Modelo de amenazas (MITRE ATLAS)

marco MITRE ATLAS

Versión: 1.0-borrador Última actualización: 2026-02-04 Metodología: MITRE ATLAS + diagramas de flujo de datos Marco: MITRE ATLAS (panorama de amenazas adversarias para sistemas de IA)

Atribución del marco

Este modelo de amenazas se basa en MITRE ATLAS, el marco estándar de la industria para documentar amenazas adversarias contra sistemas de IA/ML. ATLAS es mantenido por MITRE en colaboración con la comunidad de seguridad de IA. Recursos clave de ATLAS:

Contribuir a este modelo de amenazas

Este es un documento vivo mantenido por la comunidad de OpenClaw. Consulta CONTRIBUTING-THREAT-MODEL.md para ver las pautas de contribución:

Informar sobre nuevas amenazas
Actualizar amenazas existentes
Proponer cadenas de ataque
Sugerir mitigaciones

1. Introducción

1.1 Propósito

Este modelo de amenazas documenta amenazas adversarias contra la plataforma de agentes de IA OpenClaw y el mercado de Skills ClawHub, usando el marco MITRE ATLAS diseñado específicamente para sistemas de IA/ML.

1.2 Alcance

Componente	Incluido	Notas
Runtime de agente OpenClaw	Sí	Ejecución central de agentes, llamadas a herramientas, sesiones
Gateway	Sí	Autenticación, enrutamiento, integración de canales
Integraciones de canales	Sí	WhatsApp, Telegram, Discord, Signal, Slack, etc.
Marketplace de ClawHub	Sí	Publicación, moderación y distribución de Skills
Servidores MCP	Sí	Proveedores externos de herramientas
Dispositivos de usuario	Parcial	Aplicaciones móviles, clientes de escritorio

1.3 Fuera de alcance

Nada queda explícitamente fuera del alcance de este modelo de amenazas.

2. Arquitectura del sistema

2.1 Límites de confianza

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Flujos de datos

Flujo	Origen	Destino	Datos	Protección
F1	Canal	Gateway	Mensajes de usuario	TLS, AllowFrom
F2	Gateway	Agente	Mensajes enrutados	Aislamiento de sesión
F3	Agente	Herramientas	Invocaciones de herramientas	Aplicación de políticas
F4	Agente	Externo	solicitudes web_fetch	Bloqueo de SSRF
F5	ClawHub	Agente	Código de Skills	Moderación, escaneo
F6	Agente	Canal	Respuestas	Filtrado de salida

3. Análisis de amenazas por táctica de ATLAS

3.1 Reconocimiento (AML.TA0002)

T-RECON-001: Detección de endpoints de agentes

Atributo	Valor
ID de ATLAS	AML.T0006 - Escaneo activo
Descripción	El atacante escanea endpoints expuestos del gateway de OpenClaw
Vector de ataque	Escaneo de red, consultas de Shodan, enumeración de DNS
Componentes afectados	Gateway, endpoints de API expuestos
Mitigaciones actuales	Opción de autenticación con Tailscale, enlace a loopback de forma predeterminada
Riesgo residual	Medio - Los gateways públicos son detectables
Recomendaciones	Documentar el despliegue seguro, añadir limitación de tasa en endpoints de detección

T-RECON-002: Sondeo de integración de canales

Atributo	Valor
ID de ATLAS	AML.T0006 - Escaneo activo
Descripción	El atacante sondea canales de mensajería para identificar cuentas administradas por IA
Vector de ataque	Envío de mensajes de prueba, observación de patrones de respuesta
Componentes afectados	Todas las integraciones de canales
Mitigaciones actuales	Ninguna específica
Riesgo residual	Bajo - Valor limitado solo con el descubrimiento
Recomendaciones	Considerar la aleatorización del tiempo de respuesta

3.2 Acceso inicial (AML.TA0004)

T-ACCESS-001: Intercepción de código de emparejamiento

Atributo	Valor
ID de ATLAS	AML.T0040 - Acceso a la API de inferencia del modelo de IA
Descripción	El atacante intercepta el código de emparejamiento durante el período de gracia de emparejamiento (1 h para el emparejamiento de canal de DM, 5 min para el emparejamiento de Node)
Vector de ataque	Mirar por encima del hombro, rastreo de red, ingeniería social
Componentes afectados	Sistema de emparejamiento de dispositivos
Mitigaciones actuales	Vencimiento de 1 h (emparejamiento de DM) / vencimiento de 5 min (emparejamiento de Node), códigos enviados mediante el canal existente
Riesgo residual	Medio - Período de gracia explotable
Recomendaciones	Reducir el período de gracia, agregar paso de confirmación

