Saltar al contenido principal

Modelo de amenazas de OpenClaw v1.0

Marco MITRE ATLAS

Version: 1.0-draft Last Updated: 2026-02-04 Methodology: MITRE ATLAS + diagramas de flujo de datos Framework: MITRE ATLAS (Panorama de amenazas adversarias para sistemas de IA)

Atribución del marco

Este modelo de amenazas se basa en MITRE ATLAS, el marco estándar de la industria para documentar amenazas adversarias a sistemas de IA/ML. ATLAS es mantenido por MITRE en colaboración con la comunidad de seguridad de IA. Recursos clave de ATLAS:

Cómo contribuir a este modelo de amenazas

Este es un documento vivo mantenido por la comunidad de OpenClaw. Consulta CONTRIBUTING-THREAT-MODEL.md para ver las directrices sobre cómo contribuir:
  • Informar sobre nuevas amenazas
  • Actualizar amenazas existentes
  • Proponer cadenas de ataque
  • Sugerir mitigaciones

1. Introducción

1.1 Propósito

Este modelo de amenazas documenta amenazas adversarias para la plataforma de agentes de IA OpenClaw y el marketplace de Skills ClawHub, utilizando el marco MITRE ATLAS diseñado específicamente para sistemas de IA/ML.

1.2 Alcance

ComponentIncludedNotes
Runtime del agente OpenClawEjecución central del agente, llamadas a herramientas, sesiones
GatewayAutenticación, enrutamiento, integración de canales
Integraciones de canalesWhatsApp, Telegram, Discord, Signal, Slack, etc.
Marketplace ClawHubPublicación, moderación y distribución de Skills
Servidores MCPProveedores de herramientas externos
Dispositivos de usuarioParcialApps móviles, clientes de escritorio

1.3 Fuera de alcance

No hay nada explícitamente fuera del alcance de este modelo de amenazas.

2. Arquitectura del sistema

2.1 Límites de confianza

┌─────────────────────────────────────────────────────────────────┐
│                    ZONA NO CONFIABLE                              │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│               LÍMITE DE CONFIANZA 1: Acceso al canal              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Emparejamiento de dispositivos (1 h en DM / período de gracia de 5 min para nodo) │   │
│  │  • Validación de AllowFrom / AllowList                       │   │
│  │  • Autenticación con token/contraseña/Tailscale                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│              LÍMITE DE CONFIANZA 2: Aislamiento de sesiones       │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                 SESIONES DEL AGENTE                        │   │
│  │  • Clave de sesión = agent:channel:peer                   │   │
│  │  • Políticas de herramientas por agente                                │   │
│  │  • Registro de transcripciones                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│             LÍMITE DE CONFIANZA 3: Ejecución de herramientas      │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │               SANDBOX DE EJECUCIÓN                        │   │
│  │  • Sandbox de Docker O host (exec-approvals)                │   │
│  │  • Ejecución remota de Node                                  │   │
│  │  • Protección SSRF (fijación de DNS + bloqueo de IP)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│              LÍMITE DE CONFIANZA 4: Contenido externo            │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │           URLS / CORREOS / WEBHOOKS OBTENIDOS             │   │
│  │  • Envoltura de contenido externo (etiquetas XML)                   │   │
│  │  • Inyección de avisos de seguridad                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│              LÍMITE DE CONFIANZA 5: Cadena de suministro         │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Publicación de Skills (semver, SKILL.md obligatorio)           │   │
│  │  • Marcas de moderación basadas en patrones                         │   │
│  │  • Escaneo con VirusTotal (próximamente)                      │   │
│  │  • Verificación de antigüedad de cuenta de GitHub                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Flujos de datos

FlowSourceDestinationDataProtection
F1CanalGatewayMensajes de usuarioTLS, AllowFrom
F2GatewayAgenteMensajes enrutadosAislamiento de sesiones
F3AgenteHerramientasInvocaciones de herramientasAplicación de políticas
F4AgenteExternosolicitudes web_fetchBloqueo SSRF
F5ClawHubAgenteCódigo de SkillModeración, escaneo
F6AgenteCanalRespuestasFiltrado de salida

