Passer au contenu principal

Modèle de menace OpenClaw v1.0

Cadre MITRE ATLAS

Version : 1.0-brouillon Dernière mise à jour : 2026-02-04 Méthodologie : MITRE ATLAS + diagrammes de flux de données Cadre : MITRE ATLAS (paysage des menaces adverses pour les systèmes d’IA)

Attribution du cadre

Ce modèle de menace s’appuie sur MITRE ATLAS, le cadre de référence du secteur pour documenter les menaces adverses visant les systèmes d’IA/ML. ATLAS est maintenu par MITRE en collaboration avec la communauté de la sécurité de l’IA. Ressources ATLAS clés :

Contribuer à ce modèle de menace

Il s’agit d’un document évolutif maintenu par la communauté OpenClaw. Consultez CONTRIBUTING-THREAT-MODEL.md pour les directives de contribution :
  • Signaler de nouvelles menaces
  • Mettre à jour les menaces existantes
  • Proposer des chaînes d’attaque
  • Suggérer des mesures d’atténuation

1. Introduction

1.1 Objectif

Ce modèle de menace documente les menaces adverses visant la plateforme d’agents IA OpenClaw et la place de marché de Skills ClawHub, en utilisant le cadre MITRE ATLAS conçu spécifiquement pour les systèmes d’IA/ML.

1.2 Portée

ComposantInclusNotes
Runtime d’agent OpenClawOuiExécution principale de l’agent, appels d’outils, sessions
GatewayOuiAuthentification, routage, intégration des canaux
Intégrations de canauxOuiWhatsApp, Telegram, Discord, Signal, Slack, etc.
Place de marché ClawHubOuiPublication de Skills, modération, distribution
Serveurs MCPOuiFournisseurs d’outils externes
Appareils utilisateurPartielApplications mobiles, clients de bureau

1.3 Hors périmètre

Rien n’est explicitement hors périmètre pour ce modèle de menace.

2. Architecture du système

2.1 Frontières de confiance

┌─────────────────────────────────────────────────────────────────┐
│                 ZONE NON FIABLE                                  │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│            FRONTIÈRE DE CONFIANCE 1 : Accès au canal             │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Appairage d’appareil (1 h DM / période de grâce de 5 min pour le nœud) │   │
│  │  • Validation AllowFrom / AllowList                      │   │
│  │  • Authentification par jeton/mot de passe/Tailscale    │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│         FRONTIÈRE DE CONFIANCE 2 : Isolation des sessions        │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                 SESSIONS D’AGENT                          │   │
│  │  • Clé de session = agent:channel:peer                    │   │
│  │  • Politiques d’outils par agent                          │   │
│  │  • Journalisation des transcriptions                      │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│        FRONTIÈRE DE CONFIANCE 3 : Exécution des outils           │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                SANDBOX D’EXÉCUTION                        │   │
│  │  • Sandbox Docker OU hôte (exec-approvals)               │   │
│  │  • Exécution distante Node                                │   │
│  │  • Protection SSRF (épinglage DNS + blocage IP)          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│      FRONTIÈRE DE CONFIANCE 4 : Contenu externe                  │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │          URLS / E-MAILS / WEBHOOKS RÉCUPÉRÉS              │   │
│  │  • Encapsulation du contenu externe (balises XML)         │   │
│  │  • Injection d’avis de sécurité                           │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│      FRONTIÈRE DE CONFIANCE 5 : Chaîne d’approvisionnement       │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Publication de Skills (semver, SKILL.md requis)       │   │
│  │  • Indicateurs de modération fondés sur des motifs       │   │
│  │  • Analyse VirusTotal (à venir)                          │   │
│  │  • Vérification de l’ancienneté du compte GitHub         │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Flux de données

FluxSourceDestinationDonnéesProtection
F1CanalGatewayMessages utilisateurTLS, AllowFrom
F2GatewayAgentMessages routésIsolation des sessions
F3AgentOutilsInvocations d’outilsApplication des politiques
F4AgentExterneRequêtes web_fetchBlocage SSRF
F5ClawHubAgentCode de SkillModération, analyse
F6AgentCanalRéponsesFiltrage de sortie

