Vai al contenuto principale

Modello di minaccia di OpenClaw v1.0

Framework MITRE ATLAS

Versione: 1.0-draft Ultimo aggiornamento: 2026-02-04 Metodologia: MITRE ATLAS + diagrammi di flusso dei dati Framework: MITRE ATLAS (Panorama delle minacce avversarie per i sistemi di IA)

Attribuzione del framework

Questo modello di minaccia è basato su MITRE ATLAS, il framework standard del settore per documentare le minacce avversarie ai sistemi di IA/ML. ATLAS è mantenuto da MITRE in collaborazione con la comunità della sicurezza dell’IA. Risorse chiave di ATLAS:

Contribuire a questo modello di minaccia

Questo è un documento vivo mantenuto dalla comunità OpenClaw. Consulta CONTRIBUTING-THREAT-MODEL.md per le linee guida su come contribuire:
  • Segnalazione di nuove minacce
  • Aggiornamento di minacce esistenti
  • Proposta di catene di attacco
  • Suggerimento di mitigazioni

1. Introduzione

1.1 Scopo

Questo modello di minaccia documenta le minacce avversarie alla piattaforma di agenti IA OpenClaw e al marketplace di Skills ClawHub, utilizzando il framework MITRE ATLAS progettato specificamente per i sistemi di IA/ML.

1.2 Ambito

ComponenteInclusoNote
Runtime dell’agente OpenClawEsecuzione core dell’agente, chiamate agli strumenti, sessioni
GatewayAutenticazione, instradamento, integrazione dei canali
Integrazioni dei canaliWhatsApp, Telegram, Discord, Signal, Slack, ecc.
Marketplace ClawHubPubblicazione di Skills, moderazione, distribuzione
Server MCPProvider di strumenti esterni
Dispositivi utenteParzialeApp mobili, client desktop

1.3 Fuori ambito

Nulla è esplicitamente fuori ambito per questo modello di minaccia.

2. Architettura del sistema

2.1 Confini di fiducia

┌─────────────────────────────────────────────────────────────────┐
│                    ZONA NON AFFIDABILE                          │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│            CONFINE DI FIDUCIA 1: Accesso al canale              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Pairing del dispositivo (1 h DM / 5 min periodo di grazia del nodo) │   │
│  │  • Validazione AllowFrom / AllowList                     │   │
│  │  • Autenticazione con token/password/Tailscale          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│          CONFINE DI FIDUCIA 2: Isolamento della sessione        │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                 SESSIONI DELL'AGENTE                     │   │
│  │  • Chiave sessione = agent:channel:peer                 │   │
│  │  • Policy degli strumenti per agente                    │   │
│  │  • Registrazione delle trascrizioni                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│         CONFINE DI FIDUCIA 3: Esecuzione degli strumenti        │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                SANDBOX DI ESECUZIONE                     │   │
│  │  • Sandbox Docker O Host (exec-approvals)               │   │
│  │  • Esecuzione remota Node                                │   │
│  │  • Protezione SSRF (pinning DNS + blocco IP)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│        CONFINE DI FIDUCIA 4: Contenuti esterni                  │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │          URL / EMAIL / WEBHOOK RECUPERATI                │   │
│  │  • Wrapping dei contenuti esterni (tag XML)              │   │
│  │  • Inserimento di avvisi di sicurezza                    │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│          CONFINE DI FIDUCIA 5: Catena di fornitura              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Pubblicazione di Skills (semver, SKILL.md obbligatorio) │   │
│  │  • Flag di moderazione basati su pattern                │   │
│  │  • Scansione VirusTotal (in arrivo)                     │   │
│  │  • Verifica dell'età dell'account GitHub                │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Flussi di dati

FlussoOrigineDestinazioneDatiProtezione
F1CanaleGatewayMessaggi utenteTLS, AllowFrom
F2GatewayAgenteMessaggi instradatiIsolamento della sessione
F3AgenteStrumentiInvocazioni degli strumentiApplicazione delle policy
F4AgenteEsternorichieste web_fetchBlocco SSRF
F5ClawHubAgenteCodice delle SkillsModerazione, scansione
F6AgenteCanaleRisposteFiltraggio dell’output

