MITRE ATLAS फ्रेमवर्क
संस्करण: 1.0-draft
अंतिम अद्यतन: 2026-02-04
कार्यप्रणाली: MITRE ATLAS + डेटा प्रवाह आरेख
फ्रेमवर्क: MITRE ATLAS (AI प्रणालियों के लिए प्रतिकूल खतरा परिदृश्य)
फ्रेमवर्क श्रेय
यह खतरा मॉडल MITRE ATLAS पर आधारित है, जो AI/ML प्रणालियों के प्रतिकूल खतरों का दस्तावेजीकरण करने के लिए उद्योग-मानक फ्रेमवर्क है। ATLAS को AI सुरक्षा समुदाय के सहयोग से MITRE द्वारा बनाए रखा जाता है।
मुख्य ATLAS संसाधन:
इस खतरा मॉडल में योगदान
यह OpenClaw समुदाय द्वारा बनाए रखा जाने वाला एक जीवंत दस्तावेज है। योगदान संबंधी दिशानिर्देशों के लिए CONTRIBUTING-THREAT-MODEL.md देखें:
नए खतरों की रिपोर्ट करना
मौजूदा खतरों को अद्यतन करना
आक्रमण श्रृंखलाओं का प्रस्ताव करना
शमन सुझाना
1. परिचय
1.1 उद्देश्य
यह खतरा मॉडल OpenClaw AI एजेंट प्लेटफॉर्म और ClawHub Skills बाज़ार के प्रतिकूल खतरों का दस्तावेजीकरण करता है, जिसमें विशेष रूप से AI/ML प्रणालियों के लिए बनाए गए MITRE ATLAS फ्रेमवर्क का उपयोग किया गया है।
1.2 दायरा
घटक
शामिल
टिप्पणियां
OpenClaw एजेंट रनटाइम
हां
मुख्य एजेंट निष्पादन, टूल कॉल, सत्र
Gateway
हां
प्रमाणीकरण, रूटिंग, चैनल एकीकरण
चैनल एकीकरण
हां
WhatsApp, Telegram, Discord, Signal, Slack आदि
ClawHub बाज़ार
हां
Skill प्रकाशन, मॉडरेशन, वितरण
MCP सर्वर
हां
बाहरी टूल प्रदाता
उपयोगकर्ता डिवाइस
आंशिक
मोबाइल ऐप, डेस्कटॉप क्लाइंट
1.3 दायरे से बाहर
इस खतरा मॉडल के लिए कुछ भी स्पष्ट रूप से दायरे से बाहर नहीं है।
2. सिस्टम आर्किटेक्चर
2.1 भरोसे की सीमाएं
Code Copy code ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ 2.2 डेटा प्रवाह
प्रवाह
स्रोत
गंतव्य
डेटा
सुरक्षा
F1
चैनल
Gateway
उपयोगकर्ता संदेश
TLS, AllowFrom
F2
Gateway
एजेंट
रूट किए गए संदेश
सत्र पृथक्करण
F3
एजेंट
टूल
टूल आमंत्रण
नीति प्रवर्तन
F4
एजेंट
बाहरी
web_fetch अनुरोध
SSRF अवरोधन
F5
ClawHub
एजेंट
Skill कोड
मॉडरेशन, स्कैनिंग
F6
एजेंट
चैनल
प्रतिक्रियाएं
आउटपुट फ़िल्टरिंग
3. ATLAS रणनीति के अनुसार खतरा विश्लेषण
3.1 टोह लेना (AML.TA0002)
T-RECON-001: एजेंट एंडपॉइंट खोज
विशेषता
मान
ATLAS ID AML.T0006 - सक्रिय स्कैनिंग
विवरण हमलावर उजागर OpenClaw gateway एंडपॉइंट के लिए स्कैन करता है
आक्रमण वेक्टर नेटवर्क स्कैनिंग, shodan क्वेरी, DNS गणना
प्रभावित घटक Gateway, उजागर API एंडपॉइंट
मौजूदा शमन Tailscale प्रमाणीकरण विकल्प, डिफ़ॉल्ट रूप से loopback से bind करना
अवशिष्ट जोखिम मध्यम - सार्वजनिक gateways खोजे जा सकते हैं
अनुशंसाएं सुरक्षित परिनियोजन का दस्तावेजीकरण करें, खोज एंडपॉइंट पर दर सीमा जोड़ें
T-RECON-002: चैनल एकीकरण जांच
विशेषता
मान
