Model ancaman (MITRE ATLAS)

Kerangka kerja MITRE ATLAS

Versi: 1.0-draft Terakhir Diperbarui: 2026-02-04 Metodologi: MITRE ATLAS + Diagram Alur Data Kerangka kerja: MITRE ATLAS (Lanskap Ancaman Adversarial untuk Sistem AI)

Atribusi kerangka kerja

Model ancaman ini dibangun berdasarkan MITRE ATLAS, kerangka kerja standar industri untuk mendokumentasikan ancaman adversarial terhadap sistem AI/ML. ATLAS dikelola oleh MITRE melalui kolaborasi dengan komunitas keamanan AI. Sumber Daya Utama ATLAS:

Berkontribusi pada Model Ancaman Ini

Ini adalah dokumen hidup yang dikelola oleh komunitas OpenClaw. Lihat CONTRIBUTING-THREAT-MODEL.md untuk panduan berkontribusi:

Melaporkan ancaman baru
Memperbarui ancaman yang ada
Mengusulkan rantai serangan
Menyarankan mitigasi

1. Pengantar

1.1 Tujuan

Model ancaman ini mendokumentasikan ancaman adversarial terhadap platform agen AI OpenClaw dan marketplace skill ClawHub, menggunakan kerangka kerja MITRE ATLAS yang dirancang khusus untuk sistem AI/ML.

1.2 Cakupan

Komponen	Termasuk	Catatan
Runtime Agen OpenClaw	Ya	Eksekusi agen inti, panggilan alat, sesi
Gateway	Ya	Autentikasi, perutean, integrasi kanal
Integrasi Kanal	Ya	WhatsApp, Telegram, Discord, Signal, Slack, dll.
Marketplace ClawHub	Ya	Publikasi skill, moderasi, distribusi
Server MCP	Ya	Penyedia alat eksternal
Perangkat Pengguna	Sebagian	Aplikasi seluler, klien desktop

1.3 Di Luar Cakupan

Tidak ada yang secara eksplisit berada di luar cakupan model ancaman ini.

2. Arsitektur Sistem

2.1 Batas Kepercayaan

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Alur Data

Alur	Sumber	Tujuan	Data	Perlindungan
F1	Kanal	Gateway	Pesan pengguna	TLS, AllowFrom
F2	Gateway	Agen	Pesan yang dirutekan	Isolasi sesi
F3	Agen	Alat	Pemanggilan alat	Penegakan kebijakan
F4	Agen	Eksternal	permintaan web_fetch	Pemblokiran SSRF
F5	ClawHub	Agen	Kode skill	Moderasi, pemindaian
F6	Agen	Kanal	Respons	Penyaringan keluaran

3. Analisis Ancaman berdasarkan Taktik ATLAS

3.1 Pengintaian (AML.TA0002)

T-RECON-001: Penemuan Endpoint Agen

Atribut	Nilai
ID ATLAS	AML.T0006 - Pemindaian Aktif
Deskripsi	Penyerang memindai endpoint Gateway OpenClaw yang terekspos
Vektor Serangan	Pemindaian jaringan, kueri shodan, enumerasi DNS
Komponen Terdampak	Gateway, endpoint API yang terekspos
Mitigasi Saat Ini	Opsi auth Tailscale, bind ke loopback secara default
Risiko Residual	Sedang - Gateway publik dapat ditemukan
Rekomendasi	Dokumentasikan deployment aman, tambahkan pembatasan laju pada endpoint penemuan

T-RECON-002: Probing Integrasi Kanal

Atribut	Nilai
ID ATLAS	AML.T0006 - Pemindaian Aktif
Deskripsi	Penyerang memeriksa saluran perpesanan untuk mengidentifikasi akun yang dikelola AI
Vektor Serangan	Mengirim pesan uji, mengamati pola respons
Komponen Terdampak	Semua integrasi saluran
Mitigasi Saat Ini	Tidak ada yang spesifik
Risiko Residual	Rendah - Nilai terbatas dari penemuan saja
Rekomendasi	Pertimbangkan pengacakan waktu respons

3.2 Akses Awal (AML.TA0004)

T-ACCESS-001: Intersepsi Kode Pairing

Atribut	Nilai
ID ATLAS	AML.T0040 - Akses API Inferensi Model AI
Deskripsi	Penyerang mengintersepsi kode pairing selama masa tenggang pairing (1h untuk pairing saluran DM, 5m untuk pairing Node)
Vektor Serangan	Mengintip dari balik bahu, penyadapan jaringan, rekayasa sosial
Komponen Terdampak	Sistem pairing perangkat
Mitigasi Saat Ini	Kedaluwarsa 1h (pairing DM) / kedaluwarsa 5m (pairing Node), kode dikirim melalui saluran yang ada
Risiko Residual	Sedang - Masa tenggang dapat dieksploitasi
Rekomendasi	Kurangi masa tenggang, tambahkan langkah konfirmasi

