چارچوب MITRE ATLAS
نسخه: 1.0-draft
آخرین بهروزرسانی: 2026-02-04
روششناسی: MITRE ATLAS + نمودارهای جریان داده
چارچوب: MITRE ATLAS (چشمانداز تهدیدهای خصمانه برای سامانههای هوش مصنوعی)
انتساب چارچوب
این مدل تهدید بر پایهٔ MITRE ATLAS ساخته شده است؛ چارچوب استاندارد صنعت برای مستندسازی تهدیدهای خصمانه علیه سامانههای هوش مصنوعی/یادگیری ماشین. ATLAS توسط MITRE با همکاری جامعهٔ امنیت هوش مصنوعی نگهداری میشود.
منابع کلیدی ATLAS:
مشارکت در این مدل تهدید
این یک سند زنده است که توسط جامعهٔ OpenClaw نگهداری میشود. برای راهنماهای مشارکت، CONTRIBUTING-THREAT-MODEL.md را ببینید:
گزارش تهدیدهای جدید
بهروزرسانی تهدیدهای موجود
پیشنهاد زنجیرههای حمله
پیشنهاد راهکارهای کاهش ریسک
1. مقدمه
1.1 هدف
این مدل تهدید، تهدیدهای خصمانه علیه پلتفرم عامل هوش مصنوعی OpenClaw و بازار Skills در ClawHub را با استفاده از چارچوب MITRE ATLAS که بهطور خاص برای سامانههای هوش مصنوعی/یادگیری ماشین طراحی شده است، مستند میکند.
1.2 دامنه
مؤلفه
گنجانده شده
یادداشتها
زمان اجرای عامل OpenClaw
بله
اجرای هستهٔ عامل، فراخوانی ابزارها، نشستها
Gateway
بله
احراز هویت، مسیریابی، یکپارچهسازی کانال
یکپارچهسازیهای کانال
بله
WhatsApp، Telegram، Discord، Signal، Slack و غیره
بازار ClawHub
بله
انتشار Skill، نظارت، توزیع
سرورهای MCP
بله
ارائهدهندگان ابزار خارجی
دستگاههای کاربر
جزئی
برنامههای موبایل، کلاینتهای دسکتاپ
1.3 خارج از دامنه
هیچ چیز بهصراحت خارج از دامنهٔ این مدل تهدید نیست.
2. معماری سامانه
2.1 مرزهای اعتماد
Code Copy code ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ 2.2 جریانهای داده
جریان
منبع
مقصد
دادهها
محافظت
F1
کانال
Gateway
پیامهای کاربر
TLS، AllowFrom
F2
Gateway
عامل
پیامهای مسیریابیشده
جداسازی نشست
F3
عامل
ابزارها
فراخوانیهای ابزار
اجرای سیاست
F4
عامل
خارجی
درخواستهای web_fetch
مسدودسازی SSRF
F5
ClawHub
عامل
کد Skill
نظارت، اسکن
F6
عامل
کانال
پاسخها
پالایش خروجی
3. تحلیل تهدید بر اساس تاکتیک ATLAS
3.1 شناسایی (AML.TA0002)
T-RECON-001: کشف نقطهٔ پایانی عامل
ویژگی
مقدار
شناسهٔ ATLAS AML.T0006 - اسکن فعال
شرح مهاجم برای یافتن نقاط پایانی Gateway در معرض OpenClaw اسکن میکند
بردار حمله اسکن شبکه، پرسوجوهای shodan، شمارش DNS
مؤلفههای تحت تأثیر Gateway، نقاط پایانی API در معرض
کاهش ریسکهای فعلی گزینهٔ احراز هویت Tailscale، اتصال پیشفرض به loopback
ریسک باقیمانده متوسط - Gatewayهای عمومی قابل کشف هستند
توصیهها مستندسازی استقرار امن، افزودن محدودسازی نرخ روی نقاط پایانی کشف
T-RECON-002: کاوش یکپارچهسازی کانال
ویژگی
مقدار
شناسه ATLAS AML.T0006 - اسکن فعال
توضیح مهاجم کانالهای پیامرسانی را برای شناسایی حسابهای مدیریتشده با هوش مصنوعی بررسی میکند
بردار حمله ارسال پیامهای آزمایشی، مشاهده الگوهای پاسخ
مؤلفههای تحت تأثیر همه یکپارچهسازیهای کانال
کاهشدهندههای فعلی مورد خاصی وجود ندارد
ریسک باقیمانده پایین - کشف بهتنهایی ارزش محدودی دارد
توصیهها تصادفیسازی زمانبندی پاسخ را در نظر بگیرید
۳.۲ دسترسی اولیه (AML.TA0004)