T-ACCESS-002: Suplantación de AllowFrom

Atributo	Valor
ID de ATLAS	AML.T0040 - Acceso a la API de inferencia del modelo de IA
Descripción	El atacante suplanta la identidad de remitente permitida en el canal
Vector de ataque	Depende del canal - suplantación de número telefónico, suplantación de nombre de usuario
Componentes afectados	Validación de AllowFrom por canal
Mitigaciones actuales	Verificación de identidad específica del canal
Riesgo residual	Medio - Algunos canales son vulnerables a la suplantación
Recomendaciones	Documentar riesgos específicos del canal, agregar verificación criptográfica cuando sea posible

T-ACCESS-003: Robo de tokens

Atributo	Valor
ID de ATLAS	AML.T0040 - Acceso a la API de inferencia del modelo de IA
Descripción	El atacante roba tokens de autenticación de archivos de configuración
Vector de ataque	Malware, acceso no autorizado al dispositivo, exposición de copias de seguridad de configuración
Componentes afectados	~/.openclaw/credentials/, almacenamiento de configuración
Mitigaciones actuales	Permisos de archivo
Riesgo residual	Alto - Tokens almacenados en texto sin formato
Recomendaciones	Implementar cifrado de tokens en reposo, agregar rotación de tokens

3.3 Ejecución (AML.TA0005)

T-EXEC-001: Inyección directa de instrucciones

Atributo	Valor
ID de ATLAS	AML.T0051.000 - Inyección directa de instrucciones en LLM
Descripción	El atacante envía instrucciones diseñadas para manipular el comportamiento del agente
Vector de ataque	Mensajes de canal que contienen instrucciones adversarias
Componentes afectados	LLM del agente, todas las superficies de entrada
Mitigaciones actuales	Detección de patrones, envoltura de contenido externo
Riesgo residual	Crítico - Solo detección, sin bloqueo; los ataques sofisticados la eluden
Recomendaciones	Implementar defensa multicapa, validación de salida, confirmación del usuario para acciones sensibles

T-EXEC-002: Inyección indirecta de instrucciones

Atributo	Valor
ID de ATLAS	AML.T0051.001 - Inyección indirecta de instrucciones en LLM
Descripción	El atacante inserta instrucciones maliciosas en contenido recuperado
Vector de ataque	URL maliciosas, correos electrónicos envenenados, Webhooks comprometidos
Componentes afectados	web_fetch, ingesta de correo electrónico, fuentes de datos externas
Mitigaciones actuales	Envoltura de contenido con etiquetas XML y aviso de seguridad
Riesgo residual	Alto - El LLM puede ignorar las instrucciones de la envoltura
Recomendaciones	Implementar saneamiento de contenido, separar contextos de ejecución

T-EXEC-003: Inyección de argumentos de herramientas

Atributo	Valor
ID de ATLAS	AML.T0051.000 - Inyección directa de instrucciones en LLM
Descripción	El atacante manipula argumentos de herramientas mediante inyección de instrucciones
Vector de ataque	Instrucciones diseñadas que influyen en los valores de parámetros de herramientas
Componentes afectados	Todas las invocaciones de herramientas
Mitigaciones actuales	Aprobaciones de ejecución para comandos peligrosos
Riesgo residual	Alto - Depende del criterio del usuario
Recomendaciones	Implementar validación de argumentos, llamadas a herramientas parametrizadas

T-EXEC-004: Omisión de aprobación de ejecución

Atributo	Valor
ID de ATLAS	AML.T0043 - Crear datos adversarios
Descripción	El atacante crea comandos que omiten la lista de permitidos de aprobación
Vector de ataque	Ofuscación de comandos, explotación de alias, manipulación de rutas
Componentes afectados	exec-approvals.ts, lista de permitidos de comandos
Mitigaciones actuales	Lista de permitidos + modo de solicitud
Riesgo residual	Alto - Sin saneamiento de comandos
Recomendaciones	Implementar normalización de comandos, ampliar la lista de bloqueo