T-ACCESS-002: Pemalsuan AllowFrom

Atribut	Nilai
ID ATLAS	AML.T0040 - Akses API Inferensi Model AI
Deskripsi	Penyerang memalsukan identitas pengirim yang diizinkan di saluran
Vektor Serangan	Bergantung pada saluran - pemalsuan nomor telepon, peniruan nama pengguna
Komponen Terdampak	Validasi AllowFrom per saluran
Mitigasi Saat Ini	Verifikasi identitas spesifik saluran
Risiko Residual	Sedang - Sebagian saluran rentan terhadap pemalsuan
Rekomendasi	Dokumentasikan risiko spesifik saluran, tambahkan verifikasi kriptografis jika memungkinkan

T-ACCESS-003: Pencurian Token

Atribut	Nilai
ID ATLAS	AML.T0040 - Akses API Inferensi Model AI
Deskripsi	Penyerang mencuri token autentikasi dari file konfigurasi
Vektor Serangan	Malware, akses perangkat tanpa izin, paparan cadangan konfigurasi
Komponen Terdampak	~/.openclaw/credentials/, penyimpanan konfigurasi
Mitigasi Saat Ini	Izin file
Risiko Residual	Tinggi - Token disimpan dalam teks biasa
Rekomendasi	Terapkan enkripsi token saat tersimpan, tambahkan rotasi token

3.3 Eksekusi (AML.TA0005)

T-EXEC-001: Injeksi Prompt Langsung

Atribut	Nilai
ID ATLAS	AML.T0051.000 - Injeksi Prompt LLM: Langsung
Deskripsi	Penyerang mengirim prompt yang dirancang untuk memanipulasi perilaku agen
Vektor Serangan	Pesan saluran yang berisi instruksi adversarial
Komponen Terdampak	LLM agen, semua permukaan input
Mitigasi Saat Ini	Deteksi pola, pembungkusan konten eksternal
Risiko Residual	Kritis - Hanya deteksi, tanpa pemblokiran; serangan canggih dapat melewati
Rekomendasi	Terapkan pertahanan berlapis, validasi output, konfirmasi pengguna untuk tindakan sensitif

T-EXEC-002: Injeksi Prompt Tidak Langsung

Atribut	Nilai
ID ATLAS	AML.T0051.001 - Injeksi Prompt LLM: Tidak Langsung
Deskripsi	Penyerang menyematkan instruksi berbahaya dalam konten yang diambil
Vektor Serangan	URL berbahaya, email yang diracuni, webhook yang disusupi
Komponen Terdampak	web_fetch, penyerapan email, sumber data eksternal
Mitigasi Saat Ini	Pembungkusan konten dengan tag XML dan pemberitahuan keamanan
Risiko Residual	Tinggi - LLM dapat mengabaikan instruksi pembungkus
Rekomendasi	Terapkan sanitasi konten, pisahkan konteks eksekusi

T-EXEC-003: Injeksi Argumen Tool

Atribut	Nilai
ID ATLAS	AML.T0051.000 - Injeksi Prompt LLM: Langsung
Deskripsi	Penyerang memanipulasi argumen tool melalui injeksi prompt
Vektor Serangan	Prompt yang dirancang untuk memengaruhi nilai parameter tool
Komponen Terdampak	Semua pemanggilan tool
Mitigasi Saat Ini	Persetujuan exec untuk perintah berbahaya
Risiko Residual	Tinggi - Bergantung pada penilaian pengguna
Rekomendasi	Terapkan validasi argumen, panggilan tool berparameter

T-EXEC-004: Bypass Persetujuan Exec

Atribut	Nilai
ID ATLAS	AML.T0043 - Membuat Data Adversarial
Deskripsi	Penyerang membuat perintah yang melewati daftar izin persetujuan
Vektor Serangan	Pengaburan perintah, eksploitasi alias, manipulasi path
Komponen Terdampak	exec-approvals.ts, daftar izin perintah
Mitigasi Saat Ini	Daftar izin + mode tanya
Risiko Residual	Tinggi - Tidak ada sanitasi perintah
Rekomendasi	Terapkan normalisasi perintah, perluas daftar blokir