3. Analisi delle minacce per tattica ATLAS

3.1 Ricognizione (AML.TA0002)

T-RECON-001: Individuazione degli endpoint dell’agente

AttributoValore
ID ATLASAML.T0006 - Scansione attiva
DescrizioneL’attaccante esegue una scansione per trovare endpoint gateway OpenClaw esposti
Vettore di attaccoScansione di rete, query shodan, enumerazione DNS
Componenti interessatiGateway, endpoint API esposti
Mitigazioni attualiOpzione di autenticazione Tailscale, bind su loopback per impostazione predefinita
Rischio residuoMedio - Gateway pubblici individuabili
RaccomandazioniDocumentare il deployment sicuro, aggiungere rate limiting sugli endpoint di individuazione

T-RECON-002: Sondaggio delle integrazioni dei canali

AttributoValore
ID ATLASAML.T0006 - Scansione attiva
DescrizioneL’attaccante sonda i canali di messaggistica per identificare account gestiti da IA
Vettore di attaccoInvio di messaggi di test, osservazione dei pattern di risposta
Componenti interessatiTutte le integrazioni dei canali
Mitigazioni attualiNessuna specifica
Rischio residuoBasso - Valore limitato dalla sola individuazione
RaccomandazioniValutare la randomizzazione dei tempi di risposta

3.2 Accesso iniziale (AML.TA0004)

T-ACCESS-001: Intercettazione del codice di pairing

AttributoValore
ID ATLASAML.T0040 - Accesso all’API di inferenza del modello IA
DescrizioneL’attaccante intercetta il codice di pairing durante il periodo di grazia del pairing (1 h per il pairing del canale DM, 5 min per il pairing del nodo)
Vettore di attaccoShoulder surfing, sniffing di rete, ingegneria sociale
Componenti interessatiSistema di pairing del dispositivo
Mitigazioni attualiScadenza di 1 h (pairing DM) / scadenza di 5 min (pairing nodo), codici inviati tramite canale esistente
Rischio residuoMedio - Periodo di grazia sfruttabile
RaccomandazioniRidurre il periodo di grazia, aggiungere una fase di conferma

T-ACCESS-002: Spoofing di AllowFrom

AttributoValore
ID ATLASAML.T0040 - Accesso all’API di inferenza del modello IA
DescrizioneL’attaccante falsifica l’identità del mittente consentito nel canale
Vettore di attaccoDipende dal canale - spoofing del numero di telefono, impersonificazione del nome utente
Componenti interessatiValidazione AllowFrom per canale
Mitigazioni attualiVerifica dell’identità specifica per canale
Rischio residuoMedio - Alcuni canali vulnerabili allo spoofing
RaccomandazioniDocumentare i rischi specifici per canale, aggiungere verifica crittografica dove possibile

T-ACCESS-003: Furto di token

AttributoValore
ID ATLASAML.T0040 - Accesso all’API di inferenza del modello IA
DescrizioneL’attaccante ruba token di autenticazione dai file di configurazione
Vettore di attaccoMalware, accesso non autorizzato al dispositivo, esposizione dei backup di configurazione
Componenti interessati~/.openclaw/credentials/, archiviazione della configurazione
Mitigazioni attualiPermessi dei file
Rischio residuoAlto - Token archiviati in chiaro
RaccomandazioniImplementare la cifratura dei token a riposo, aggiungere la rotazione dei token

3.3 Esecuzione (AML.TA0005)

T-EXEC-001: Prompt injection diretta

AttributoValore
ID ATLASAML.T0051.000 - LLM Prompt Injection: diretta
DescrizioneL’attaccante invia prompt predisposti per manipolare il comportamento dell’agente
Vettore di attaccoMessaggi del canale contenenti istruzioni avversarie
Componenti interessatiLLM dell’agente, tutte le superfici di input
Mitigazioni attualiRilevamento di pattern, wrapping dei contenuti esterni
Rischio residuoCritico - Solo rilevamento, nessun blocco; gli attacchi sofisticati aggirano le difese
RaccomandazioniImplementare una difesa multilivello, validazione dell’output, conferma dell’utente per azioni sensibili