3. Análisis de amenazas por táctica de ATLAS

3.1 Reconocimiento (AML.TA0002)

T-RECON-001: Descubrimiento del endpoint del agente

AttributeValue
ATLAS IDAML.T0006 - Escaneo activo
DescriptionEl atacante escanea endpoints expuestos del gateway de OpenClaw
Attack VectorEscaneo de red, consultas en shodan, enumeración DNS
Affected ComponentsGateway, endpoints API expuestos
Current MitigationsOpción de autenticación con Tailscale, vinculación a local loopback de forma predeterminada
Residual RiskMedio - Gateways públicos detectables
RecommendationsDocumentar un despliegue seguro, añadir limitación de tasa en endpoints de descubrimiento

T-RECON-002: Sondeo de integraciones de canales

AttributeValue
ATLAS IDAML.T0006 - Escaneo activo
DescriptionEl atacante sondea canales de mensajería para identificar cuentas gestionadas por IA
Attack VectorEnvío de mensajes de prueba, observación de patrones de respuesta
Affected ComponentsTodas las integraciones de canales
Current MitigationsNinguna específica
Residual RiskBajo - Valor limitado del descubrimiento por sí solo
RecommendationsConsiderar aleatorización en el tiempo de respuesta

3.2 Acceso inicial (AML.TA0004)

T-ACCESS-001: Intercepción del código de emparejamiento

AttributeValue
ATLAS IDAML.T0040 - Acceso a la API de inferencia del modelo de IA
DescriptionEl atacante intercepta el código de emparejamiento durante el período de gracia del emparejamiento (1 h para emparejamiento de canal DM, 5 min para emparejamiento de nodos)
Attack VectorObservación por encima del hombro, sniffing de red, ingeniería social
Affected ComponentsSistema de emparejamiento de dispositivos
Current MitigationsExpiración de 1 h (emparejamiento DM) / expiración de 5 min (emparejamiento de nodos), códigos enviados a través del canal existente
Residual RiskMedio - El período de gracia puede explotarse
RecommendationsReducir el período de gracia, añadir un paso de confirmación

T-ACCESS-002: Suplantación de AllowFrom

AttributeValue
ATLAS IDAML.T0040 - Acceso a la API de inferencia del modelo de IA
DescriptionEl atacante suplanta la identidad del remitente permitido en el canal
Attack VectorDepende del canal: suplantación de número de teléfono, suplantación de nombre de usuario
Affected ComponentsValidación de AllowFrom por canal
Current MitigationsVerificación de identidad específica del canal
Residual RiskMedio - Algunos canales son vulnerables a la suplantación
RecommendationsDocumentar riesgos específicos por canal, añadir verificación criptográfica cuando sea posible

T-ACCESS-003: Robo de tokens

AttributeValue
ATLAS IDAML.T0040 - Acceso a la API de inferencia del modelo de IA
DescriptionEl atacante roba tokens de autenticación de archivos de configuración
Attack VectorMalware, acceso no autorizado al dispositivo, exposición de copias de seguridad de configuración
Affected Components~/.openclaw/credentials/, almacenamiento de configuración
Current MitigationsPermisos de archivo
Residual RiskAlto - Los tokens se almacenan en texto plano
RecommendationsImplementar cifrado de tokens en reposo, añadir rotación de tokens

3.3 Ejecución (AML.TA0005)

T-EXEC-001: Inyección directa de prompts

AttributeValue
ATLAS IDAML.T0051.000 - Inyección de prompts en LLM: directa
DescriptionEl atacante envía prompts manipulados para alterar el comportamiento del agente
Attack VectorMensajes del canal que contienen instrucciones adversarias
Affected ComponentsLLM del agente, todas las superficies de entrada
Current MitigationsDetección de patrones, envoltura de contenido externo
Residual RiskCrítico - Solo detección, sin bloqueo; los ataques sofisticados la eluden
RecommendationsImplementar defensa multicapa, validación de salida, confirmación del usuario para acciones sensibles