3.4 Persistensi (AML.TA0006)

T-PERSIST-001: Instalasi Skill Berbahaya

Atribut	Nilai
ID ATLAS	AML.T0010.001 - Kompromi Rantai Pasok: Perangkat Lunak AI
Deskripsi	Penyerang menerbitkan skill berbahaya ke ClawHub
Vektor Serangan	Membuat akun, menerbitkan skill dengan kode berbahaya tersembunyi
Komponen Terdampak	ClawHub, pemuatan skill, eksekusi agen
Mitigasi Saat Ini	Verifikasi usia akun GitHub, flag moderasi berbasis pola
Risiko Residual	Kritis - Tidak ada sandboxing, tinjauan terbatas
Rekomendasi	Integrasi VirusTotal (sedang berlangsung), sandboxing skill, tinjauan komunitas

T-PERSIST-002: Peracunan Pembaruan Skill

Atribut	Nilai
ID ATLAS	AML.T0010.001 - Kompromi Rantai Pasok: Perangkat Lunak AI
Deskripsi	Penyerang menyusupi skill populer dan mendorong pembaruan berbahaya
Vektor Serangan	Kompromi akun, rekayasa sosial terhadap pemilik skill
Komponen Terdampak	Pembuatan versi ClawHub, alur pembaruan otomatis
Mitigasi Saat Ini	Fingerprinting versi
Risiko Residual	Tinggi - Pembaruan otomatis dapat menarik versi berbahaya
Rekomendasi	Terapkan penandatanganan pembaruan, kemampuan rollback, pinning versi

T-PERSIST-003: Perusakan Konfigurasi Agen

Atribut	Nilai
ID ATLAS	AML.T0010.002 - Kompromi Rantai Pasok: Data
Deskripsi	Penyerang memodifikasi konfigurasi agen untuk mempertahankan akses
Vektor Serangan	Modifikasi file konfigurasi, injeksi pengaturan
Komponen Terdampak	Konfigurasi agen, kebijakan tool
Mitigasi Saat Ini	Izin file
Risiko Residual	Sedang - Memerlukan akses lokal
Rekomendasi	Verifikasi integritas konfigurasi, logging audit untuk perubahan konfigurasi

3.5 Penghindaran Pertahanan (AML.TA0007)

T-EVADE-001: Bypass Pola Moderasi

Atribut	Nilai
ID ATLAS	AML.T0043 - Membuat Data Adversarial
Deskripsi	Penyerang membuat konten skill untuk menghindari pola moderasi
Vektor Serangan	Homoglif Unicode, trik encoding, pemuatan dinamis
Komponen Terdampak	moderation.ts ClawHub
Mitigasi Saat Ini	FLAG_RULES berbasis pola
Risiko Residual	Tinggi - Regex sederhana mudah dilewati
Rekomendasi	Tambahkan analisis perilaku (VirusTotal Code Insight), deteksi berbasis AST

T-EVADE-002: Escape Pembungkus Konten

Atribut	Nilai
ID ATLAS	AML.T0043 - Membuat Data Adversarial
Deskripsi	Penyerang membuat konten yang keluar dari konteks pembungkus XML
Vektor Serangan	Manipulasi tag, kebingungan konteks, penimpaan instruksi
Komponen Terdampak	Pembungkusan konten eksternal
Mitigasi Saat Ini	Tag XML + pemberitahuan keamanan
Risiko Residual	Sedang - Escape baru ditemukan secara rutin
Rekomendasi	Beberapa lapisan pembungkus, validasi sisi output

3.6 Penemuan (AML.TA0008)

T-DISC-001: Enumerasi Tool

Atribut	Nilai
ID ATLAS	AML.T0040 - Akses API Inferensi Model AI
Deskripsi	Penyerang menginventarisasi tool yang tersedia melalui prompting
Vektor Serangan	Kueri bergaya “Tool apa yang Anda miliki?”
Komponen Terdampak	Registri tool agen
Mitigasi Saat Ini	Tidak ada yang spesifik
Risiko Residual	Rendah - Tool umumnya terdokumentasi
Rekomendasi	Pertimbangkan kontrol visibilitas tool

T-DISC-002: Ekstraksi Data Sesi

Atribut	Nilai
ID ATLAS	AML.T0040 - Akses API Inferensi Model AI
Deskripsi	Penyerang mengekstrak data sensitif dari konteks sesi
Vektor Serangan	Kueri “Apa yang tadi kita bahas?”, probing konteks
Komponen Terdampak	Transkrip sesi, jendela konteks
Mitigasi Saat Ini	Isolasi sesi per pengirim
Risiko Residual	Sedang - Data dalam sesi dapat diakses
Rekomendasi	Implementasikan redaksi data sensitif dalam konteks

