code liest Umgebungsvariablen, Konfigurationsdateien
Betroffene KomponentenSkill-Ausführungsumgebung
Aktuelle GegenmaßnahmenKeine speziell für Skills
RestrisikoKritisch - Skills laufen mit Agent-Berechtigungen
EmpfehlungenSkill-Sandboxing, Isolierung von Zugangsdaten

3.8 Auswirkungen (AML.TA0011)

T-IMPACT-001: Unbefugte Befehlsausführung

AttributWert
ATLAS-IDAML.T0031 - Erode AI Model Integrity
BeschreibungAngreifer führt beliebige Befehle auf dem Benutzersystem aus
AngriffsvektorPrompt Injection kombiniert mit Umgehung der Exec-Genehmigung
Betroffene KomponentenBash-Tool, Befehlsausführung
Aktuelle GegenmaßnahmenExec-Genehmigungen, optionale Docker-Sandbox
RestrisikoKritisch - Host-Ausführung ohne Sandbox
EmpfehlungenStandardmäßig Sandbox verwenden, UX für Genehmigungen verbessern

T-IMPACT-002: Ressourcenerschöpfung (DoS)

AttributWert
ATLAS-IDAML.T0031 - Erode AI Model Integrity
BeschreibungAngreifer erschöpft API-Guthaben oder Rechenressourcen
AngriffsvektorAutomatisierte Nachrichtenflutung, teure Tool-Aufrufe
Betroffene KomponentenGateway, Agent-Sitzungen, API-Provider
Aktuelle GegenmaßnahmenKeine
RestrisikoHoch - Kein Rate Limiting
EmpfehlungenRate Limits pro Absender, Kostenbudgets implementieren

T-IMPACT-003: Imageschaden

AttributWert
ATLAS-IDAML.T0031 - Erode AI Model Integrity
BeschreibungAngreifer veranlasst den Agenten, schädliche/beleidigende Inhalte zu senden
AngriffsvektorPrompt Injection verursacht unangemessene Antworten
Betroffene KomponentenAusgabeerzeugung, Channel-Messaging
Aktuelle GegenmaßnahmenInhaltsrichtlinien des LLM-Providers
RestrisikoMittel - Provider-Filter sind nicht perfekt
EmpfehlungenAusgabefilter-Ebene, Benutzerkontrollen

4. Analyse der ClawHub-Lieferkette

4.1 Aktuelle Sicherheitskontrollen

KontrolleImplementierungWirksamkeit
Alter des GitHub-KontosrequireGitHubAccountAge()Mittel - Erhöht die Hürde für neue Angreifer
PfadbereinigungsanitizePath()Hoch - Verhindert Path Traversal
DateitypvalidierungisTextFile()Mittel - Nur Textdateien, können aber dennoch bösartig sein
Größenlimits50 MB Gesamt-BundleHoch - Verhindert Ressourcenerschöpfung
Erforderliche SKILL.mdVerpflichtende ReadmeGeringer Sicherheitswert - Nur informativ
MustermoderationFLAG_RULES in moderation.tsNiedrig - Leicht zu umgehen
ModerationsstatusFeld moderationStatusMittel - Manuelle Prüfung möglich

4.2 Muster für Moderations-Flags

Aktuelle Muster in moderation.ts: 
// Bekannt schädliche Identifikatoren
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Verdächtige Schlüsselwörter
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
Einschränkungen:
  • Prüft nur Slug, displayName, summary, Frontmatter, Metadaten und Dateipfade
  • Analysiert nicht den tatsächlichen Skill-Code-Inhalt
  • Einfache Regex leicht durch Verschleierung zu umgehen
  • Keine Verhaltensanalyse

4.3 Geplante Verbesserungen

VerbesserungStatusAuswirkung
VirusTotal-IntegrationIn BearbeitungHoch - Verhaltensanalyse mit Code Insight
Community-MeldungenTeilweise (skillReports-Tabelle existiert)Mittel
Audit-LoggingTeilweise (auditLogs-Tabelle existiert)Mittel
Badge-SystemImplementiertMittel - highlighted, official, deprecated, redactionApproved