T-EXEC-002: Prompt injection indiretta

AttributoValore
ID ATLASAML.T0051.001 - LLM Prompt Injection: indiretta
DescrizioneL’attaccante incorpora istruzioni malevole nei contenuti recuperati
Vettore di attaccoURL malevoli, email avvelenate, webhook compromessi
Componenti interessatiweb_fetch, ingestione email, fonti di dati esterne
Mitigazioni attualiWrapping del contenuto con tag XML e avviso di sicurezza
Rischio residuoAlto - L’LLM può ignorare le istruzioni del wrapper
RaccomandazioniImplementare la sanitizzazione dei contenuti, contesti di esecuzione separati

T-EXEC-003: Iniezione negli argomenti degli strumenti

AttributoValore
ID ATLASAML.T0051.000 - LLM Prompt Injection: diretta
DescrizioneL’attaccante manipola gli argomenti degli strumenti tramite prompt injection
Vettore di attaccoPrompt predisposti che influenzano i valori dei parametri degli strumenti
Componenti interessatiTutte le invocazioni degli strumenti
Mitigazioni attualiApprovazioni di esecuzione per comandi pericolosi
Rischio residuoAlto - Si basa sul giudizio dell’utente
RaccomandazioniImplementare la validazione degli argomenti, chiamate agli strumenti parametrizzate

T-EXEC-004: Bypass dell’approvazione di esecuzione

AttributoValore
ID ATLASAML.T0043 - Creazione di dati avversari
DescrizioneL’attaccante costruisce comandi che aggirano la allowlist di approvazione
Vettore di attaccoOffuscamento dei comandi, sfruttamento di alias, manipolazione dei percorsi
Componenti interessatiexec-approvals.ts, allowlist dei comandi
Mitigazioni attualiAllowlist + modalità ask
Rischio residuoAlto - Nessuna sanitizzazione dei comandi
RaccomandazioniImplementare la normalizzazione dei comandi, ampliare la blocklist

3.4 Persistenza (AML.TA0006)

T-PERSIST-001: Installazione di Skill malevole

AttributoValore
ID ATLASAML.T0010.001 - Compromissione della catena di fornitura: software IA
DescrizioneL’attaccante pubblica una Skill malevola su ClawHub
Vettore di attaccoCreare un account, pubblicare una Skill con codice malevolo nascosto
Componenti interessatiClawHub, caricamento delle Skills, esecuzione dell’agente
Mitigazioni attualiVerifica dell’età dell’account GitHub, flag di moderazione basati su pattern
Rischio residuoCritico - Nessun sandboxing, revisione limitata
RaccomandazioniIntegrazione VirusTotal (in corso), sandboxing delle Skills, revisione della comunità

T-PERSIST-002: Avvelenamento degli aggiornamenti delle Skill

AttributoValore
ID ATLASAML.T0010.001 - Compromissione della catena di fornitura: software IA
DescrizioneL’attaccante compromette una Skill popolare e distribuisce un aggiornamento malevolo
Vettore di attaccoCompromissione dell’account, ingegneria sociale del proprietario della Skill
Componenti interessatiVersionamento di ClawHub, flussi di aggiornamento automatico
Mitigazioni attualiFingerprinting della versione
Rischio residuoAlto - Gli aggiornamenti automatici possono recuperare versioni malevole
RaccomandazioniImplementare la firma degli aggiornamenti, capacità di rollback, pinning delle versioni

T-PERSIST-003: Manomissione della configurazione dell’agente

AttributoValore
ID ATLASAML.T0010.002 - Compromissione della catena di fornitura: dati
DescrizioneL’attaccante modifica la configurazione dell’agente per mantenere l’accesso
Vettore di attaccoModifica del file di configurazione, iniezione di impostazioni
Componenti interessatiConfigurazione dell’agente, policy degli strumenti
Mitigazioni attualiPermessi dei file
Rischio residuoMedio - Richiede accesso locale
RaccomandazioniVerifica dell’integrità della configurazione, audit logging per le modifiche di configurazione