3.7 Pengumpulan & Eksfiltrasi (AML.TA0009, AML.TA0010)

T-EXFIL-001: Pencurian Data melalui web_fetch

Atribut	Nilai
ID ATLAS	AML.T0009 - Pengumpulan
Deskripsi	Penyerang mengeksfiltrasi data dengan menginstruksikan agen untuk mengirim ke URL eksternal
Vektor Serangan	Injeksi prompt yang menyebabkan agen melakukan POST data ke server penyerang
Komponen Terdampak	Tool web_fetch
Mitigasi Saat Ini	Pemblokiran SSRF untuk jaringan internal
Risiko Residual	Tinggi - URL eksternal diizinkan
Rekomendasi	Implementasikan daftar URL yang diizinkan, kesadaran klasifikasi data

T-EXFIL-002: Pengiriman Pesan Tidak Sah

Atribut	Nilai
ID ATLAS	AML.T0009 - Pengumpulan
Deskripsi	Penyerang menyebabkan agen mengirim pesan yang berisi data sensitif
Vektor Serangan	Injeksi prompt yang menyebabkan agen mengirim pesan kepada penyerang
Komponen Terdampak	Tool pesan, integrasi kanal
Mitigasi Saat Ini	Gating pesan keluar
Risiko Residual	Sedang - Gating mungkin dapat dilewati
Rekomendasi	Wajibkan konfirmasi eksplisit untuk penerima baru

T-EXFIL-003: Pemanenan Kredensial

Atribut	Nilai
ID ATLAS	AML.T0009 - Pengumpulan
Deskripsi	Skill berbahaya memanen kredensial dari konteks agen
Vektor Serangan	Kode skill membaca variabel lingkungan, file konfigurasi
Komponen Terdampak	Lingkungan eksekusi skill
Mitigasi Saat Ini	Tidak ada yang spesifik untuk skill
Risiko Residual	Kritis - Skills berjalan dengan hak istimewa agen
Rekomendasi	Sandboxing skill, isolasi kredensial

3.8 Dampak (AML.TA0011)

T-IMPACT-001: Eksekusi Perintah Tidak Sah

Atribut	Nilai
ID ATLAS	AML.T0031 - Mengikis Integritas Model AI
Deskripsi	Penyerang menjalankan perintah arbitrer pada sistem pengguna
Vektor Serangan	Injeksi prompt yang digabungkan dengan bypass persetujuan exec
Komponen Terdampak	Tool Bash, eksekusi perintah
Mitigasi Saat Ini	Persetujuan exec, opsi sandbox Docker
Risiko Residual	Kritis - Eksekusi host tanpa sandbox
Rekomendasi	Jadikan sandbox sebagai default, tingkatkan UX persetujuan

T-IMPACT-002: Kehabisan Sumber Daya (DoS)

Atribut	Nilai
ID ATLAS	AML.T0031 - Mengikis Integritas Model AI
Deskripsi	Penyerang menghabiskan kredit API atau sumber daya komputasi
Vektor Serangan	Banjir pesan otomatis, panggilan tool mahal
Komponen Terdampak	Gateway, sesi agen, penyedia API
Mitigasi Saat Ini	Tidak ada
Risiko Residual	Tinggi - Tidak ada pembatasan laju
Rekomendasi	Implementasikan batas laju per pengirim, anggaran biaya

T-IMPACT-003: Kerusakan Reputasi

Atribut	Nilai
ID ATLAS	AML.T0031 - Mengikis Integritas Model AI
Deskripsi	Penyerang menyebabkan agen mengirim konten berbahaya/menyinggung
Vektor Serangan	Injeksi prompt yang menyebabkan respons tidak pantas
Komponen Terdampak	Pembuatan output, pengiriman pesan kanal
Mitigasi Saat Ini	Kebijakan konten penyedia LLM
Risiko Residual	Sedang - Filter penyedia tidak sempurna
Rekomendasi	Lapisan pemfilteran output, kontrol pengguna