ATLAS ID AML.T0006 - Active Scanning
विवरण हमलावर AI-प्रबंधित खातों की पहचान करने के लिए मैसेजिंग चैनलों की जांच करता है
आक्रमण वेक्टर परीक्षण संदेश भेजना, प्रतिक्रिया पैटर्न देखना
प्रभावित घटक सभी चैनल एकीकरण
वर्तमान न्यूनीकरण कोई विशिष्ट नहीं
अवशिष्ट जोखिम कम - केवल खोज से सीमित मूल्य
अनुशंसाएं प्रतिक्रिया समय में रैंडमाइजेशन पर विचार करें
3.2 प्रारंभिक पहुंच (AML.TA0004)
T-ACCESS-001: पेयरिंग कोड इंटरसेप्शन
विशेषता
मान
ATLAS ID AML.T0040 - AI Model Inference API Access
विवरण हमलावर पेयरिंग ग्रेस अवधि के दौरान पेयरिंग कोड इंटरसेप्ट करता है (DM चैनल पेयरिंग के लिए 1h, node पेयरिंग के लिए 5m)
आक्रमण वेक्टर कंधे के ऊपर से देखना, नेटवर्क स्निफिंग, सोशल इंजीनियरिंग
प्रभावित घटक डिवाइस पेयरिंग सिस्टम
वर्तमान न्यूनीकरण 1h समाप्ति (DM पेयरिंग) / 5m समाप्ति (node पेयरिंग), मौजूदा चैनल के माध्यम से भेजे गए कोड
अवशिष्ट जोखिम मध्यम - ग्रेस अवधि का दुरुपयोग किया जा सकता है
अनुशंसाएं ग्रेस अवधि कम करें, पुष्टि चरण जोड़ें
T-ACCESS-002: AllowFrom स्पूफिंग
विशेषता
मान
ATLAS ID AML.T0040 - AI Model Inference API Access
विवरण हमलावर चैनल में अनुमत प्रेषक पहचान की स्पूफिंग करता है
आक्रमण वेक्टर चैनल पर निर्भर - फोन नंबर स्पूफिंग, उपयोगकर्ता नाम प्रतिरूपण
प्रभावित घटक प्रति चैनल AllowFrom सत्यापन
वर्तमान न्यूनीकरण चैनल-विशिष्ट पहचान सत्यापन
अवशिष्ट जोखिम मध्यम - कुछ चैनल स्पूफिंग के प्रति संवेदनशील हैं
अनुशंसाएं चैनल-विशिष्ट जोखिमों का दस्तावेजीकरण करें, जहां संभव हो क्रिप्टोग्राफिक सत्यापन जोड़ें
T-ACCESS-003: टोकन चोरी
विशेषता
मान
ATLAS ID AML.T0040 - AI Model Inference API Access
विवरण हमलावर कॉन्फ़िग फाइलों से प्रमाणीकरण टोकन चुराता है
आक्रमण वेक्टर मैलवेयर, अनधिकृत डिवाइस पहुंच, कॉन्फ़िग बैकअप उजागर होना
प्रभावित घटक ~/.openclaw/credentials/, कॉन्फ़िग स्टोरेज
वर्तमान न्यूनीकरण फाइल अनुमतियां
अवशिष्ट जोखिम उच्च - टोकन प्लेनटेक्स्ट में संग्रहीत हैं
अनुशंसाएं स्थिर अवस्था में टोकन एन्क्रिप्शन लागू करें, टोकन रोटेशन जोड़ें
3.3 निष्पादन (AML.TA0005)
T-EXEC-001: प्रत्यक्ष Prompt Injection
विशेषता
मान
ATLAS ID AML.T0051.000 - LLM Prompt Injection: Direct
विवरण हमलावर agent व्यवहार में हेरफेर करने के लिए विशेष रूप से तैयार prompts भेजता है
आक्रमण वेक्टर प्रतिकूल निर्देशों वाले चैनल संदेश
प्रभावित घटक Agent LLM, सभी इनपुट सतहें
वर्तमान न्यूनीकरण पैटर्न पहचान, बाहरी सामग्री रैपिंग
अवशिष्ट जोखिम गंभीर - केवल पहचान, कोई ब्लॉकिंग नहीं; परिष्कृत आक्रमण बायपास कर जाते हैं
अनुशंसाएं बहु-स्तरीय रक्षा, आउटपुट सत्यापन, संवेदनशील कार्रवाइयों के लिए उपयोगकर्ता पुष्टि लागू करें