T-EXEC-002: Inyección indirecta de prompts

AttributeValue
ATLAS IDAML.T0051.001 - Inyección de prompts en LLM: indirecta
DescriptionEl atacante incrusta instrucciones maliciosas en contenido obtenido
Attack VectorURLs maliciosas, correos envenenados, webhooks comprometidos
Affected Componentsweb_fetch, ingestión de correo, fuentes de datos externas
Current MitigationsEnvoltura de contenido con etiquetas XML y aviso de seguridad
Residual RiskAlto - El LLM puede ignorar las instrucciones de envoltura
RecommendationsImplementar sanitización de contenido, separar contextos de ejecución

T-EXEC-003: Inyección de argumentos de herramientas

AttributeValue
ATLAS IDAML.T0051.000 - Inyección de prompts en LLM: directa
DescriptionEl atacante manipula argumentos de herramientas mediante inyección de prompts
Attack VectorPrompts manipulados que influyen en los valores de parámetros de herramientas
Affected ComponentsTodas las invocaciones de herramientas
Current Mitigationsexec approvals para comandos peligrosos
Residual RiskAlto - Depende del juicio del usuario
RecommendationsImplementar validación de argumentos, llamadas a herramientas parametrizadas

T-EXEC-004: Evasión de la aprobación de ejecución

AttributeValue
ATLAS IDAML.T0043 - Crear datos adversarios
DescriptionEl atacante crea comandos que evaden la allowlist de aprobación
Attack VectorOfuscación de comandos, explotación de alias, manipulación de rutas
Affected Componentsexec-approvals.ts, allowlist de comandos
Current MitigationsAllowlist + modo de consulta
Residual RiskAlto - Sin sanitización de comandos
RecommendationsImplementar normalización de comandos, ampliar la blocklist

3.4 Persistencia (AML.TA0006)

T-PERSIST-001: Instalación de Skill maliciosa

AttributeValue
ATLAS IDAML.T0010.001 - Compromiso de la cadena de suministro: software de IA
DescriptionEl atacante publica una Skill maliciosa en ClawHub
Attack VectorCrear una cuenta, publicar una Skill con código malicioso oculto
Affected ComponentsClawHub, carga de Skills, ejecución del agente
Current MitigationsVerificación de antigüedad de la cuenta de GitHub, marcas de moderación basadas en patrones
Residual RiskCrítico - Sin sandboxing, revisión limitada
RecommendationsIntegración con VirusTotal (en curso), sandboxing de Skills, revisión comunitaria

T-PERSIST-002: Envenenamiento de actualizaciones de Skills

AttributeValue
ATLAS IDAML.T0010.001 - Compromiso de la cadena de suministro: software de IA
DescriptionEl atacante compromete una Skill popular y envía una actualización maliciosa
Attack VectorCompromiso de cuenta, ingeniería social al propietario de la Skill
Affected ComponentsVersionado de ClawHub, flujos de actualización automática
Current MitigationsHuella digital de versiones
Residual RiskAlto - Las actualizaciones automáticas pueden incorporar versiones maliciosas
RecommendationsImplementar firma de actualizaciones, capacidad de reversión, fijación de versiones

T-PERSIST-003: Manipulación de configuración del agente

AttributeValue
ATLAS IDAML.T0010.002 - Compromiso de la cadena de suministro: datos
DescriptionEl atacante modifica la configuración del agente para mantener el acceso
Attack VectorModificación de archivos de configuración, inyección de ajustes
Affected ComponentsConfiguración del agente, políticas de herramientas
Current MitigationsPermisos de archivo
Residual RiskMedio - Requiere acceso local
RecommendationsVerificación de integridad de configuración, registro de auditoría para cambios de configuración