3.4 Persistencia (AML.TA0006)

T-PERSIST-001: Instalación de Skill maliciosa

Atributo	Valor
ID de ATLAS	AML.T0010.001 - Compromiso de la cadena de suministro: software de IA
Descripción	El atacante publica una Skill maliciosa en ClawHub
Vector de ataque	Crear cuenta, publicar Skill con código malicioso oculto
Componentes afectados	ClawHub, carga de Skills, ejecución del agente
Mitigaciones actuales	Verificación de antigüedad de cuenta de GitHub, indicadores de moderación basados en patrones
Riesgo residual	Crítico - Sin aislamiento, revisión limitada
Recomendaciones	Integración con VirusTotal (en curso), aislamiento de Skills, revisión comunitaria

T-PERSIST-002: Envenenamiento de actualización de Skill

Atributo	Valor
ID de ATLAS	AML.T0010.001 - Compromiso de la cadena de suministro: software de IA
Descripción	El atacante compromete una Skill popular e impulsa una actualización maliciosa
Vector de ataque	Compromiso de cuenta, ingeniería social del propietario de la Skill
Componentes afectados	Versionado de ClawHub, flujos de actualización automática
Mitigaciones actuales	Huella digital de versión
Riesgo residual	Alto - Las actualizaciones automáticas pueden obtener versiones maliciosas
Recomendaciones	Implementar firma de actualizaciones, capacidad de reversión, fijación de versión

T-PERSIST-003: Manipulación de configuración del agente

Atributo	Valor
ID de ATLAS	AML.T0010.002 - Compromiso de la cadena de suministro: datos
Descripción	El atacante modifica la configuración del agente para persistir el acceso
Vector de ataque	Modificación de archivos de configuración, inyección de ajustes
Componentes afectados	Configuración del agente, políticas de herramientas
Mitigaciones actuales	Permisos de archivo
Riesgo residual	Medio - Requiere acceso local
Recomendaciones	Verificación de integridad de configuración, registro de auditoría para cambios de configuración

3.5 Evasión de defensa (AML.TA0007)

T-EVADE-001: Omisión de patrones de moderación

Atributo	Valor
ID de ATLAS	AML.T0043 - Crear datos adversarios
Descripción	El atacante crea contenido de Skill para evadir patrones de moderación
Vector de ataque	Homoglifos Unicode, trucos de codificación, carga dinámica
Componentes afectados	ClawHub moderation.ts
Mitigaciones actuales	FLAG_RULES basadas en patrones
Riesgo residual	Alto - Expresión regular simple que se elude fácilmente
Recomendaciones	Agregar análisis de comportamiento (VirusTotal Code Insight), detección basada en AST

T-EVADE-002: Escape de envoltura de contenido

Atributo	Valor
ID ATLAS	AML.T0043 - Crear datos adversarios
Descripción	El atacante crea contenido que escapa del contexto del contenedor XML
Vector de ataque	Manipulación de etiquetas, confusión de contexto, anulación de instrucciones
Componentes afectados	Envoltura de contenido externo
Mitigaciones actuales	Etiquetas XML + aviso de seguridad
Riesgo residual	Medio - Se descubren escapes nuevos con regularidad
Recomendaciones	Varias capas de envoltura, validación del lado de salida

3.6 Descubrimiento (AML.TA0008)

T-DISC-001: Enumeración de herramientas

Atributo	Valor
ID ATLAS	AML.T0040 - Acceso a la API de inferencia de modelos de IA
Descripción	El atacante enumera las herramientas disponibles mediante indicaciones
Vector de ataque	Consultas del estilo “¿Qué herramientas tienes?”
Componentes afectados	Registro de herramientas del agente
Mitigaciones actuales	Ninguna específica
Riesgo residual	Bajo - Las herramientas suelen estar documentadas
Recomendaciones	Considerar controles de visibilidad de herramientas