3. Analyse des menaces par tactique ATLAS

3.1 Reconnaissance (AML.TA0002)

T-RECON-001 : Découverte du point de terminaison de l’agent

AttributValeur
ID ATLASAML.T0006 - Analyse active
DescriptionL’attaquant recherche des points de terminaison Gateway OpenClaw exposés
Vecteur d’attaqueAnalyse réseau, requêtes Shodan, énumération DNS
Composants affectésGateway, points de terminaison API exposés
Mesures d’atténuation actuellesOption d’authentification Tailscale, liaison à la loopback par défaut
Risque résiduelMoyen - Gateways publics détectables
RecommandationsDocumenter le déploiement sécurisé, ajouter une limitation de débit sur les points de terminaison de découverte

T-RECON-002 : Sondage des intégrations de canaux

AttributValeur
ID ATLASAML.T0006 - Analyse active
DescriptionL’attaquant sonde les canaux de messagerie pour identifier les comptes gérés par une IA
Vecteur d’attaqueEnvoi de messages de test, observation des schémas de réponse
Composants affectésToutes les intégrations de canaux
Mesures d’atténuation actuellesAucune spécifique
Risque résiduelFaible - Valeur limitée de la découverte seule
RecommandationsEnvisager une randomisation du temps de réponse

3.2 Accès initial (AML.TA0004)

T-ACCESS-001 : Interception du code d’appairage

AttributValeur
ID ATLASAML.T0040 - Accès à l’API d’inférence du modèle d’IA
DescriptionL’attaquant intercepte le code d’appairage pendant la période de grâce de l’appairage (1 h pour l’appairage de canal DM, 5 min pour l’appairage de nœud)
Vecteur d’attaqueObservation visuelle, écoute réseau, ingénierie sociale
Composants affectésSystème d’appairage des appareils
Mesures d’atténuation actuellesExpiration de 1 h (appairage DM) / expiration de 5 min (appairage de nœud), codes envoyés via le canal existant
Risque résiduelMoyen - Période de grâce exploitable
RecommandationsRéduire la période de grâce, ajouter une étape de confirmation

T-ACCESS-002 : Usurpation d’AllowFrom

AttributValeur
ID ATLASAML.T0040 - Accès à l’API d’inférence du modèle d’IA
DescriptionL’attaquant usurpe l’identité d’un expéditeur autorisé dans le canal
Vecteur d’attaqueDépend du canal - usurpation de numéro de téléphone, imitation de nom d’utilisateur
Composants affectésValidation AllowFrom par canal
Mesures d’atténuation actuellesVérification d’identité spécifique au canal
Risque résiduelMoyen - Certains canaux sont vulnérables à l’usurpation
RecommandationsDocumenter les risques spécifiques à chaque canal, ajouter une vérification cryptographique lorsque possible

T-ACCESS-003 : Vol de jeton

AttributValeur
ID ATLASAML.T0040 - Accès à l’API d’inférence du modèle d’IA
DescriptionL’attaquant vole des jetons d’authentification dans les fichiers de configuration
Vecteur d’attaqueMalware, accès non autorisé à l’appareil, exposition des sauvegardes de configuration
Composants affectés~/.openclaw/credentials/, stockage de configuration
Mesures d’atténuation actuellesPermissions de fichier
Risque résiduelÉlevé - Jetons stockés en clair
RecommandationsMettre en œuvre le chiffrement des jetons au repos, ajouter une rotation des jetons

3.3 Exécution (AML.TA0005)

T-EXEC-001 : Injection directe de prompt

AttributValeur
ID ATLASAML.T0051.000 - Injection de prompt LLM : directe
DescriptionL’attaquant envoie des prompts conçus pour manipuler le comportement de l’agent
Vecteur d’attaqueMessages de canal contenant des instructions adverses
Composants affectésLLM de l’agent, toutes les surfaces d’entrée
Mesures d’atténuation actuellesDétection de motifs, encapsulation du contenu externe
Risque résiduelCritique - Détection uniquement, aucun blocage ; les attaques sophistiquées passent outre
RecommandationsMettre en œuvre une défense multicouche, une validation de sortie, et une confirmation utilisateur pour les actions sensibles