T-ACCESS-001: رهگیری کد جفتسازی
ویژگی
مقدار
شناسه ATLAS AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی
توضیح مهاجم کد جفتسازی را در طول دوره مهلت جفتسازی رهگیری میکند (۱ ساعت برای جفتسازی کانال DM، ۵ دقیقه برای جفتسازی Node)
بردار حمله نگاه کردن از روی شانه، شنود شبکه، مهندسی اجتماعی
مؤلفههای تحت تأثیر سامانه جفتسازی دستگاه
کاهشدهندههای فعلی انقضای ۱ ساعته (جفتسازی DM) / انقضای ۵ دقیقهای (جفتسازی Node)، کدها از طریق کانال موجود ارسال میشوند
ریسک باقیمانده متوسط - دوره مهلت قابل سوءاستفاده است
توصیهها دوره مهلت را کاهش دهید، مرحله تأیید اضافه کنید
T-ACCESS-002: جعل AllowFrom
ویژگی
مقدار
شناسه ATLAS AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی
توضیح مهاجم هویت فرستنده مجاز را در کانال جعل میکند
بردار حمله به کانال بستگی دارد - جعل شماره تلفن، جعل هویت نام کاربری
مؤلفههای تحت تأثیر اعتبارسنجی AllowFrom برای هر کانال
کاهشدهندههای فعلی راستیآزمایی هویت ویژه هر کانال
ریسک باقیمانده متوسط - برخی کانالها در برابر جعل آسیبپذیرند
توصیهها ریسکهای ویژه هر کانال را مستند کنید، در صورت امکان راستیآزمایی رمزنگارانه اضافه کنید
T-ACCESS-003: سرقت توکن
ویژگی
مقدار
شناسه ATLAS AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی
توضیح مهاجم توکنهای احراز هویت را از فایلهای پیکربندی میدزدد
بردار حمله بدافزار، دسترسی غیرمجاز به دستگاه، افشای نسخه پشتیبان پیکربندی
مؤلفههای تحت تأثیر ~/.openclaw/credentials/، ذخیرهسازی پیکربندی
کاهشدهندههای فعلی مجوزهای فایل
ریسک باقیمانده بالا - توکنها بهصورت متن ساده ذخیره میشوند
توصیهها رمزنگاری توکن در حالت سکون را پیادهسازی کنید، چرخش توکن اضافه کنید
۳.۳ اجرا (AML.TA0005)
T-EXEC-001: تزریق مستقیم پرامپت
ویژگی
مقدار
شناسه ATLAS AML.T0051.000 - تزریق پرامپت LLM: مستقیم
توضیح مهاجم پرامپتهای دستکاریشده میفرستد تا رفتار عامل را تغییر دهد
بردار حمله پیامهای کانال که شامل دستورهای خصمانه هستند
مؤلفههای تحت تأثیر LLM عامل، همه سطوح ورودی
کاهشدهندههای فعلی تشخیص الگو، پوشاندن محتوای خارجی
ریسک باقیمانده بحرانی - فقط تشخیص وجود دارد، مسدودسازی نیست؛ حملات پیچیده عبور میکنند
توصیهها دفاع چندلایه، اعتبارسنجی خروجی و تأیید کاربر برای اقدامات حساس را پیادهسازی کنید
T-EXEC-002: تزریق غیرمستقیم پرامپت
ویژگی
مقدار
شناسه ATLAS AML.T0051.001 - تزریق پرامپت LLM: غیرمستقیم
توضیح مهاجم دستورهای مخرب را در محتوای واکشیشده جاسازی میکند
بردار حمله URLهای مخرب، ایمیلهای آلوده، Webhookهای بهخطرافتاده
مؤلفههای تحت تأثیر web_fetch، دریافت ایمیل، منابع داده خارجی
کاهشدهندههای فعلی پوشاندن محتوا با تگهای XML و اعلان امنیتی
ریسک باقیمانده بالا - LLM ممکن است دستورهای پوشاننده را نادیده بگیرد
توصیهها پاکسازی محتوا و زمینههای اجرای جداگانه را پیادهسازی کنید
T-EXEC-003: تزریق آرگومان ابزار
ویژگی
مقدار
شناسه ATLAS AML.T0051.000 - تزریق پرامپت LLM: مستقیم
توضیح مهاجم آرگومانهای ابزار را از طریق تزریق پرامپت دستکاری میکند