T-DISC-002: Extracción de datos de sesión

Atributo	Valor
ID ATLAS	AML.T0040 - Acceso a la API de inferencia de modelos de IA
Descripción	El atacante extrae datos confidenciales del contexto de sesión
Vector de ataque	Consultas “¿Qué discutimos?”, sondeo de contexto
Componentes afectados	Transcripciones de sesión, ventana de contexto
Mitigaciones actuales	Aislamiento de sesión por remitente
Riesgo residual	Medio - Los datos dentro de la sesión son accesibles
Recomendaciones	Implementar censura de datos confidenciales en el contexto

3.7 Recopilación y exfiltración (AML.TA0009, AML.TA0010)

T-EXFIL-001: Robo de datos mediante web_fetch

Atributo	Valor
ID ATLAS	AML.T0009 - Recopilación
Descripción	El atacante exfiltra datos indicando al agente que los envíe a una URL externa
Vector de ataque	Inyección de instrucciones que hace que el agente envíe datos por POST al servidor del atacante
Componentes afectados	Herramienta web_fetch
Mitigaciones actuales	Bloqueo de SSRF para redes internas
Riesgo residual	Alto - Se permiten URL externas
Recomendaciones	Implementar listas de URL permitidas, conciencia de clasificación de datos

T-EXFIL-002: Envío no autorizado de mensajes

Atributo	Valor
ID ATLAS	AML.T0009 - Recopilación
Descripción	El atacante hace que el agente envíe mensajes que contienen datos confidenciales
Vector de ataque	Inyección de instrucciones que hace que el agente envíe un mensaje al atacante
Componentes afectados	Herramienta de mensajes, integraciones de canales
Mitigaciones actuales	Control de mensajes salientes
Riesgo residual	Medio - El control puede omitirse
Recomendaciones	Exigir confirmación explícita para nuevos destinatarios

T-EXFIL-003: Recolección de credenciales

Atributo	Valor
ID ATLAS	AML.T0009 - Recopilación
Descripción	Una Skill maliciosa recolecta credenciales del contexto del agente
Vector de ataque	El código de la Skill lee variables de entorno y archivos de configuración
Componentes afectados	Entorno de ejecución de Skills
Mitigaciones actuales	Ninguna específica para Skills
Riesgo residual	Crítico - Las Skills se ejecutan con privilegios de agente
Recomendaciones	Aislamiento de Skills, aislamiento de credenciales

3.8 Impacto (AML.TA0011)

T-IMPACT-001: Ejecución no autorizada de comandos

Atributo	Valor
ID ATLAS	AML.T0031 - Erosionar la integridad del modelo de IA
Descripción	El atacante ejecuta comandos arbitrarios en el sistema del usuario
Vector de ataque	Inyección de instrucciones combinada con omisión de aprobación de ejecución
Componentes afectados	Herramienta Bash, ejecución de comandos
Mitigaciones actuales	Aprobaciones de ejecución, opción de entorno aislado Docker
Riesgo residual	Crítico - Ejecución en el host sin entorno aislado
Recomendaciones	Usar entorno aislado de forma predeterminada, mejorar la experiencia de aprobación

T-IMPACT-002: Agotamiento de recursos (DoS)

Atributo	Valor
ID ATLAS	AML.T0031 - Erosionar la integridad del modelo de IA
Descripción	El atacante agota créditos de API o recursos de cómputo
Vector de ataque	Inundación automatizada de mensajes, llamadas costosas a herramientas
Componentes afectados	Gateway, sesiones de agente, proveedor de API
Mitigaciones actuales	Ninguna
Riesgo residual	Alto - Sin limitación de tasa
Recomendaciones	Implementar límites de tasa por remitente y presupuestos de coste

T-IMPACT-003: Daño reputacional

Atributo	Valor
ID ATLAS	AML.T0031 - Erosionar la integridad del modelo de IA
Descripción	El atacante hace que el agente envíe contenido dañino u ofensivo
Vector de ataque	Inyección de instrucciones que provoca respuestas inapropiadas
Componentes afectados	Generación de salida, mensajería de canales
Mitigaciones actuales	Políticas de contenido del proveedor de LLM
Riesgo residual	Medio - Los filtros del proveedor son imperfectos
Recomendaciones	Capa de filtrado de salida, controles de usuario