T-EXEC-002: अप्रत्यक्ष Prompt Injection
विशेषता
मान
ATLAS ID AML.T0051.001 - LLM Prompt Injection: Indirect
विवरण हमलावर प्राप्त की गई सामग्री में दुर्भावनापूर्ण निर्देश एम्बेड करता है
आक्रमण वेक्टर दुर्भावनापूर्ण URL, विषाक्त ईमेल, समझौता किए गए Webhook
प्रभावित घटक web_fetch, ईमेल इनजेशन, बाहरी डेटा स्रोत
वर्तमान न्यूनीकरण XML टैग और सुरक्षा सूचना के साथ सामग्री रैपिंग
अवशिष्ट जोखिम उच्च - LLM रैपर निर्देशों को अनदेखा कर सकता है
अनुशंसाएं सामग्री सैनिटाइजेशन लागू करें, अलग निष्पादन संदर्भ
T-EXEC-003: टूल आर्ग्युमेंट Injection
विशेषता
मान
ATLAS ID AML.T0051.000 - LLM Prompt Injection: Direct
विवरण हमलावर Prompt Injection के माध्यम से टूल आर्ग्युमेंट्स में हेरफेर करता है
आक्रमण वेक्टर टूल पैरामीटर मानों को प्रभावित करने वाले विशेष रूप से तैयार prompts
प्रभावित घटक सभी टूल आवाहन
वर्तमान न्यूनीकरण खतरनाक कमांड के लिए Exec अनुमोदन
अवशिष्ट जोखिम उच्च - उपयोगकर्ता के निर्णय पर निर्भर
अनुशंसाएं आर्ग्युमेंट सत्यापन लागू करें, पैरामीटरयुक्त टूल कॉल
T-EXEC-004: Exec अनुमोदन बायपास
विशेषता
मान
ATLAS ID AML.T0043 - Craft Adversarial Data
विवरण हमलावर ऐसी कमांड तैयार करता है जो अनुमोदन allowlist को बायपास करती हैं
आक्रमण वेक्टर कमांड अस्पष्टीकरण, alias दुरुपयोग, पाथ हेरफेर
प्रभावित घटक exec-approvals.ts, कमांड allowlist
वर्तमान न्यूनीकरण Allowlist + ask मोड
अवशिष्ट जोखिम उच्च - कोई कमांड सैनिटाइजेशन नहीं
अनुशंसाएं कमांड सामान्यीकरण लागू करें, blocklist का विस्तार करें
3.4 स्थायित्व (AML.TA0006)
T-PERSIST-001: दुर्भावनापूर्ण Skill इंस्टॉलेशन
विशेषता
मान
ATLAS ID AML.T0010.001 - Supply Chain Compromise: AI Software
विवरण हमलावर ClawHub पर दुर्भावनापूर्ण skill प्रकाशित करता है
आक्रमण वेक्टर खाता बनाना, छिपे हुए दुर्भावनापूर्ण कोड के साथ skill प्रकाशित करना
प्रभावित घटक ClawHub, skill लोडिंग, agent निष्पादन
वर्तमान न्यूनीकरण GitHub खाता आयु सत्यापन, पैटर्न-आधारित मॉडरेशन फ्लैग
अवशिष्ट जोखिम गंभीर - कोई सैंडबॉक्सिंग नहीं, सीमित समीक्षा
अनुशंसाएं VirusTotal एकीकरण (प्रगति में), skill सैंडबॉक्सिंग, सामुदायिक समीक्षा
T-PERSIST-002: Skill अपडेट पॉइज़निंग
विशेषता
मान
ATLAS ID AML.T0010.001 - Supply Chain Compromise: AI Software
विवरण हमलावर लोकप्रिय skill से समझौता करता है और दुर्भावनापूर्ण अपडेट भेजता है
आक्रमण वेक्टर खाता समझौता, skill स्वामी की सोशल इंजीनियरिंग
प्रभावित घटक ClawHub वर्जनिंग, ऑटो-अपडेट फ्लो
वर्तमान न्यूनीकरण संस्करण फिंगरप्रिंटिंग