3.5 Evasión de defensas (AML.TA0007)

T-EVADE-001: Evasión de patrones de moderación

AttributeValue
ATLAS IDAML.T0043 - Crear datos adversarios
DescriptionEl atacante crea contenido de Skill para evadir patrones de moderación
Attack VectorHomoglifos Unicode, trucos de codificación, carga dinámica
Affected ComponentsModeración de ClawHub moderation.ts
Current MitigationsFLAG_RULES basadas en patrones
Residual RiskAlto - Regex simples se eluden con facilidad
RecommendationsAñadir análisis de comportamiento (VirusTotal Code Insight), detección basada en AST

T-EVADE-002: Escape de la envoltura de contenido

AttributeValue
ATLAS IDAML.T0043 - Crear datos adversarios
DescriptionEl atacante crea contenido que escapa del contexto de la envoltura XML
Attack VectorManipulación de etiquetas, confusión de contexto, sobrescritura de instrucciones
Affected ComponentsEnvoltura de contenido externo
Current MitigationsEtiquetas XML + aviso de seguridad
Residual RiskMedio - Se descubren regularmente escapes novedosos
RecommendationsMúltiples capas de envoltura, validación en el lado de la salida

3.6 Descubrimiento (AML.TA0008)

T-DISC-001: Enumeración de herramientas

AttributeValue
ATLAS IDAML.T0040 - Acceso a la API de inferencia del modelo de IA
DescriptionEl atacante enumera herramientas disponibles mediante prompting
Attack VectorConsultas del estilo “¿Qué herramientas tienes?”
Affected ComponentsRegistro de herramientas del agente
Current MitigationsNinguna específica
Residual RiskBajo - Las herramientas suelen estar documentadas
RecommendationsConsiderar controles de visibilidad de herramientas

T-DISC-002: Extracción de datos de sesión

AttributeValue
ATLAS IDAML.T0040 - Acceso a la API de inferencia del modelo de IA
DescriptionEl atacante extrae datos sensibles del contexto de sesión
Attack VectorConsultas de tipo “¿De qué hablamos?”, sondeo de contexto
Affected ComponentsTranscripciones de sesión, ventana de contexto
Current MitigationsAislamiento de sesiones por remitente
Residual RiskMedio - Datos accesibles dentro de la sesión
RecommendationsImplementar redacción de datos sensibles en el contexto

3.7 Recolección y exfiltración (AML.TA0009, AML.TA0010)

T-EXFIL-001: Robo de datos mediante web_fetch

AttributeValue
ATLAS IDAML.T0009 - Recolección
DescriptionEl atacante exfiltra datos indicando al agente que los envíe a una URL externa
Attack VectorInyección de prompts que provoca que el agente haga POST de datos al servidor del atacante
Affected ComponentsHerramienta web_fetch
Current MitigationsBloqueo SSRF para redes internas
Residual RiskAlto - Se permiten URLs externas
RecommendationsImplementar allowlisting de URL, conciencia sobre clasificación de datos

T-EXFIL-002: Envío no autorizado de mensajes

AttributeValue
ATLAS IDAML.T0009 - Recolección
DescriptionEl atacante hace que el agente envíe mensajes que contienen datos sensibles
Attack VectorInyección de prompts que provoca que el agente envíe mensajes al atacante
Affected ComponentsHerramienta de mensajes, integraciones de canales
Current MitigationsRestricción del envío saliente
Residual RiskMedio - La restricción puede eludirse
RecommendationsRequerir confirmación explícita para destinatarios nuevos

T-EXFIL-003: Recolección de credenciales

AttributeValue
ATLAS IDAML.T0009 - Recolección
DescriptionUna Skill maliciosa recolecta credenciales del contexto del agente
Attack VectorEl código de la Skill lee variables de entorno, archivos de configuración
Affected ComponentsEntorno de ejecución de Skills
Current MitigationsNinguna específica para las Skills
Residual RiskCrítico - Las Skills se ejecutan con privilegios del agente
RecommendationsSandboxing de Skills, aislamiento de credenciales