4. Análisis de cadena de suministro de ClawHub

4.1 Controles de seguridad actuales

Control	Implementación	Eficacia
Antigüedad de la cuenta de GitHub	`requireGitHubAccountAge()`	Media - Eleva la barrera para nuevos atacantes
Saneamiento de rutas	`sanitizePath()`	Alta - Evita el recorrido de rutas
Validación de tipo de archivo	`isTextFile()`	Media - Solo archivos de texto, pero aún pueden ser maliciosos
Límites de tamaño	Paquete total de 50 MB	Alta - Evita el agotamiento de recursos
SKILL.md obligatorio	Léame obligatorio	Bajo valor de seguridad - Solo informativo
Moderación de patrones	FLAG_RULES en moderation.ts	Baja - Se omite fácilmente
Estado de moderación	Campo `moderationStatus`	Media - La revisión manual es posible

4.2 Patrones de marcas de moderación

Patrones actuales en moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Limitaciones:

Solo comprueba slug, displayName, resumen, frontmatter, metadatos y rutas de archivo
No analiza el contenido real del código de la Skill
Las expresiones regulares simples se omiten fácilmente con ofuscación
Sin análisis de comportamiento

4.3 Mejoras planificadas

Mejora	Estado	Impacto
Integración con VirusTotal	En curso	Alto - Análisis de comportamiento de Code Insight
Informes de la comunidad	Parcial (existe la tabla `skillReports`)	Medio
Registro de auditoría	Parcial (existe la tabla `auditLogs`)	Medio
Sistema de insignias	Implementado	Medio - `highlighted`, `official`, `deprecated`, `redactionApproved`

5. Matriz de riesgos

5.1 Probabilidad frente a impacto

ID de amenaza	Probabilidad	Impacto	Nivel de riesgo	Prioridad
T-EXEC-001	Alta	Crítico	Crítico	P0
T-PERSIST-001	Alta	Crítico	Crítico	P0
T-EXFIL-003	Media	Crítico	Crítico	P0
T-IMPACT-001	Media	Crítico	Alto	P1
T-EXEC-002	Alta	Alto	Alto	P1
T-EXEC-004	Media	Alto	Alto	P1
T-ACCESS-003	Media	Alto	Alto	P1
T-EXFIL-001	Media	Alto	Alto	P1
T-IMPACT-002	Alta	Medio	Alto	P1
T-EVADE-001	Alta	Medio	Medio	P2
T-ACCESS-001	Baja	Alto	Medio	P2
T-ACCESS-002	Baja	Alto	Medio	P2
T-PERSIST-002	Baja	Alto	Medio	P2

5.2 Cadenas de ataque de ruta crítica

Cadena de ataque 1: robo de datos basado en Skills

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Cadena de ataque 2: inyección de instrucciones a RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Cadena de ataque 3: inyección indirecta mediante contenido obtenido

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Resumen de recomendaciones

6.1 Inmediatas (P0)

ID	Recomendación	Aborda
R-001	Completar la integración de VirusTotal	T-PERSIST-001, T-EVADE-001
R-002	Implementar el aislamiento de Skills	T-PERSIST-001, T-EXFIL-003
R-003	Agregar validación de salida para acciones sensibles	T-EXEC-001, T-EXEC-002

6.2 Corto plazo (P1)

ID	Recomendación	Aborda
R-004	Implementar limitación de tasa	T-IMPACT-002
R-005	Agregar cifrado de tokens en reposo	T-ACCESS-003
R-006	Mejorar la UX de aprobación de exec y la validación	T-EXEC-004
R-007	Implementar lista de permitidos de URL para web_fetch	T-EXFIL-001

6.3 Mediano plazo (P2)

ID	Recomendación	Aborda
R-008	Agregar verificación criptográfica de canal cuando sea posible	T-ACCESS-002
R-009	Implementar verificación de integridad de la configuración	T-PERSIST-003
R-010	Agregar firma de actualizaciones y fijación de versiones	T-PERSIST-002

7. Apéndices

7.1 Mapeo de técnicas ATLAS

ID de ATLAS	Nombre de la técnica	Amenazas de OpenClaw
AML.T0006	Escaneo activo	T-RECON-001, T-RECON-002
AML.T0009	Recopilación	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	Cadena de suministro: software de IA	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	Cadena de suministro: datos	T-PERSIST-003
AML.T0031	Erosionar la integridad del modelo de IA	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	Acceso a la API de inferencia del modelo de IA	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	Crear datos adversariales	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	Inyección de prompts en LLM: directa	T-EXEC-001, T-EXEC-003
AML.T0051.001	Inyección de prompts en LLM: indirecta	T-EXEC-002