5. Risikomatrix

5.1 Wahrscheinlichkeit vs. Auswirkung

Threat IDWahrscheinlichkeitAuswirkungRisikostufePriorität
T-EXEC-001HochKritischKritischP0
T-PERSIST-001HochKritischKritischP0
T-EXFIL-003MittelKritischKritischP0
T-IMPACT-001MittelKritischHochP1
T-EXEC-002HochHochHochP1
T-EXEC-004MittelHochHochP1
T-ACCESS-003MittelHochHochP1
T-EXFIL-001MittelHochHochP1
T-IMPACT-002HochMittelHochP1
T-EVADE-001HochMittelMittelP2
T-ACCESS-001NiedrigHochMittelP2
T-ACCESS-002NiedrigHochMittelP2
T-PERSIST-002NiedrigHochMittelP2

5.2 Kritische Angriffsketten

Angriffskette 1: Skill-basierter Datendiebstahl 
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Bösartigen Skill veröffentlichen) → (Moderation umgehen) → (Zugangsdaten ernten)
Angriffskette 2: Prompt Injection zu RCE 
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Prompt einschleusen) → (Exec-Genehmigung umgehen) → (Befehle ausführen)
Angriffskette 3: Indirekte Injection über abgerufene Inhalte 
T-EXEC-002 → T-EXFIL-001 → Externe Exfiltration
(URL-Inhalt vergiften) → (Agent ruft ab & folgt Anweisungen) → (Daten werden an Angreifer gesendet)

6. Zusammenfassung der Empfehlungen

6.1 Sofort (P0)

IDEmpfehlungAdressiert
R-001VirusTotal-Integration abschließenT-PERSIST-001, T-EVADE-001
R-002Skill-Sandboxing implementierenT-PERSIST-001, T-EXFIL-003
R-003Ausgabeverifikation für sensible Aktionen hinzufügenT-EXEC-001, T-EXEC-002

6.2 Kurzfristig (P1)

IDEmpfehlungAdressiert
R-004Rate Limiting implementierenT-IMPACT-002
R-005Verschlüsselung ruhender Token hinzufügenT-ACCESS-003
R-006UX und Validierung für Exec-Genehmigungen verbessernT-EXEC-004
R-007URL-Allowlisting für web_fetch implementierenT-EXFIL-001

6.3 Mittelfristig (P2)

IDEmpfehlungAdressiert
R-008Kryptografische Channel-Verifikation hinzufügen, wo möglichT-ACCESS-002
R-009Integritätsprüfung der Konfiguration implementierenT-PERSIST-003
R-010Update-Signierung und Version Pinning hinzufügenT-PERSIST-002

7. Anhänge

7.1 Zuordnung zu ATLAS-Techniken

ATLAS-IDName der TechnikOpenClaw-Bedrohungen
AML.T0006Active ScanningT-RECON-001, T-RECON-002
AML.T0009CollectionT-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001Supply Chain: AI SoftwareT-PERSIST-001, T-PERSIST-002
AML.T0010.002Supply Chain: DataT-PERSIST-003
AML.T0031Erode AI Model IntegrityT-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040AI Model Inference API AccessT-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043Craft Adversarial DataT-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000LLM Prompt Injection: DirectT-EXEC-001, T-EXEC-003
AML.T0051.001LLM Prompt Injection: IndirectT-EXEC-002

7.2 Wichtige Sicherheitsdateien

PfadZweckRisikostufe
src/infra/exec-approvals.tsLogik für BefehlsgenehmigungenKritisch
src/gateway/auth.tsGateway-AuthentifizierungKritisch
src/infra/net/ssrf.tsSSRF-SchutzKritisch
src/security/external-content.tsSchutz vor Prompt InjectionKritisch
src/agents/sandbox/tool-policy.tsDurchsetzung von Tool-RichtlinienKritisch
src/routing/resolve-route.tsSitzungsisolierungMittel

7.3 Glossar

BegriffDefinition
ATLASMITREs Adversarial Threat Landscape for AI Systems
ClawHubOpenClaws Skills-Marketplace
GatewayOpenClaws Schicht für Nachrichtenrouting und Authentifizierung
MCPModel Context Protocol - Schnittstelle für Tool-Provider
Prompt InjectionAngriff, bei dem bösartige Anweisungen in Eingaben eingebettet sind
SkillHerunterladbare Erweiterung für OpenClaw-Agenten
SSRFServer-Side Request Forgery
Dieses Bedrohungsmodell ist ein lebendes Dokument. Melden Sie Sicherheitsprobleme an security@openclaw.ai