3.8 Impacto (AML.TA0011)

T-IMPACT-001: Ejecución no autorizada de comandos

AttributeValue
ATLAS IDAML.T0031 - Erosionar la integridad del modelo de IA
DescriptionEl atacante ejecuta comandos arbitrarios en el sistema del usuario
Attack VectorInyección de prompts combinada con evasión de aprobación de ejecución
Affected ComponentsHerramienta Bash, ejecución de comandos
Current Mitigationsexec approvals, opción de sandbox de Docker
Residual RiskCrítico - Ejecución en host sin sandbox
RecommendationsUsar sandbox de forma predeterminada, mejorar la UX de aprobación

T-IMPACT-002: Agotamiento de recursos (DoS)

AttributeValue
ATLAS IDAML.T0031 - Erosionar la integridad del modelo de IA
DescriptionEl atacante agota créditos de API o recursos de cómputo
Attack VectorInundación automatizada de mensajes, llamadas costosas a herramientas
Affected ComponentsGateway, sesiones del agente, proveedor de API
Current MitigationsNinguna
Residual RiskAlto - Sin limitación de tasa
RecommendationsImplementar límites por remitente, presupuestos de costo

T-IMPACT-003: Daño reputacional

AttributeValue
ATLAS IDAML.T0031 - Erosionar la integridad del modelo de IA
DescriptionEl atacante hace que el agente envíe contenido dañino/ofensivo
Attack VectorInyección de prompts que provoca respuestas inapropiadas
Affected ComponentsGeneración de salida, mensajería por canales
Current MitigationsPolíticas de contenido del proveedor de LLM
Residual RiskMedio - Los filtros del proveedor son imperfectos
RecommendationsCapa de filtrado de salida, controles de usuario

4. Análisis de la cadena de suministro de ClawHub

4.1 Controles de seguridad actuales

ControlImplementaciónEfectividad
Antigüedad de cuenta de GitHubrequireGitHubAccountAge()Media - Eleva el listón para atacantes nuevos
Sanitización de rutassanitizePath()Alta - Evita path traversal
Validación de tipo de archivoisTextFile()Media - Solo archivos de texto, pero aún pueden ser maliciosos
Límites de tamañoPaquete total de 50 MBAlta - Evita agotamiento de recursos
SKILL.md obligatorioLéame obligatorioBajo valor de seguridad - Solo informativo
Moderación por patronesFLAG_RULES en moderation.tsBaja - Fácil de eludir
Estado de moderaciónCampo moderationStatusMedio - Posible revisión manual

4.2 Patrones de marcas de moderación

Patrones actuales en moderation.ts: 
// Identificadores conocidos como maliciosos
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Palabras clave sospechosas
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
Limitaciones:
  • Solo comprueba slug, displayName, summary, frontmatter, metadatos y rutas de archivo
  • No analiza el contenido real del código de la Skill
  • Regex simples se eluden con facilidad mediante ofuscación
  • Sin análisis de comportamiento

4.3 Mejoras planificadas

ImprovementStatusImpact
Integración con VirusTotalEn progresoAlto - Análisis de comportamiento con Code Insight
Informes de la comunidadParcial (existe la tabla skillReports)Medio
Registro de auditoríaParcial (existe la tabla auditLogs)Medio
Sistema de insigniasImplementadoMedio - highlighted, official, deprecated, redactionApproved

5. Matriz de riesgo

5.1 Probabilidad frente a impacto

Threat IDLikelihoodImpactRisk LevelPriority
T-EXEC-001AltaCríticoCríticoP0
T-PERSIST-001AltaCríticoCríticoP0
T-EXFIL-003MediaCríticoCríticoP0
T-IMPACT-001MediaCríticoAltoP1
T-EXEC-002AltaAltoAltoP1
T-EXEC-004MediaAltoAltoP1
T-ACCESS-003MediaAltoAltoP1
T-EXFIL-001MediaAltoAltoP1
T-IMPACT-002AltaMedioAltoP1
T-EVADE-001AltaMedioMedioP2
T-ACCESS-001BajaAltoMedioP2
T-ACCESS-002BajaAltoMedioP2
T-PERSIST-002BajaAltoMedioP2