7.2 Archivos de seguridad clave

Ruta	Propósito	Nivel de riesgo
`src/infra/exec-approvals.ts`	Lógica de aprobación de comandos	Crítico
`src/gateway/auth.ts`	Autenticación de Gateway	Crítico
`src/infra/net/ssrf.ts`	Protección contra SSRF	Crítico
`src/security/external-content.ts`	Mitigación de inyección de prompts	Crítico
`src/agents/sandbox/tool-policy.ts`	Aplicación de políticas de herramientas	Crítico
`src/routing/resolve-route.ts`	Aislamiento de sesiones	Medio

7.3 Glosario

Término	Definición
ATLAS	Panorama de amenazas adversariales de MITRE para sistemas de IA
ClawHub	Marketplace de Skills de OpenClaw
Gateway	Capa de autenticación y enrutamiento de mensajes de OpenClaw
MCP	Protocolo de contexto de modelo: interfaz de proveedor de herramientas
Inyección de prompts	Ataque en el que se incrustan instrucciones maliciosas en la entrada
Skill	Extensión descargable para agentes de OpenClaw
SSRF	Falsificación de solicitudes del lado del servidor

Este modelo de amenazas es un documento vivo. Reporta problemas de seguridad a security@openclaw.ai

Gateway

Remote access

Security

Nodes and media

Web interfaces

Documentation Index

​marco MITRE ATLAS

​Atribución del marco

​Contribuir a este modelo de amenazas

​1. Introducción

​1.1 Propósito

​1.2 Alcance

​1.3 Fuera de alcance

​2. Arquitectura del sistema

​2.1 Límites de confianza

​2.2 Flujos de datos

​3. Análisis de amenazas por táctica de ATLAS

​3.1 Reconocimiento (AML.TA0002)

​T-RECON-001: Detección de endpoints de agentes

​T-RECON-002: Sondeo de integración de canales

​3.2 Acceso inicial (AML.TA0004)

​T-ACCESS-001: Intercepción de código de emparejamiento

​T-ACCESS-002: Suplantación de AllowFrom

​T-ACCESS-003: Robo de tokens

​3.3 Ejecución (AML.TA0005)

​T-EXEC-001: Inyección directa de instrucciones

​T-EXEC-002: Inyección indirecta de instrucciones

​T-EXEC-003: Inyección de argumentos de herramientas

​T-EXEC-004: Omisión de aprobación de ejecución

​3.4 Persistencia (AML.TA0006)

​T-PERSIST-001: Instalación de Skill maliciosa

​T-PERSIST-002: Envenenamiento de actualización de Skill

​T-PERSIST-003: Manipulación de configuración del agente

​3.5 Evasión de defensa (AML.TA0007)

​T-EVADE-001: Omisión de patrones de moderación

​T-EVADE-002: Escape de envoltura de contenido

​3.6 Descubrimiento (AML.TA0008)

​T-DISC-001: Enumeración de herramientas

​T-DISC-002: Extracción de datos de sesión

​3.7 Recopilación y exfiltración (AML.TA0009, AML.TA0010)

​T-EXFIL-001: Robo de datos mediante web_fetch

​T-EXFIL-002: Envío no autorizado de mensajes

​T-EXFIL-003: Recolección de credenciales

​3.8 Impacto (AML.TA0011)

​T-IMPACT-001: Ejecución no autorizada de comandos

​T-IMPACT-002: Agotamiento de recursos (DoS)

​T-IMPACT-003: Daño reputacional

​4. Análisis de cadena de suministro de ClawHub

​4.1 Controles de seguridad actuales

​4.2 Patrones de marcas de moderación

​4.3 Mejoras planificadas

​5. Matriz de riesgos

​5.1 Probabilidad frente a impacto

​5.2 Cadenas de ataque de ruta crítica

​6. Resumen de recomendaciones

​6.1 Inmediatas (P0)

​6.2 Corto plazo (P1)

​6.3 Mediano plazo (P2)

​7. Apéndices

​7.1 Mapeo de técnicas ATLAS

​7.2 Archivos de seguridad clave

​7.3 Glosario

​Relacionado