अवशिष्ट जोखिम उच्च - ऑटो-अपडेट दुर्भावनापूर्ण संस्करण खींच सकते हैं
अनुशंसाएं अपडेट साइनिंग, रोलबैक क्षमता, संस्करण पिनिंग लागू करें
T-PERSIST-003: Agent कॉन्फ़िगरेशन से छेड़छाड़
विशेषता
मान
ATLAS ID AML.T0010.002 - Supply Chain Compromise: Data
विवरण हमलावर पहुंच बनाए रखने के लिए agent कॉन्फ़िगरेशन संशोधित करता है
आक्रमण वेक्टर कॉन्फ़िग फाइल संशोधन, सेटिंग्स Injection
प्रभावित घटक Agent कॉन्फ़िग, टूल नीतियां
वर्तमान न्यूनीकरण फाइल अनुमतियां
अवशिष्ट जोखिम मध्यम - स्थानीय पहुंच आवश्यक
अनुशंसाएं कॉन्फ़िग अखंडता सत्यापन, कॉन्फ़िग बदलावों के लिए ऑडिट लॉगिंग
3.5 रक्षा चकमा (AML.TA0007)
T-EVADE-001: मॉडरेशन पैटर्न बायपास
विशेषता
मान
ATLAS ID AML.T0043 - Craft Adversarial Data
विवरण हमलावर मॉडरेशन पैटर्न से बचने के लिए skill सामग्री तैयार करता है
आक्रमण वेक्टर Unicode homoglyphs, एन्कोडिंग तरकीबें, डायनेमिक लोडिंग
प्रभावित घटक ClawHub moderation.ts
वर्तमान न्यूनीकरण पैटर्न-आधारित FLAG_RULES
अवशिष्ट जोखिम उच्च - सरल regex को आसानी से बायपास किया जा सकता है
अनुशंसाएं व्यवहारिक विश्लेषण जोड़ें (VirusTotal Code Insight), AST-आधारित पहचान
T-EVADE-002: सामग्री रैपर एस्केप
विशेषता
मान
ATLAS ID AML.T0043 - प्रतिकूल डेटा तैयार करना
विवरण हमलावर ऐसी सामग्री तैयार करता है जो XML रैपर संदर्भ से बच निकलती है
हमला वेक्टर टैग में हेरफेर, संदर्भ भ्रम, निर्देश ओवरराइड
प्रभावित घटक बाहरी सामग्री रैपिंग
वर्तमान शमन XML टैग + सुरक्षा सूचना
अवशिष्ट जोखिम मध्यम - नए बच निकलने के तरीके नियमित रूप से खोजे जाते हैं
अनुशंसाएँ कई रैपर परतें, आउटपुट-साइड सत्यापन
3.6 खोज (AML.TA0008)
T-DISC-001: टूल गणना
विशेषता
मान
ATLAS ID AML.T0040 - AI मॉडल अनुमान API पहुंच
विवरण हमलावर प्रॉम्प्टिंग के माध्यम से उपलब्ध टूल गिनता है
हमला वेक्टर "आपके पास कौन से टूल हैं?" शैली की क्वेरी
प्रभावित घटक एजेंट टूल रजिस्ट्री
वर्तमान शमन कोई विशिष्ट नहीं
अवशिष्ट जोखिम कम - टूल आम तौर पर प्रलेखित होते हैं
अनुशंसाएँ टूल दृश्यता नियंत्रणों पर विचार करें
T-DISC-002: सत्र डेटा निष्कर्षण
विशेषता
मान
ATLAS ID AML.T0040 - AI मॉडल अनुमान API पहुंच
विवरण हमलावर सत्र संदर्भ से संवेदनशील डेटा निकालता है
हमला वेक्टर "हमने क्या चर्चा की?" क्वेरी, संदर्भ जांच
प्रभावित घटक सत्र प्रतिलिपियाँ, संदर्भ विंडो
वर्तमान शमन प्रति प्रेषक सत्र पृथक्करण
अवशिष्ट जोखिम मध्यम - सत्र के भीतर का डेटा सुलभ है
अनुशंसाएँ संदर्भ में संवेदनशील डेटा संपादन लागू करें
3.7 संग्रह और बहिर्गमन (AML.TA0009, AML.TA0010)
T-EXFIL-001: web_fetch के माध्यम से डेटा चोरी
विशेषता
मान
ATLAS ID AML.T0009 - संग्रह