3.5 Elusione delle difese (AML.TA0007)

T-EVADE-001: Aggiramento dei pattern di moderazione

AttributoValore
ID ATLASAML.T0043 - Creazione di dati avversari
DescrizioneL’attaccante crea contenuti delle Skill per eludere i pattern di moderazione
Vettore di attaccoOmoglifi Unicode, trucchi di codifica, caricamento dinamico
Componenti interessatiClawHub moderation.ts
Mitigazioni attualiFLAG_RULES basate su pattern
Rischio residuoAlto - Regex semplici facilmente aggirabili
RaccomandazioniAggiungere analisi comportamentale (VirusTotal Code Insight), rilevamento basato su AST

T-EVADE-002: Fuga dal wrapper del contenuto

AttributoValore
ID ATLASAML.T0043 - Creazione di dati avversari
DescrizioneL’attaccante crea contenuti che evadono il contesto del wrapper XML
Vettore di attaccoManipolazione dei tag, confusione del contesto, override delle istruzioni
Componenti interessatiWrapping dei contenuti esterni
Mitigazioni attualiTag XML + avviso di sicurezza
Rischio residuoMedio - Nuove tecniche di evasione vengono scoperte regolarmente
RaccomandazioniPiù livelli di wrapper, validazione lato output

3.6 Individuazione (AML.TA0008)

T-DISC-001: Enumerazione degli strumenti

AttributoValore
ID ATLASAML.T0040 - Accesso all’API di inferenza del modello IA
DescrizioneL’attaccante enumera gli strumenti disponibili tramite prompting
Vettore di attaccoQuery del tipo “Quali strumenti hai?”
Componenti interessatiRegistro degli strumenti dell’agente
Mitigazioni attualiNessuna specifica
Rischio residuoBasso - Gli strumenti sono generalmente documentati
RaccomandazioniValutare controlli di visibilità degli strumenti

T-DISC-002: Estrazione dei dati di sessione

AttributoValore
ID ATLASAML.T0040 - Accesso all’API di inferenza del modello IA
DescrizioneL’attaccante estrae dati sensibili dal contesto della sessione
Vettore di attaccoQuery del tipo “Di cosa abbiamo parlato?”, sondaggio del contesto
Componenti interessatiTrascrizioni di sessione, finestra di contesto
Mitigazioni attualiIsolamento della sessione per mittente
Rischio residuoMedio - Dati della sessione accessibili all’interno della sessione
RaccomandazioniImplementare la redazione dei dati sensibili nel contesto

3.7 Raccolta ed esfiltrazione (AML.TA0009, AML.TA0010)

T-EXFIL-001: Furto di dati tramite web_fetch

AttributoValore
ID ATLASAML.T0009 - Raccolta
DescrizioneL’attaccante esfiltra dati istruendo l’agente a inviarli a un URL esterno
Vettore di attaccoPrompt injection che induce l’agente a eseguire il POST dei dati verso un server dell’attaccante
Componenti interessatiStrumento web_fetch
Mitigazioni attualiBlocco SSRF per le reti interne
Rischio residuoAlto - URL esterni consentiti
RaccomandazioniImplementare allowlist di URL, consapevolezza della classificazione dei dati

T-EXFIL-002: Invio di messaggi non autorizzato

AttributoValore
ID ATLASAML.T0009 - Raccolta
DescrizioneL’attaccante induce l’agente a inviare messaggi contenenti dati sensibili
Vettore di attaccoPrompt injection che induce l’agente a inviare messaggi all’attaccante
Componenti interessatiStrumento di messaggistica, integrazioni dei canali
Mitigazioni attualiGating della messaggistica in uscita
Rischio residuoMedio - Il gating può essere aggirato
RaccomandazioniRichiedere conferma esplicita per nuovi destinatari

T-EXFIL-003: Raccolta di credenziali

AttributoValore
ID ATLASAML.T0009 - Raccolta
DescrizioneUna Skill malevola raccoglie credenziali dal contesto dell’agente
Vettore di attaccoIl codice della Skill legge variabili d’ambiente, file di configurazione
Componenti interessatiAmbiente di esecuzione della Skill
Mitigazioni attualiNessuna specifica per le Skills
Rischio residuoCritico - Le Skills vengono eseguite con i privilegi dell’agente
RaccomandazioniSandboxing delle Skills, isolamento delle credenziali