بردار حمله پرامپتهای دستکاریشدهای که بر مقادیر پارامتر ابزار اثر میگذارند
مؤلفههای تحت تأثیر همه فراخوانیهای ابزار
کاهشدهندههای فعلی تأییدهای exec برای دستورهای خطرناک
ریسک باقیمانده بالا - به قضاوت کاربر متکی است
توصیهها اعتبارسنجی آرگومان و فراخوانیهای پارامتریشده ابزار را پیادهسازی کنید
T-EXEC-004: دور زدن تأیید Exec
ویژگی
مقدار
شناسه ATLAS AML.T0043 - ساخت داده خصمانه
توضیح مهاجم دستورهایی میسازد که فهرست مجاز تأیید را دور میزنند
بردار حمله مبهمسازی دستور، سوءاستفاده از alias، دستکاری مسیر
مؤلفههای تحت تأثیر exec-approvals.ts، فهرست مجاز دستور
کاهشدهندههای فعلی فهرست مجاز + حالت پرسش
ریسک باقیمانده بالا - پاکسازی دستور وجود ندارد
توصیهها نرمالسازی دستور را پیادهسازی کنید، فهرست مسدودسازی را گسترش دهید
۳.۴ ماندگاری (AML.TA0006)
T-PERSIST-001: نصب مخرب Skill
ویژگی
مقدار
شناسه ATLAS AML.T0010.001 - بهخطرافتادن زنجیره تأمین: نرمافزار هوش مصنوعی
توضیح مهاجم Skill مخربی را در ClawHub منتشر میکند
بردار حمله ایجاد حساب، انتشار Skill با کد مخرب پنهان
مؤلفههای تحت تأثیر ClawHub، بارگذاری Skill، اجرای عامل
کاهشدهندههای فعلی راستیآزمایی سن حساب GitHub، پرچمهای نظارت مبتنی بر الگو
ریسک باقیمانده بحرانی - سندباکس وجود ندارد، بازبینی محدود است
توصیهها یکپارچهسازی VirusTotal (در حال انجام)، سندباکس Skill، بازبینی جامعه
T-PERSIST-002: مسمومسازی بهروزرسانی Skill
ویژگی
مقدار
شناسه ATLAS AML.T0010.001 - بهخطرافتادن زنجیره تأمین: نرمافزار هوش مصنوعی
توضیح مهاجم Skill محبوبی را به خطر میاندازد و بهروزرسانی مخربی منتشر میکند
بردار حمله بهخطرافتادن حساب، مهندسی اجتماعی مالک Skill
مؤلفههای تحت تأثیر نسخهبندی ClawHub، جریانهای بهروزرسانی خودکار
کاهشدهندههای فعلی انگشتنگاری نسخه
ریسک باقیمانده بالا - بهروزرسانیهای خودکار ممکن است نسخههای مخرب را دریافت کنند
توصیهها امضای بهروزرسانی، قابلیت بازگردانی و سنجاق کردن نسخه را پیادهسازی کنید
T-PERSIST-003: دستکاری پیکربندی عامل
ویژگی
مقدار
شناسه ATLAS AML.T0010.002 - بهخطرافتادن زنجیره تأمین: داده
توضیح مهاجم پیکربندی عامل را تغییر میدهد تا دسترسی را ماندگار کند
بردار حمله تغییر فایل پیکربندی، تزریق تنظیمات
مؤلفههای تحت تأثیر پیکربندی عامل، سیاستهای ابزار
کاهشدهندههای فعلی مجوزهای فایل
ریسک باقیمانده متوسط - به دسترسی محلی نیاز دارد
توصیهها راستیآزمایی یکپارچگی پیکربندی و ثبت ممیزی برای تغییرات پیکربندی
۳.۵ فرار از دفاع (AML.TA0007)
T-EVADE-001: دور زدن الگوهای نظارت
ویژگی
مقدار
شناسه ATLAS AML.T0043 - ساخت داده خصمانه
توضیح مهاجم محتوای Skill را طوری میسازد که از الگوهای نظارت فرار کند
بردار حمله همساننماهای Unicode، ترفندهای کدگذاری، بارگذاری پویا
مؤلفههای تحت تأثیر moderation.ts مربوط به ClawHub
کاهشدهندههای فعلی FLAG_RULES مبتنی بر الگو
ریسک باقیمانده بالا - regex ساده بهراحتی دور زده میشود
توصیهها تحلیل رفتاری (VirusTotal Code Insight) و تشخیص مبتنی بر AST را اضافه کنید
T-EVADE-002: خروج از پوشاننده محتوا
ویژگی
مقدار
شناسه ATLAS AML.T0043 - ساخت داده خصمانه