विवरण हमलावर एजेंट को बाहरी URL पर भेजने का निर्देश देकर डेटा बाहर निकालता है
हमला वेक्टर प्रॉम्प्ट इंजेक्शन जिससे एजेंट हमलावर सर्वर पर डेटा POST करता है
प्रभावित घटक web_fetch टूल
वर्तमान शमन आंतरिक नेटवर्क के लिए SSRF अवरोध
अवशिष्ट जोखिम उच्च - बाहरी URL अनुमत हैं
अनुशंसाएँ URL allowlisting, डेटा वर्गीकरण जागरूकता लागू करें
T-EXFIL-002: अनधिकृत संदेश भेजना
विशेषता
मान
ATLAS ID AML.T0009 - संग्रह
विवरण हमलावर एजेंट से संवेदनशील डेटा वाले संदेश भिजवाता है
हमला वेक्टर प्रॉम्प्ट इंजेक्शन जिससे एजेंट हमलावर को संदेश भेजता है
प्रभावित घटक संदेश टूल, चैनल एकीकरण
वर्तमान शमन आउटबाउंड मैसेजिंग गेटिंग
अवशिष्ट जोखिम मध्यम - गेटिंग को बायपास किया जा सकता है
अनुशंसाएँ नए प्राप्तकर्ताओं के लिए स्पष्ट पुष्टि आवश्यक करें
T-EXFIL-003: क्रेडेंशियल हार्वेस्टिंग
विशेषता
मान
ATLAS ID AML.T0009 - संग्रह
विवरण दुर्भावनापूर्ण skill एजेंट संदर्भ से क्रेडेंशियल निकालता है
हमला वेक्टर Skill कोड पर्यावरण चर, कॉन्फिग फाइलें पढ़ता है
प्रभावित घटक Skill निष्पादन परिवेश
वर्तमान शमन Skills के लिए कोई विशिष्ट नहीं
अवशिष्ट जोखिम अत्यंत गंभीर - Skills एजेंट विशेषाधिकारों के साथ चलते हैं
अनुशंसाएँ Skill sandboxing, क्रेडेंशियल पृथक्करण
3.8 प्रभाव (AML.TA0011)
T-IMPACT-001: अनधिकृत कमांड निष्पादन
विशेषता
मान
ATLAS ID AML.T0031 - AI मॉडल अखंडता को क्षीण करना
विवरण हमलावर उपयोगकर्ता सिस्टम पर मनमाने कमांड चलाता है
हमला वेक्टर exec अनुमोदन बायपास के साथ संयुक्त प्रॉम्प्ट इंजेक्शन
प्रभावित घटक Bash टूल, कमांड निष्पादन
वर्तमान शमन Exec अनुमोदन, Docker सैंडबॉक्स विकल्प
अवशिष्ट जोखिम अत्यंत गंभीर - सैंडबॉक्स के बिना होस्ट निष्पादन
अनुशंसाएँ सैंडबॉक्स को डिफॉल्ट बनाएं, अनुमोदन UX सुधारें
T-IMPACT-002: संसाधन समाप्ति (DoS)
विशेषता
मान
ATLAS ID AML.T0031 - AI मॉडल अखंडता को क्षीण करना
विवरण हमलावर API क्रेडिट या कंप्यूट संसाधन समाप्त करता है
हमला वेक्टर स्वचालित संदेश बाढ़, महंगे टूल कॉल
प्रभावित घटक Gateway, एजेंट सत्र, API प्रदाता
वर्तमान शमन कोई नहीं
अवशिष्ट जोखिम उच्च - कोई दर सीमा नहीं
अनुशंसाएँ प्रति-प्रेषक दर सीमाएँ, लागत बजट लागू करें
T-IMPACT-003: प्रतिष्ठा क्षति
विशेषता
मान
ATLAS ID AML.T0031 - AI मॉडल अखंडता को क्षीण करना
विवरण हमलावर एजेंट से हानिकारक/आपत्तिजनक सामग्री भेजवाता है
हमला वेक्टर प्रॉम्प्ट इंजेक्शन जिससे अनुपयुक्त प्रतिक्रियाएँ होती हैं
प्रभावित घटक आउटपुट जनरेशन, चैनल मैसेजिंग
वर्तमान शमन LLM प्रदाता सामग्री नीतियाँ
अवशिष्ट जोखिम मध्यम - प्रदाता फिल्टर अपूर्ण हैं
अनुशंसाएँ आउटपुट फिल्टरिंग परत, उपयोगकर्ता नियंत्रण
4. ClawHub आपूर्ति श्रृंखला विश्लेषण