4. Analisis Rantai Pasok ClawHub

4.1 Kontrol Keamanan Saat Ini

Kontrol	Implementasi	Efektivitas
Usia Akun GitHub	`requireGitHubAccountAge()`	Sedang - Meningkatkan hambatan bagi penyerang baru
Sanitasi Path	`sanitizePath()`	Tinggi - Mencegah path traversal
Validasi Jenis File	`isTextFile()`	Sedang - Hanya file teks, tetapi masih dapat berbahaya
Batas Ukuran	Total bundel 50MB	Tinggi - Mencegah kehabisan sumber daya
SKILL.md Wajib	Readme wajib	Nilai keamanan rendah - Hanya informatif
Moderasi Pola	FLAG_RULES di moderation.ts	Rendah - Mudah dilewati
Status Moderasi	Field `moderationStatus`	Sedang - Peninjauan manual dimungkinkan

4.2 Pola Flag Moderasi

Pola saat ini di moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Keterbatasan:

Hanya memeriksa slug, displayName, ringkasan, frontmatter, metadata, path file
Tidak menganalisis konten kode skill yang sebenarnya
Regex sederhana mudah dilewati dengan obfuskasi
Tidak ada analisis perilaku

4.3 Perbaikan yang Direncanakan

Perbaikan	Status	Dampak
Integrasi VirusTotal	Sedang Berlangsung	Tinggi - Analisis perilaku Code Insight
Pelaporan Komunitas	Parsial (tabel `skillReports` ada)	Sedang
Logging Audit	Parsial (tabel `auditLogs` ada)	Sedang
Sistem Badge	Diimplementasikan	Sedang - `highlighted`, `official`, `deprecated`, `redactionApproved`

5. Matriks Risiko

5.1 Kemungkinan vs Dampak

ID Ancaman	Kemungkinan	Dampak	Tingkat Risiko	Prioritas
T-EXEC-001	Tinggi	Kritis	Kritis	P0
T-PERSIST-001	Tinggi	Kritis	Kritis	P0
T-EXFIL-003	Sedang	Kritis	Kritis	P0
T-IMPACT-001	Sedang	Kritis	Tinggi	P1
T-EXEC-002	Tinggi	Tinggi	Tinggi	P1
T-EXEC-004	Sedang	Tinggi	Tinggi	P1
T-ACCESS-003	Sedang	Tinggi	Tinggi	P1
T-EXFIL-001	Sedang	Tinggi	Tinggi	P1
T-IMPACT-002	Tinggi	Sedang	Tinggi	P1
T-EVADE-001	Tinggi	Sedang	Sedang	P2
T-ACCESS-001	Rendah	Tinggi	Sedang	P2
T-ACCESS-002	Rendah	Tinggi	Sedang	P2
T-PERSIST-002	Rendah	Tinggi	Sedang	P2

5.2 Rantai Serangan Jalur Kritis

Rantai Serangan 1: Pencurian Data Berbasis Skill

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Rantai Serangan 2: Injeksi Prompt ke RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Rantai Serangan 3: Injeksi Tidak Langsung melalui Konten yang Diambil

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Ringkasan Rekomendasi

6.1 Segera (P0)

ID	Rekomendasi	Menangani
R-001	Selesaikan integrasi VirusTotal	T-PERSIST-001, T-EVADE-001
R-002	Implementasikan sandboxing skill	T-PERSIST-001, T-EXFIL-003
R-003	Tambahkan validasi keluaran untuk tindakan sensitif	T-EXEC-001, T-EXEC-002

6.2 Jangka pendek (P1)

ID	Rekomendasi	Menangani
R-004	Implementasikan pembatasan laju	T-IMPACT-002
R-005	Tambahkan enkripsi token saat tersimpan	T-ACCESS-003
R-006	Tingkatkan UX dan validasi persetujuan exec	T-EXEC-004
R-007	Implementasikan daftar izin URL untuk web_fetch	T-EXFIL-001

6.3 Jangka menengah (P2)

ID	Rekomendasi	Menangani
R-008	Tambahkan verifikasi kanal kriptografis jika memungkinkan	T-ACCESS-002
R-009	Implementasikan verifikasi integritas config	T-PERSIST-003
R-010	Tambahkan penandatanganan pembaruan dan penguncian versi	T-PERSIST-002

7. Lampiran

7.1 Pemetaan Teknik ATLAS

ID ATLAS	Nama Teknik	Ancaman OpenClaw
AML.T0006	Pemindaian Aktif	T-RECON-001, T-RECON-002
AML.T0009	Pengumpulan	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	Rantai Pasok: Perangkat Lunak AI	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	Rantai Pasok: Data	T-PERSIST-003
AML.T0031	Erosi Integritas Model AI	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	Akses API Inferensi Model AI	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	Buat Data Adversarial	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	Injeksi Prompt LLM: Langsung	T-EXEC-001, T-EXEC-003
AML.T0051.001	Injeksi Prompt LLM: Tidak Langsung	T-EXEC-002