توضیح مهاجم محتوایی میسازد که از زمینه بستهبندی XML خارج میشود
بردار حمله دستکاری برچسب، سردرگمی زمینه، بازنویسی دستورالعمل
اجزای متاثر بستهبندی محتوای خارجی
کاهشدهندههای فعلی برچسبهای XML + اعلان امنیتی
ریسک باقیمانده متوسط - راههای خروج جدید بهطور منظم کشف میشوند
توصیهها چندین لایه بستهبندی، اعتبارسنجی در سمت خروجی
3.6 کشف (AML.TA0008)
T-DISC-001: شمارش ابزارها
ویژگی
مقدار
شناسه ATLAS AML.T0040 - دسترسی به API استنتاج مدل AI
توضیح مهاجم ابزارهای در دسترس را از طریق پرامپتنویسی فهرست میکند
بردار حمله پرسوجوهایی به سبک «چه ابزارهایی داری؟»
اجزای متاثر رجیستری ابزار عامل
کاهشدهندههای فعلی مورد مشخصی وجود ندارد
ریسک باقیمانده پایین - ابزارها معمولا مستند شدهاند
توصیهها کنترلهای نمایشپذیری ابزار را در نظر بگیرید
T-DISC-002: استخراج داده نشست
ویژگی
مقدار
شناسه ATLAS AML.T0040 - دسترسی به API استنتاج مدل AI
توضیح مهاجم دادههای حساس را از زمینه نشست استخراج میکند
بردار حمله پرسوجوهای «چه چیزی را بحث کردیم؟»، کاوش زمینه
اجزای متاثر رونوشتهای نشست، پنجره زمینه
کاهشدهندههای فعلی جداسازی نشست برای هر فرستنده
ریسک باقیمانده متوسط - دادههای درون نشست قابل دسترسیاند
توصیهها حذفسازی دادههای حساس را در زمینه پیادهسازی کنید
3.7 جمعآوری و برونبرد (AML.TA0009, AML.TA0010)
T-EXFIL-001: سرقت داده از طریق web_fetch
ویژگی
مقدار
شناسه ATLAS AML.T0009 - جمعآوری
توضیح مهاجم با دستور دادن به عامل برای ارسال به URL خارجی، داده را برونبرد میکند
بردار حمله تزریق پرامپت که باعث میشود عامل داده را به سرور مهاجم POST کند
اجزای متاثر ابزار web_fetch
کاهشدهندههای فعلی مسدودسازی SSRF برای شبکههای داخلی
ریسک باقیمانده بالا - URLهای خارجی مجازند
توصیهها فهرست مجاز URL و آگاهی از طبقهبندی داده را پیادهسازی کنید
T-EXFIL-002: ارسال پیام غیرمجاز
ویژگی
مقدار
شناسه ATLAS AML.T0009 - جمعآوری
توضیح مهاجم باعث میشود عامل پیامهایی حاوی داده حساس ارسال کند
بردار حمله تزریق پرامپت که باعث میشود عامل به مهاجم پیام بدهد
اجزای متاثر ابزار پیام، یکپارچهسازیهای کانال
کاهشدهندههای فعلی کنترلگذاری پیامرسانی خروجی
ریسک باقیمانده متوسط - ممکن است کنترلگذاری دور زده شود
توصیهها برای گیرندگان جدید تایید صریح لازم کنید
T-EXFIL-003: برداشت اعتبارنامهها
ویژگی
مقدار
شناسه ATLAS AML.T0009 - جمعآوری
توضیح Skill مخرب اعتبارنامهها را از زمینه عامل برداشت میکند
بردار حمله کد Skill متغیرهای محیطی و فایلهای پیکربندی را میخواند
اجزای متاثر محیط اجرای Skill
کاهشدهندههای فعلی مورد مشخصی برای Skills وجود ندارد
ریسک باقیمانده بحرانی - Skills با امتیازهای عامل اجرا میشوند
توصیهها ایزولهسازی Skill، جداسازی اعتبارنامهها
3.8 اثر (AML.TA0011)
T-IMPACT-001: اجرای فرمان غیرمجاز
ویژگی
مقدار
شناسه ATLAS AML.T0031 - فرسایش یکپارچگی مدل AI
توضیح مهاجم فرمانهای دلخواه را روی سیستم کاربر اجرا میکند
بردار حمله تزریق پرامپت همراه با دور زدن تایید exec
اجزای متاثر ابزار Bash، اجرای فرمان
کاهشدهندههای فعلی تاییدهای Exec، گزینه سندباکس Docker