4.1 वर्तमान सुरक्षा नियंत्रण
नियंत्रण
कार्यान्वयन
प्रभावशीलता
GitHub खाता आयु
requireGitHubAccountAge()मध्यम - नए हमलावरों के लिए बाधा बढ़ाता है
पथ स्वच्छीकरण
sanitizePath()उच्च - पथ ट्रैवर्सल रोकता है
फाइल प्रकार सत्यापन
isTextFile()मध्यम - केवल टेक्स्ट फाइलें, लेकिन फिर भी दुर्भावनापूर्ण हो सकती हैं
आकार सीमाएँ
कुल 50MB बंडल
उच्च - संसाधन समाप्ति रोकता है
आवश्यक SKILL.md
अनिवार्य readme
कम सुरक्षा मूल्य - केवल सूचनात्मक
पैटर्न मॉडरेशन
moderation.ts में FLAG_RULES
कम - आसानी से बायपास किया जा सकता है
मॉडरेशन स्थिति
moderationStatus फील्डमध्यम - मैनुअल समीक्षा संभव
4.2 मॉडरेशन फ्लैग पैटर्न
moderation.ts में वर्तमान पैटर्न:
javascript Copy code /(keepcold131\/ClawdAuthenticatorTool |ClawdAuthenticatorTool )/i /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg |webhook|hooks\.slack )/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly |tinyurl\.com |t\.co |goo\.gl |is\.gd )/i सीमाएँ:
केवल slug, displayName, summary, frontmatter, metadata, फाइल पथों की जांच करता है
वास्तविक skill कोड सामग्री का विश्लेषण नहीं करता
सरल regex को अस्पष्टता से आसानी से बायपास किया जा सकता है
कोई व्यवहारिक विश्लेषण नहीं
4.3 नियोजित सुधार
सुधार
स्थिति
प्रभाव
VirusTotal एकीकरण
प्रगति में
उच्च - Code Insight व्यवहारिक विश्लेषण
समुदाय रिपोर्टिंग
आंशिक (skillReports टेबल मौजूद है)
मध्यम
ऑडिट लॉगिंग
आंशिक (auditLogs टेबल मौजूद है)
मध्यम
बैज सिस्टम
लागू
मध्यम - highlighted, official, deprecated, redactionApproved
5. जोखिम मैट्रिक्स
5.1 संभावना बनाम प्रभाव
खतरा ID
संभावना
प्रभाव
जोखिम स्तर
प्राथमिकता
T-EXEC-001
उच्च
अत्यंत गंभीर
अत्यंत गंभीर P0
T-PERSIST-001
उच्च
अत्यंत गंभीर
अत्यंत गंभीर P0
T-EXFIL-003
मध्यम
अत्यंत गंभीर
अत्यंत गंभीर P0
T-IMPACT-001
मध्यम
अत्यंत गंभीर
उच्च P1
T-EXEC-002
उच्च
उच्च
उच्च P1
T-EXEC-004
मध्यम
उच्च
उच्च P1
T-ACCESS-003
मध्यम
उच्च
उच्च P1
T-EXFIL-001
मध्यम
उच्च
उच्च P1
T-IMPACT-002
उच्च
मध्यम
उच्च P1
T-EVADE-001
उच्च
मध्यम
मध्यम P2
T-ACCESS-001
कम
उच्च
मध्यम P2
T-ACCESS-002
कम
उच्च
मध्यम P2
T-PERSIST-002
कम
उच्च
मध्यम P2
5.2 महत्वपूर्ण पथ हमला श्रृंखलाएँ
हमला श्रृंखला 1: Skill-आधारित डेटा चोरी
Code Copy code T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) हमला श्रृंखला 2: प्रॉम्प्ट इंजेक्शन से RCE
Code Copy code T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) हमला श्रृंखला 3: प्राप्त सामग्री के माध्यम से अप्रत्यक्ष इंजेक्शन