7.2 File Keamanan Utama

Jalur	Tujuan	Tingkat Risiko
`src/infra/exec-approvals.ts`	Logika persetujuan perintah	Kritis
`src/gateway/auth.ts`	Autentikasi Gateway	Kritis
`src/infra/net/ssrf.ts`	Perlindungan SSRF	Kritis
`src/security/external-content.ts`	Mitigasi injeksi prompt	Kritis
`src/agents/sandbox/tool-policy.ts`	Penegakan kebijakan alat	Kritis
`src/routing/resolve-route.ts`	Isolasi sesi	Sedang

7.3 Glosarium

Istilah	Definisi
ATLAS	Lanskap Ancaman Adversarial MITRE untuk Sistem AI
ClawHub	Marketplace skill OpenClaw
Gateway	Lapisan perutean pesan dan autentikasi OpenClaw
MCP	Model Context Protocol - antarmuka penyedia alat
Injeksi Prompt	Serangan ketika instruksi berbahaya disematkan dalam input
Skill	Ekstensi yang dapat diunduh untuk agen OpenClaw
SSRF	Pemalsuan Permintaan Sisi Server

Model ancaman ini adalah dokumen yang terus berkembang. Laporkan masalah keamanan ke security@openclaw.ai

Gateway

Remote access

Security

Nodes and media

Web interfaces

Documentation Index

​Kerangka kerja MITRE ATLAS

​Atribusi kerangka kerja

​Berkontribusi pada Model Ancaman Ini

​1. Pengantar

​1.1 Tujuan

​1.2 Cakupan

​1.3 Di Luar Cakupan

​2. Arsitektur Sistem

​2.1 Batas Kepercayaan

​2.2 Alur Data

​3. Analisis Ancaman berdasarkan Taktik ATLAS

​3.1 Pengintaian (AML.TA0002)

​T-RECON-001: Penemuan Endpoint Agen

​T-RECON-002: Probing Integrasi Kanal

​3.2 Akses Awal (AML.TA0004)

​T-ACCESS-001: Intersepsi Kode Pairing

​T-ACCESS-002: Pemalsuan AllowFrom

​T-ACCESS-003: Pencurian Token

​3.3 Eksekusi (AML.TA0005)

​T-EXEC-001: Injeksi Prompt Langsung

​T-EXEC-002: Injeksi Prompt Tidak Langsung

​T-EXEC-003: Injeksi Argumen Tool

​T-EXEC-004: Bypass Persetujuan Exec

​3.4 Persistensi (AML.TA0006)

​T-PERSIST-001: Instalasi Skill Berbahaya

​T-PERSIST-002: Peracunan Pembaruan Skill

​T-PERSIST-003: Perusakan Konfigurasi Agen

​3.5 Penghindaran Pertahanan (AML.TA0007)

​T-EVADE-001: Bypass Pola Moderasi

​T-EVADE-002: Escape Pembungkus Konten

​3.6 Penemuan (AML.TA0008)

​T-DISC-001: Enumerasi Tool

​T-DISC-002: Ekstraksi Data Sesi

​3.7 Pengumpulan & Eksfiltrasi (AML.TA0009, AML.TA0010)

​T-EXFIL-001: Pencurian Data melalui web_fetch

​T-EXFIL-002: Pengiriman Pesan Tidak Sah

​T-EXFIL-003: Pemanenan Kredensial

​3.8 Dampak (AML.TA0011)

​T-IMPACT-001: Eksekusi Perintah Tidak Sah

​T-IMPACT-002: Kehabisan Sumber Daya (DoS)

​T-IMPACT-003: Kerusakan Reputasi

​4. Analisis Rantai Pasok ClawHub

​4.1 Kontrol Keamanan Saat Ini

​4.2 Pola Flag Moderasi

​4.3 Perbaikan yang Direncanakan

​5. Matriks Risiko

​5.1 Kemungkinan vs Dampak

​5.2 Rantai Serangan Jalur Kritis

​6. Ringkasan Rekomendasi

​6.1 Segera (P0)

​6.2 Jangka pendek (P1)

​6.3 Jangka menengah (P2)

​7. Lampiran

​7.1 Pemetaan Teknik ATLAS

​7.2 File Keamanan Utama

​7.3 Glosarium

​Terkait