T-EXEC-002 : Injection indirecte de prompt

AttributValeur
ID ATLASAML.T0051.001 - Injection de prompt LLM : indirecte
DescriptionL’attaquant intègre des instructions malveillantes dans du contenu récupéré
Vecteur d’attaqueURL malveillantes, e-mails empoisonnés, webhooks compromis
Composants affectésweb_fetch, ingestion d’e-mails, sources de données externes
Mesures d’atténuation actuellesEncapsulation du contenu avec des balises XML et un avis de sécurité
Risque résiduelÉlevé - Le LLM peut ignorer les instructions d’encapsulation
RecommandationsMettre en œuvre l’assainissement du contenu, séparer les contextes d’exécution

T-EXEC-003 : Injection d’arguments d’outil

AttributValeur
ID ATLASAML.T0051.000 - Injection de prompt LLM : directe
DescriptionL’attaquant manipule les arguments d’outil via une injection de prompt
Vecteur d’attaquePrompts conçus pour influencer les valeurs des paramètres d’outil
Composants affectésToutes les invocations d’outils
Mesures d’atténuation actuellesApprobations d’exécution pour les commandes dangereuses
Risque résiduelÉlevé - Repose sur le jugement de l’utilisateur
RecommandationsMettre en œuvre une validation des arguments, des appels d’outils paramétrés

T-EXEC-004 : Contournement de l’approbation d’exécution

AttributValeur
ID ATLASAML.T0043 - Élaborer des données adverses
DescriptionL’attaquant conçoit des commandes qui contournent la liste d’autorisation d’approbation
Vecteur d’attaqueObfuscation de commandes, exploitation d’alias, manipulation de chemin
Composants affectésexec-approvals.ts, liste d’autorisation de commandes
Mesures d’atténuation actuellesListe d’autorisation + mode demande
Risque résiduelÉlevé - Aucune normalisation des commandes
RecommandationsMettre en œuvre une normalisation des commandes, étendre la liste de blocage

3.4 Persistance (AML.TA0006)

T-PERSIST-001 : Installation d’une Skill malveillante

AttributValeur
ID ATLASAML.T0010.001 - Compromission de la chaîne d’approvisionnement : logiciel d’IA
DescriptionL’attaquant publie une Skill malveillante sur ClawHub
Vecteur d’attaqueCréation de compte, publication d’une Skill avec du code malveillant caché
Composants affectésClawHub, chargement des Skills, exécution de l’agent
Mesures d’atténuation actuellesVérification de l’ancienneté du compte GitHub, indicateurs de modération fondés sur des motifs
Risque résiduelCritique - Aucun sandboxing, revue limitée
RecommandationsIntégration VirusTotal (en cours), sandboxing des Skills, revue communautaire

T-PERSIST-002 : Empoisonnement de mise à jour de Skill

AttributValeur
ID ATLASAML.T0010.001 - Compromission de la chaîne d’approvisionnement : logiciel d’IA
DescriptionL’attaquant compromet une Skill populaire et pousse une mise à jour malveillante
Vecteur d’attaqueCompromission de compte, ingénierie sociale du propriétaire de la Skill
Composants affectésVersionnement ClawHub, flux de mise à jour automatique
Mesures d’atténuation actuellesEmpreinte de version
Risque résiduelÉlevé - Les mises à jour automatiques peuvent récupérer des versions malveillantes
RecommandationsMettre en œuvre la signature des mises à jour, une capacité de restauration, et l’épinglage de version

T-PERSIST-003 : Altération de la configuration de l’agent

AttributValeur
ID ATLASAML.T0010.002 - Compromission de la chaîne d’approvisionnement : données
DescriptionL’attaquant modifie la configuration de l’agent pour maintenir un accès
Vecteur d’attaqueModification de fichier de configuration, injection de paramètres
Composants affectésConfiguration de l’agent, politiques d’outils
Mesures d’atténuation actuellesPermissions de fichier
Risque résiduelMoyen - Nécessite un accès local
RecommandationsVérification de l’intégrité de la configuration, journalisation d’audit des changements de configuration

3.5 Évasion des défenses (AML.TA0007)