3.8 Impatto (AML.TA0011)

T-IMPACT-001: Esecuzione di comandi non autorizzata

AttributoValore
ID ATLASAML.T0031 - Erosione dell’integrità del modello IA
DescrizioneL’attaccante esegue comandi arbitrari sul sistema dell’utente
Vettore di attaccoPrompt injection combinata con bypass dell’approvazione di esecuzione
Componenti interessatiStrumento Bash, esecuzione dei comandi
Mitigazioni attualiApprovazioni di esecuzione, opzione sandbox Docker
Rischio residuoCritico - Esecuzione sull’host senza sandbox
RaccomandazioniImpostare il sandbox come predefinito, migliorare la UX di approvazione

T-IMPACT-002: Esaurimento delle risorse (DoS)

AttributoValore
ID ATLASAML.T0031 - Erosione dell’integrità del modello IA
DescrizioneL’attaccante esaurisce crediti API o risorse di calcolo
Vettore di attaccoFlooding automatizzato di messaggi, chiamate costose agli strumenti
Componenti interessatiGateway, sessioni dell’agente, provider API
Mitigazioni attualiNessuna
Rischio residuoAlto - Nessun rate limiting
RaccomandazioniImplementare limiti di frequenza per mittente, budget di costo

T-IMPACT-003: Danno reputazionale

AttributoValore
ID ATLASAML.T0031 - Erosione dell’integrità del modello IA
DescrizioneL’attaccante induce l’agente a inviare contenuti dannosi/offensivi
Vettore di attaccoPrompt injection che causa risposte inappropriate
Componenti interessatiGenerazione dell’output, messaggistica sui canali
Mitigazioni attualiPolicy sui contenuti del provider LLM
Rischio residuoMedio - I filtri del provider sono imperfetti
RaccomandazioniLivello di filtraggio dell’output, controlli utente

4. Analisi della catena di fornitura di ClawHub

4.1 Controlli di sicurezza attuali

ControlloImplementazioneEfficacia
Età dell’account GitHubrequireGitHubAccountAge()Media - Alza la soglia per i nuovi attaccanti
Sanitizzazione dei percorsisanitizePath()Alta - Previene l’attraversamento dei percorsi
Validazione del tipo di fileisTextFile()Media - Solo file di testo, ma possono comunque essere malevoli
Limiti di dimensione50 MB di bundle totaleAlta - Previene l’esaurimento delle risorse
SKILL.md obbligatorioReadme obbligatorioValore di sicurezza basso - Solo informativo
Moderazione basata su patternFLAG_RULES in moderation.tsBassa - Facilmente aggirabile
Stato di moderazionecampo moderationStatusMedia - Possibile revisione manuale

4.2 Pattern dei flag di moderazione

Pattern attuali in moderation.ts: 
// Identificatori noti come dannosi
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Parole chiave sospette
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
Limitazioni:
  • Controlla solo slug, displayName, summary, frontmatter, metadati, percorsi dei file
  • Non analizza il contenuto reale del codice della Skill
  • Regex semplici facilmente aggirabili con l’offuscamento
  • Nessuna analisi comportamentale

4.3 Miglioramenti pianificati

MiglioramentoStatoImpatto
Integrazione VirusTotalIn corsoAlto - Analisi comportamentale di Code Insight
Segnalazione della comunitàParziale (esiste la tabella skillReports)Medio
Audit loggingParziale (esiste la tabella auditLogs)Medio
Sistema di badgeImplementatoMedio - highlighted, official, deprecated, redactionApproved