ریسک باقیمانده بحرانی - اجرای میزبان بدون سندباکس
توصیهها سندباکس را پیشفرض کنید، تجربه کاربری تایید را بهبود دهید
T-IMPACT-002: اتمام منابع (DoS)
ویژگی
مقدار
شناسه ATLAS AML.T0031 - فرسایش یکپارچگی مدل AI
توضیح مهاجم اعتبارهای API یا منابع محاسباتی را تمام میکند
بردار حمله سیل خودکار پیام، فراخوانیهای پرهزینه ابزار
اجزای متاثر Gateway، نشستهای عامل، ارائهدهنده API
کاهشدهندههای فعلی هیچکدام
ریسک باقیمانده بالا - محدودسازی نرخ وجود ندارد
توصیهها محدودیت نرخ برای هر فرستنده و بودجه هزینه را پیادهسازی کنید
T-IMPACT-003: آسیب به اعتبار
ویژگی
مقدار
شناسه ATLAS AML.T0031 - فرسایش یکپارچگی مدل AI
توضیح مهاجم باعث میشود عامل محتوای آسیبزا/توهینآمیز ارسال کند
بردار حمله تزریق پرامپت که باعث پاسخهای نامناسب میشود
اجزای متاثر تولید خروجی، پیامرسانی کانال
کاهشدهندههای فعلی سیاستهای محتوای ارائهدهنده LLM
ریسک باقیمانده متوسط - فیلترهای ارائهدهنده کامل نیستند
توصیهها لایه فیلتر خروجی، کنترلهای کاربر
4. تحلیل زنجیره تامین ClawHub
4.1 کنترلهای امنیتی فعلی
کنترل
پیادهسازی
اثربخشی
سن حساب GitHub
requireGitHubAccountAge()متوسط - مانع را برای مهاجمان جدید بالاتر میبرد
پاکسازی مسیر
sanitizePath()بالا - از پیمایش مسیر جلوگیری میکند
اعتبارسنجی نوع فایل
isTextFile()متوسط - فقط فایلهای متنی، اما همچنان میتوانند مخرب باشند
محدودیتهای اندازه
بسته کل 50MB
بالا - از اتمام منابع جلوگیری میکند
SKILL.md الزامیراهنمای اجباری
ارزش امنیتی پایین - فقط اطلاعرسانی
تعدیل الگو
FLAG_RULES در moderation.ts
پایین - بهراحتی دور زده میشود
وضعیت تعدیل
فیلد moderationStatus
متوسط - بازبینی دستی ممکن است
4.2 الگوهای پرچمگذاری تعدیل
الگوهای فعلی در moderation.ts:
javascript Copy code /(keepcold131\/ClawdAuthenticatorTool |ClawdAuthenticatorTool )/i /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg |webhook|hooks\.slack )/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly |tinyurl\.com |t\.co |goo\.gl |is\.gd )/i محدودیتها:
فقط slug، displayName، summary، frontmatter، metadata و مسیرهای فایل را بررسی میکند
محتوای واقعی کد Skill را تحلیل نمیکند
regex ساده بهراحتی با مبهمسازی دور زده میشود
تحلیل رفتاری وجود ندارد
4.3 بهبودهای برنامهریزیشده
بهبود
وضعیت
اثر
یکپارچهسازی VirusTotal
در حال انجام
بالا - تحلیل رفتاری Code Insight
گزارشدهی جامعه
جزئی (جدول skillReports وجود دارد)
متوسط
ثبت لاگ حسابرسی
جزئی (جدول auditLogs وجود دارد)
متوسط
سیستم نشان
پیادهسازیشده
متوسط - highlighted، official، deprecated، redactionApproved
5. ماتریس ریسک
5.1 احتمال در برابر اثر
شناسه تهدید
احتمال
اثر
سطح ریسک
اولویت
T-EXEC-001
بالا
بحرانی
بحرانی P0
T-PERSIST-001
بالا
بحرانی
بحرانی P0
T-EXFIL-003
متوسط
بحرانی
بحرانی P0
T-IMPACT-001
متوسط
بحرانی
بالا P1
T-EXEC-002
بالا
بالا
بالا P1
T-EXEC-004
متوسط
بالا
بالا P1
T-ACCESS-003
متوسط
بالا
بالا P1
T-EXFIL-001
متوسط
بالا
بالا P1
T-IMPACT-002
بالا
متوسط
بالا P1
T-EVADE-001
بالا
متوسط
متوسط P2