T-EVADE-001 : Contournement des motifs de modération

AttributValeur
ID ATLASAML.T0043 - Élaborer des données adverses
DescriptionL’attaquant conçoit du contenu de Skill pour contourner les motifs de modération
Vecteur d’attaqueHomoglyphes Unicode, astuces d’encodage, chargement dynamique
Composants affectésClawHub moderation.ts
Mesures d’atténuation actuellesFLAG_RULES fondées sur des motifs
Risque résiduelÉlevé - Les regex simples se contournent facilement
RecommandationsAjouter une analyse comportementale (VirusTotal Code Insight), une détection fondée sur AST

T-EVADE-002 : Échappement à l’encapsulation de contenu

AttributValeur
ID ATLASAML.T0043 - Élaborer des données adverses
DescriptionL’attaquant conçoit du contenu qui s’échappe du contexte d’encapsulation XML
Vecteur d’attaqueManipulation de balises, confusion de contexte, substitution d’instructions
Composants affectésEncapsulation du contenu externe
Mesures d’atténuation actuellesBalises XML + avis de sécurité
Risque résiduelMoyen - De nouveaux contournements sont découverts régulièrement
RecommandationsPlusieurs couches d’encapsulation, validation côté sortie

3.6 Découverte (AML.TA0008)

T-DISC-001 : Énumération des outils

AttributValeur
ID ATLASAML.T0040 - Accès à l’API d’inférence du modèle d’IA
DescriptionL’attaquant énumère les outils disponibles par prompt
Vecteur d’attaqueRequêtes du type « Quels outils as-tu ? »
Composants affectésRegistre des outils de l’agent
Mesures d’atténuation actuellesAucune spécifique
Risque résiduelFaible - Les outils sont généralement documentés
RecommandationsEnvisager des contrôles de visibilité des outils

T-DISC-002 : Extraction de données de session

AttributValeur
ID ATLASAML.T0040 - Accès à l’API d’inférence du modèle d’IA
DescriptionL’attaquant extrait des données sensibles du contexte de session
Vecteur d’attaqueRequêtes « De quoi avons-nous parlé ? », sondage du contexte
Composants affectésTranscriptions de session, fenêtre de contexte
Mesures d’atténuation actuellesIsolation des sessions par expéditeur
Risque résiduelMoyen - Les données de la session sont accessibles au sein de la session
RecommandationsMettre en œuvre une rédaction des données sensibles dans le contexte

3.7 Collecte et exfiltration (AML.TA0009, AML.TA0010)

T-EXFIL-001 : Vol de données via web_fetch

AttributValeur
ID ATLASAML.T0009 - Collecte
DescriptionL’attaquant exfiltre des données en demandant à l’agent de les envoyer vers une URL externe
Vecteur d’attaqueInjection de prompt amenant l’agent à envoyer des données par POST vers un serveur contrôlé par l’attaquant
Composants affectésOutil web_fetch
Mesures d’atténuation actuellesBlocage SSRF pour les réseaux internes
Risque résiduelÉlevé - Les URL externes sont autorisées
RecommandationsMettre en œuvre une liste d’autorisation d’URL, une prise en compte de la classification des données

T-EXFIL-002 : Envoi de messages non autorisé

AttributValeur
ID ATLASAML.T0009 - Collecte
DescriptionL’attaquant amène l’agent à envoyer des messages contenant des données sensibles
Vecteur d’attaqueInjection de prompt amenant l’agent à envoyer un message à l’attaquant
Composants affectésOutil de messagerie, intégrations de canaux
Mesures d’atténuation actuellesContrôle de l’envoi de messages sortants
Risque résiduelMoyen - Le contrôle peut être contourné
RecommandationsExiger une confirmation explicite pour les nouveaux destinataires

T-EXFIL-003 : Collecte d’identifiants

AttributValeur
ID ATLASAML.T0009 - Collecte
DescriptionUne Skill malveillante collecte des identifiants depuis le contexte de l’agent
Vecteur d’attaqueLe code de la Skill lit les variables d’environnement, les fichiers de configuration
Composants affectésEnvironnement d’exécution de la Skill
Mesures d’atténuation actuellesAucune spécifique aux Skills
Risque résiduelCritique - Les Skills s’exécutent avec les privilèges de l’agent
RecommandationsSandboxing des Skills, isolation des identifiants