5. Matrice del rischio

5.1 Probabilità vs impatto

ID minacciaProbabilitàImpattoLivello di rischioPriorità
T-EXEC-001AltaCriticoCriticoP0
T-PERSIST-001AltaCriticoCriticoP0
T-EXFIL-003MediaCriticoCriticoP0
T-IMPACT-001MediaCriticoAltoP1
T-EXEC-002AltaAltoAltoP1
T-EXEC-004MediaAltoAltoP1
T-ACCESS-003MediaAltoAltoP1
T-EXFIL-001MediaAltoAltoP1
T-IMPACT-002AltaMedioAltoP1
T-EVADE-001AltaMedioMedioP2
T-ACCESS-001BassaAltoMedioP2
T-ACCESS-002BassaAltoMedioP2
T-PERSIST-002BassaAltoMedioP2

5.2 Catene di attacco del percorso critico

Catena di attacco 1: Furto di dati basato su Skill 
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Pubblicare una Skill malevola) → (Eludere la moderazione) → (Raccogliere credenziali)
Catena di attacco 2: Prompt injection verso RCE 
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Iniettare un prompt) → (Aggirare l'approvazione di esecuzione) → (Eseguire comandi)
Catena di attacco 3: Iniezione indiretta tramite contenuti recuperati 
T-EXEC-002 → T-EXFIL-001 → Esfiltrazione esterna
(Avvelenare il contenuto dell'URL) → (L'agente recupera e segue le istruzioni) → (Dati inviati all'attaccante)

6. Riepilogo delle raccomandazioni

6.1 Immediate (P0)

IDRaccomandazioneAffronta
R-001Completare l’integrazione VirusTotalT-PERSIST-001, T-EVADE-001
R-002Implementare il sandboxing delle SkillsT-PERSIST-001, T-EXFIL-003
R-003Aggiungere la validazione dell’output per le azioni sensibiliT-EXEC-001, T-EXEC-002

6.2 Breve termine (P1)

IDRaccomandazioneAffronta
R-004Implementare il rate limitingT-IMPACT-002
R-005Aggiungere la cifratura dei token a riposoT-ACCESS-003
R-006Migliorare la UX di approvazione di esecuzione e la validazioneT-EXEC-004
R-007Implementare allowlist di URL per web_fetchT-EXFIL-001

6.3 Medio termine (P2)

IDRaccomandazioneAffronta
R-008Aggiungere la verifica crittografica dei canali dove possibileT-ACCESS-002
R-009Implementare la verifica dell’integrità della configurazioneT-PERSIST-003
R-010Aggiungere la firma degli aggiornamenti e il pinning delle versioniT-PERSIST-002

7. Appendici

7.1 Mappatura delle tecniche ATLAS

ID ATLASNome della tecnicaMinacce OpenClaw
AML.T0006Scansione attivaT-RECON-001, T-RECON-002
AML.T0009RaccoltaT-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001Catena di fornitura: software IAT-PERSIST-001, T-PERSIST-002
AML.T0010.002Catena di fornitura: datiT-PERSIST-003
AML.T0031Erosione dell’integrità del modello IAT-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040Accesso all’API di inferenza del modello IAT-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043Creazione di dati avversariT-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000LLM Prompt Injection: direttaT-EXEC-001, T-EXEC-003
AML.T0051.001LLM Prompt Injection: indirettaT-EXEC-002

7.2 File di sicurezza chiave

PercorsoScopoLivello di rischio
src/infra/exec-approvals.tsLogica di approvazione dei comandiCritico
src/gateway/auth.tsAutenticazione del GatewayCritico
src/infra/net/ssrf.tsProtezione SSRFCritico
src/security/external-content.tsMitigazione della prompt injectionCritico
src/agents/sandbox/tool-policy.tsApplicazione delle policy degli strumentiCritico
src/routing/resolve-route.tsIsolamento della sessioneMedio

7.3 Glossario

TermineDefinizione
ATLASPanorama delle minacce avversarie per i sistemi di IA di MITRE
ClawHubMarketplace di Skills di OpenClaw
GatewayLivello di instradamento dei messaggi e autenticazione di OpenClaw
MCPModel Context Protocol - interfaccia del provider di strumenti
Prompt InjectionAttacco in cui istruzioni malevole sono incorporate nell’input
SkillEstensione scaricabile per agenti OpenClaw
SSRFServer-Side Request Forgery
Questo modello di minaccia è un documento vivo. Segnala i problemi di sicurezza a security@openclaw.ai