T-ACCESS-001
پایین
بالا
متوسط P2
T-ACCESS-002
پایین
بالا
متوسط P2
T-PERSIST-002
پایین
بالا
متوسط P2
5.2 زنجیرههای حمله مسیر بحرانی
زنجیره حمله 1: سرقت داده مبتنی بر Skill
Code Copy code T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) زنجیره حمله 2: تزریق پرامپت به RCE
Code Copy code T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) زنجیره حمله 3: تزریق غیرمستقیم از طریق محتوای واکشیشده
Code Copy code T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) 6. خلاصه توصیهها
6.1 فوری (P0)
شناسه
توصیه
موارد تحت پوشش
R-001
تکمیل یکپارچهسازی VirusTotal
T-PERSIST-001, T-EVADE-001
R-002
پیادهسازی sandboxing برای skill
T-PERSIST-001, T-EXFIL-003
R-003
افزودن اعتبارسنجی خروجی برای اقدامات حساس
T-EXEC-001, T-EXEC-002
6.2 کوتاهمدت (P1)
شناسه
توصیه
موارد تحت پوشش
R-004
پیادهسازی محدودسازی نرخ
T-IMPACT-002
R-005
افزودن رمزنگاری توکن در حالت ذخیرهشده
T-ACCESS-003
R-006
بهبود تجربه کاربری و اعتبارسنجی تأیید exec
T-EXEC-004
R-007
پیادهسازی فهرست مجاز URL برای web_fetch
T-EXFIL-001
6.3 میانمدت (P2)
شناسه
توصیه
موارد تحت پوشش
R-008
افزودن راستیآزمایی رمزنگارانه کانال در صورت امکان
T-ACCESS-002
R-009
پیادهسازی راستیآزمایی یکپارچگی پیکربندی
T-PERSIST-003
R-010
افزودن امضای بهروزرسانی و pinning نسخه
T-PERSIST-002
7. پیوستها
7.1 نگاشت تکنیکهای ATLAS
شناسه ATLAS
نام تکنیک
تهدیدهای OpenClaw
AML.T0006
اسکن فعال
T-RECON-001, T-RECON-002
AML.T0009
گردآوری
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001
زنجیره تأمین: نرمافزار هوش مصنوعی
T-PERSIST-001, T-PERSIST-002
AML.T0010.002
زنجیره تأمین: داده
T-PERSIST-003
AML.T0031
تضعیف یکپارچگی مدل هوش مصنوعی
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040
دسترسی به API استنتاج مدل هوش مصنوعی
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043
ساخت داده خصمانه
T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000
تزریق پرامپت LLM: مستقیم
T-EXEC-001, T-EXEC-003
AML.T0051.001
تزریق پرامپت LLM: غیرمستقیم
T-EXEC-002
7.2 فایلهای امنیتی کلیدی
مسیر
هدف
سطح ریسک
src/infra/exec-approvals.tsمنطق تأیید فرمان
بحرانی
src/gateway/auth.tsاحراز هویت Gateway
بحرانی
src/infra/net/ssrf.tsمحافظت در برابر SSRF
بحرانی
src/security/external-content.tsکاهش اثر تزریق پرامپت
بحرانی
src/agents/sandbox/tool-policy.tsاعمال سیاست ابزار
بحرانی
src/routing/resolve-route.tsجداسازی نشست
متوسط
7.3 واژهنامه
اصطلاح
تعریف
ATLAS چشمانداز تهدیدهای خصمانه MITRE برای سامانههای هوش مصنوعی
ClawHub بازار skillهای OpenClaw
Gateway لایه مسیریابی پیام و احراز هویت OpenClaw
MCP Model Context Protocol - رابط ارائهدهنده ابزار
تزریق پرامپت حملهای که در آن دستورالعملهای مخرب در ورودی جاسازی میشوند
Skill افزونه قابل دانلود برای عاملهای OpenClaw
SSRF جعل درخواست سمت سرور
این مدل تهدید یک سند زنده است. مسائل امنیتی را به security@openclaw.ai گزارش دهید
مرتبط