3.8 Impact (AML.TA0011)

T-IMPACT-001 : Exécution de commandes non autorisée

AttributValeur
ID ATLASAML.T0031 - Éroder l’intégrité du modèle d’IA
DescriptionL’attaquant exécute des commandes arbitraires sur le système de l’utilisateur
Vecteur d’attaqueInjection de prompt combinée à un contournement de l’approbation d’exécution
Composants affectésOutil Bash, exécution de commandes
Mesures d’atténuation actuellesApprobations d’exécution, option de sandbox Docker
Risque résiduelCritique - Exécution sur l’hôte sans sandbox
RecommandationsUtiliser le sandbox par défaut, améliorer l’UX d’approbation

T-IMPACT-002 : Épuisement des ressources (DoS)

AttributValeur
ID ATLASAML.T0031 - Éroder l’intégrité du modèle d’IA
DescriptionL’attaquant épuise les crédits API ou les ressources de calcul
Vecteur d’attaqueInondation automatisée de messages, appels d’outils coûteux
Composants affectésGateway, sessions d’agent, fournisseur d’API
Mesures d’atténuation actuellesAucune
Risque résiduelÉlevé - Aucune limitation de débit
RecommandationsMettre en œuvre des limites de débit par expéditeur, des budgets de coût

T-IMPACT-003 : Atteinte à la réputation

AttributValeur
ID ATLASAML.T0031 - Éroder l’intégrité du modèle d’IA
DescriptionL’attaquant amène l’agent à envoyer du contenu nuisible ou offensant
Vecteur d’attaqueInjection de prompt provoquant des réponses inappropriées
Composants affectésGénération de sortie, messagerie de canal
Mesures d’atténuation actuellesPolitiques de contenu du fournisseur de LLM
Risque résiduelMoyen - Les filtres du fournisseur sont imparfaits
RecommandationsCouche de filtrage de sortie, contrôles utilisateur

4. Analyse de la chaîne d’approvisionnement ClawHub

4.1 Contrôles de sécurité actuels

ContrôleImplémentationEfficacité
Ancienneté du compte GitHubrequireGitHubAccountAge()Moyenne - Relève le niveau pour les nouveaux attaquants
Assainissement des cheminssanitizePath()Élevée - Empêche la traversée de chemin
Validation du type de fichierisTextFile()Moyenne - Uniquement des fichiers texte, mais ils peuvent quand même être malveillants
Limites de taille50 Mo au totalÉlevée - Empêche l’épuisement des ressources
SKILL.md requisreadme obligatoireFaible valeur de sécurité - Informatif uniquement
Modération par motifsFLAG_RULES in moderation.tsFaible - Facile à contourner
Statut de modérationChamp moderationStatusMoyenne - Revue manuelle possible

4.2 Motifs d’indicateurs de modération

Motifs actuels dans moderation.ts : 
// Identifiants connus comme malveillants
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Mots-clés suspects
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
Limitations :
  • Vérifie uniquement slug, displayName, summary, le frontmatter, les métadonnées et les chemins de fichiers
  • N’analyse pas le contenu réel du code des Skills
  • Les regex simples se contournent facilement par obfuscation
  • Aucune analyse comportementale

4.3 Améliorations prévues

AméliorationStatutImpact
Intégration VirusTotalEn coursÉlevé - Analyse comportementale Code Insight
Signalement communautairePartiel (skillReports table exists)Moyen
Journalisation d’auditPartiel (auditLogs table exists)Moyen
Système de badgesImplémentéMoyen - highlighted, official, deprecated, redactionApproved

5. Matrice des risques

5.1 Probabilité vs impact

ID de menaceProbabilitéImpactNiveau de risquePriorité
T-EXEC-001ÉlevéeCritiqueCritiqueP0
T-PERSIST-001ÉlevéeCritiqueCritiqueP0
T-EXFIL-003MoyenneCritiqueCritiqueP0
T-IMPACT-001MoyenneCritiqueÉlevéP1
T-EXEC-002ÉlevéeÉlevéÉlevéP1
T-EXEC-004MoyenneÉlevéÉlevéP1
T-ACCESS-003MoyenneÉlevéÉlevéP1
T-EXFIL-001MoyenneÉlevéÉlevéP1
T-IMPACT-002ÉlevéeMoyenÉlevéP1
T-EVADE-001ÉlevéeMoyenMoyenP2
T-ACCESS-001FaibleÉlevéMoyenP2
T-ACCESS-002FaibleÉlevéMoyenP2
T-PERSIST-002FaibleÉlevéMoyenP2