5.2 Cadenas de ataque de ruta crítica

Cadena de ataque 1: Robo de datos basado en Skills 
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publicar Skill maliciosa) → (Evadir moderación) → (Recolectar credenciales)
Cadena de ataque 2: Inyección de prompts a RCE 
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inyectar prompt) → (Evadir aprobación de ejecución) → (Ejecutar comandos)
Cadena de ataque 3: Inyección indirecta mediante contenido obtenido 
T-EXEC-002 → T-EXFIL-001 → Exfiltración externa
(Envenenar contenido de URL) → (El agente lo obtiene y sigue instrucciones) → (Datos enviados al atacante)

6. Resumen de recomendaciones

6.1 Inmediatas (P0)

IDRecommendationAddresses
R-001Completar la integración con VirusTotalT-PERSIST-001, T-EVADE-001
R-002Implementar sandboxing de SkillsT-PERSIST-001, T-EXFIL-003
R-003Añadir validación de salida para acciones sensiblesT-EXEC-001, T-EXEC-002

6.2 Corto plazo (P1)

IDRecommendationAddresses
R-004Implementar limitación de tasaT-IMPACT-002
R-005Añadir cifrado de tokens en reposoT-ACCESS-003
R-006Mejorar la UX y validación de aprobación de ejecuciónT-EXEC-004
R-007Implementar allowlisting de URL para web_fetchT-EXFIL-001

6.3 Medio plazo (P2)

IDRecommendationAddresses
R-008Añadir verificación criptográfica de canales cuando sea posibleT-ACCESS-002
R-009Implementar verificación de integridad de configuraciónT-PERSIST-003
R-010Añadir firma de actualizaciones y fijación de versionesT-PERSIST-002

7. Apéndices

7.1 Mapeo de técnicas de ATLAS

ATLAS IDTechnique NameOpenClaw Threats
AML.T0006Escaneo activoT-RECON-001, T-RECON-002
AML.T0009RecolecciónT-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001Cadena de suministro: software de IAT-PERSIST-001, T-PERSIST-002
AML.T0010.002Cadena de suministro: datosT-PERSIST-003
AML.T0031Erosionar la integridad del modelo de IAT-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040Acceso a la API de inferencia del modelo de IAT-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043Crear datos adversariosT-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000Inyección de prompts en LLM: directaT-EXEC-001, T-EXEC-003
AML.T0051.001Inyección de prompts en LLM: indirectaT-EXEC-002

7.2 Archivos clave de seguridad

PathPurposeRisk Level
src/infra/exec-approvals.tsLógica de aprobación de comandosCrítico
src/gateway/auth.tsAutenticación del GatewayCrítico
src/infra/net/ssrf.tsProtección SSRFCrítico
src/security/external-content.tsMitigación de inyección de promptsCrítico
src/agents/sandbox/tool-policy.tsAplicación de políticas de herramientasCrítico
src/routing/resolve-route.tsAislamiento de sesionesMedio

7.3 Glosario

TermDefinition
ATLASPanorama de amenazas adversarias para sistemas de IA de MITRE
ClawHubMarketplace de Skills de OpenClaw
GatewayCapa de autenticación y enrutamiento de mensajes de OpenClaw
MCPModel Context Protocol - interfaz de proveedor de herramientas
Prompt InjectionAtaque en el que se incrustan instrucciones maliciosas en la entrada
SkillExtensión descargable para agentes de OpenClaw
SSRFFalsificación de solicitudes del lado del servidor
Este modelo de amenazas es un documento vivo. Informa sobre problemas de seguridad a security@openclaw.ai