Code Copy code T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) 6. अनुशंसाओं का सारांश
6.1 तत्काल (P0)
ID
अनुशंसा
संबोधित करता है
R-001
VirusTotal इंटीग्रेशन पूरा करें
T-PERSIST-001, T-EVADE-001
R-002
Skill सैंडबॉक्सिंग लागू करें
T-PERSIST-001, T-EXFIL-003
R-003
संवेदनशील क्रियाओं के लिए आउटपुट सत्यापन जोड़ें
T-EXEC-001, T-EXEC-002
6.2 अल्पकालिक (P1)
ID
अनुशंसा
संबोधित करता है
R-004
दर सीमित करना लागू करें
T-IMPACT-002
R-005
विश्राम अवस्था में टोकन एन्क्रिप्शन जोड़ें
T-ACCESS-003
R-006
exec अनुमोदन UX और सत्यापन सुधारें
T-EXEC-004
R-007
web_fetch के लिए URL अनुमतिसूची लागू करें
T-EXFIL-001
6.3 मध्यमकालिक (P2)
ID
अनुशंसा
संबोधित करता है
R-008
जहां संभव हो क्रिप्टोग्राफिक चैनल सत्यापन जोड़ें
T-ACCESS-002
R-009
कॉन्फ़िगरेशन अखंडता सत्यापन लागू करें
T-PERSIST-003
R-010
अपडेट साइनिंग और संस्करण पिनिंग जोड़ें
T-PERSIST-002
7. परिशिष्ट
7.1 ATLAS तकनीक मैपिंग
ATLAS ID
तकनीक का नाम
OpenClaw खतरे
AML.T0006
सक्रिय स्कैनिंग
T-RECON-001, T-RECON-002
AML.T0009
संग्रह
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001
सप्लाई चेन: AI सॉफ़्टवेयर
T-PERSIST-001, T-PERSIST-002
AML.T0010.002
सप्लाई चेन: डेटा
T-PERSIST-003
AML.T0031
AI मॉडल अखंडता को क्षीण करना
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040
AI मॉडल इन्फ़रेंस API एक्सेस
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043
प्रतिकूल डेटा तैयार करना
T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000
LLM प्रॉम्प्ट इंजेक्शन: प्रत्यक्ष
T-EXEC-001, T-EXEC-003
AML.T0051.001
LLM प्रॉम्प्ट इंजेक्शन: अप्रत्यक्ष
T-EXEC-002
7.2 मुख्य सुरक्षा फ़ाइलें
पथ
उद्देश्य
जोखिम स्तर
src/infra/exec-approvals.tsकमांड अनुमोदन लॉजिक
गंभीर
src/gateway/auth.tsGateway प्रमाणीकरण
गंभीर
src/infra/net/ssrf.tsSSRF सुरक्षा
गंभीर
src/security/external-content.tsप्रॉम्प्ट इंजेक्शन न्यूनीकरण
गंभीर
src/agents/sandbox/tool-policy.tsटूल नीति प्रवर्तन
गंभीर
src/routing/resolve-route.tsसत्र आइसोलेशन
मध्यम
7.3 शब्दावली
शब्द
परिभाषा
ATLAS AI सिस्टम के लिए MITRE का प्रतिकूल खतरा परिदृश्य
ClawHub OpenClaw का skill मार्केटप्लेस
Gateway OpenClaw की संदेश रूटिंग और प्रमाणीकरण लेयर
MCP Model Context Protocol - टूल प्रदाता इंटरफ़ेस
Prompt Injection हमला जिसमें दुर्भावनापूर्ण निर्देश इनपुट में एम्बेड किए जाते हैं
Skill OpenClaw एजेंटों के लिए डाउनलोड करने योग्य एक्सटेंशन
SSRF Server-Side Request Forgery
यह थ्रेट मॉडल एक जीवित दस्तावेज़ है। सुरक्षा समस्याओं की रिपोर्ट security@openclaw.ai पर करें
संबंधित