5.2 Chaînes d’attaque critiques

Chaîne d’attaque 1 : Vol de données fondé sur une Skill 
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publier une Skill malveillante) → (Contourner la modération) → (Collecter des identifiants)
Chaîne d’attaque 2 : Injection de prompt vers RCE 
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Injecter un prompt) → (Contourner l’approbation d’exécution) → (Exécuter des commandes)
Chaîne d’attaque 3 : Injection indirecte via du contenu récupéré 
T-EXEC-002 → T-EXFIL-001 → Exfiltration externe
(Empoisonner le contenu d’une URL) → (L’agent récupère le contenu et suit les instructions) → (Données envoyées à l’attaquant)

6. Résumé des recommandations

6.1 Immédiat (P0)

IDRecommandationTraite
R-001Finaliser l’intégration VirusTotalT-PERSIST-001, T-EVADE-001
R-002Mettre en œuvre le sandboxing des SkillsT-PERSIST-001, T-EXFIL-003
R-003Ajouter une validation de sortie pour les actions sensiblesT-EXEC-001, T-EXEC-002

6.2 Court terme (P1)

IDRecommandationTraite
R-004Mettre en œuvre une limitation de débitT-IMPACT-002
R-005Ajouter le chiffrement des jetons au reposT-ACCESS-003
R-006Améliorer l’UX et la validation d’approbation d’exécutionT-EXEC-004
R-007Mettre en œuvre une liste d’autorisation d’URL pour web_fetchT-EXFIL-001

6.3 Moyen terme (P2)

IDRecommandationTraite
R-008Ajouter une vérification cryptographique des canaux lorsque possibleT-ACCESS-002
R-009Mettre en œuvre une vérification de l’intégrité de la configurationT-PERSIST-003
R-010Ajouter la signature des mises à jour et l’épinglage de versionT-PERSIST-002

7. Annexes

7.1 Correspondance des techniques ATLAS

ID ATLASNom de la techniqueMenaces OpenClaw
AML.T0006Analyse activeT-RECON-001, T-RECON-002
AML.T0009CollecteT-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001Chaîne d’approvisionnement : logiciel d’IAT-PERSIST-001, T-PERSIST-002
AML.T0010.002Chaîne d’approvisionnement : donnéesT-PERSIST-003
AML.T0031Éroder l’intégrité du modèle d’IAT-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040Accès à l’API d’inférence du modèle d’IAT-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043Élaborer des données adversesT-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000Injection de prompt LLM : directeT-EXEC-001, T-EXEC-003
AML.T0051.001Injection de prompt LLM : indirecteT-EXEC-002

7.2 Fichiers de sécurité clés

CheminObjectifNiveau de risque
src/infra/exec-approvals.tsLogique d’approbation des commandesCritique
src/gateway/auth.tsAuthentification GatewayCritique
src/infra/net/ssrf.tsProtection SSRFCritique
src/security/external-content.tsAtténuation de l’injection de promptCritique
src/agents/sandbox/tool-policy.tsApplication de la politique d’outilsCritique
src/routing/resolve-route.tsIsolation des sessionsMoyen

7.3 Glossaire

TermeDéfinition
ATLASPaysage des menaces adverses de MITRE pour les systèmes d’IA
ClawHubPlace de marché de Skills d’OpenClaw
GatewayCouche de routage des messages et d’authentification d’OpenClaw
MCPModel Context Protocol - interface de fournisseur d’outils
Prompt InjectionAttaque où des instructions malveillantes sont intégrées dans une entrée
SkillExtension téléchargeable pour les agents OpenClaw
SSRFFalsification de requête côté serveur
Ce modèle de menace est un document évolutif. Signalez les problèmes de sécurité à security@openclaw.ai