Modello di minaccia (MITRE ATLAS)

framework MITRE ATLAS

Versione: 1.0-draft Ultimo aggiornamento: 2026-02-04 Metodologia: MITRE ATLAS + diagrammi di flusso dei dati Framework: MITRE ATLAS (panorama delle minacce avversarie per sistemi di IA)

Attribuzione del framework

Questo modello di minaccia è basato su MITRE ATLAS, il framework standard del settore per documentare le minacce avversarie ai sistemi di IA/ML. ATLAS è mantenuto da MITRE in collaborazione con la comunità della sicurezza IA. Risorse ATLAS principali:

Contribuire a questo modello di minaccia

Questo è un documento in evoluzione mantenuto dalla comunità OpenClaw. Consulta CONTRIBUTING-THREAT-MODEL.md per le linee guida su come contribuire:

Segnalare nuove minacce
Aggiornare minacce esistenti
Proporre catene di attacco
Suggerire mitigazioni

1. Introduzione

1.1 Scopo

Questo modello di minaccia documenta le minacce avversarie alla piattaforma di agenti IA OpenClaw e al marketplace di skill ClawHub, usando il framework MITRE ATLAS progettato specificamente per sistemi di IA/ML.

1.2 Ambito

Componente	Incluso	Note
Runtime agente OpenClaw	Sì	Esecuzione principale dell’agente, chiamate agli strumenti, sessioni
Gateway	Sì	Autenticazione, instradamento, integrazione dei canali
Integrazioni dei canali	Sì	WhatsApp, Telegram, Discord, Signal, Slack, ecc.
Marketplace ClawHub	Sì	Pubblicazione delle skill, moderazione, distribuzione
Server MCP	Sì	Provider di strumenti esterni
Dispositivi utente	Parziale	App mobili, client desktop

1.3 Fuori ambito

Nulla è esplicitamente fuori ambito per questo modello di minaccia.

2. Architettura del sistema

2.1 Confini di fiducia

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Flussi di dati

Flusso	Origine	Destinazione	Dati	Protezione
F1	Canale	Gateway	Messaggi utente	TLS, AllowFrom
F2	Gateway	Agente	Messaggi instradati	Isolamento della sessione
F3	Agente	Strumenti	Invocazioni degli strumenti	Applicazione delle policy
F4	Agente	Esterno	richieste web_fetch	Blocco SSRF
F5	ClawHub	Agente	Codice della skill	Moderazione, scansione
F6	Agente	Canale	Risposte	Filtraggio dell’output

3. Analisi delle minacce per tattica ATLAS

3.1 Ricognizione (AML.TA0002)

T-RECON-001: Individuazione degli endpoint dell’agente

Attributo	Valore
ID ATLAS	AML.T0006 - Scansione attiva
Descrizione	L’autore dell’attacco esegue scansioni alla ricerca di endpoint gateway OpenClaw esposti
Vettore di attacco	Scansione di rete, query Shodan, enumerazione DNS
Componenti interessati	Gateway, endpoint API esposti
Mitigazioni attuali	Opzione di autenticazione Tailscale, associazione a loopback per impostazione predefinita
Rischio residuo	Medio - Gateway pubblici individuabili
Raccomandazioni	Documentare la distribuzione sicura, aggiungere limitazione della frequenza sugli endpoint di individuazione

T-RECON-002: Sondaggio dell’integrazione dei canali

Attributo	Valore
ID ATLAS	AML.T0006 - Scansione attiva
Descrizione	L’attaccante sonda i canali di messaggistica per identificare account gestiti dall’IA
Vettore di attacco	Invio di messaggi di test, osservazione degli schemi di risposta
Componenti interessati	Tutte le integrazioni dei canali
Mitigazioni attuali	Nessuna specifica
Rischio residuo	Basso - Valore limitato dalla sola scoperta
Raccomandazioni	Considerare la randomizzazione dei tempi di risposta

3.2 Accesso iniziale (AML.TA0004)

T-ACCESS-001: Intercettazione del codice di abbinamento

Attributo	Valore
ID ATLAS	AML.T0040 - Accesso all’API di inferenza del modello IA
Descrizione	L’attaccante intercetta il codice di abbinamento durante il periodo di tolleranza per l’abbinamento (1 h per l’abbinamento del canale DM, 5 min per l’abbinamento del Node)
Vettore di attacco	Shoulder surfing, sniffing di rete, ingegneria sociale
Componenti interessati	Sistema di abbinamento dei dispositivi
Mitigazioni attuali	Scadenza di 1 h (abbinamento DM) / scadenza di 5 min (abbinamento Node), codici inviati tramite il canale esistente
Rischio residuo	Medio - Periodo di tolleranza sfruttabile
Raccomandazioni	Ridurre il periodo di tolleranza, aggiungere un passaggio di conferma

T-ACCESS-002: Spoofing di AllowFrom

Attributo	Valore
ID ATLAS	AML.T0040 - Accesso all’API di inferenza del modello IA
Descrizione	L’attaccante falsifica l’identità del mittente consentito nel canale
Vettore di attacco	Dipende dal canale - spoofing del numero di telefono, impersonificazione del nome utente
Componenti interessati	Validazione AllowFrom per canale
Mitigazioni attuali	Verifica dell’identità specifica del canale
Rischio residuo	Medio - Alcuni canali sono vulnerabili allo spoofing
Raccomandazioni	Documentare i rischi specifici dei canali, aggiungere verifica crittografica dove possibile

T-ACCESS-003: Furto di token

Attributo	Valore
ID ATLAS	AML.T0040 - Accesso all’API di inferenza del modello IA
Descrizione	L’attaccante ruba token di autenticazione dai file di configurazione
Vettore di attacco	Malware, accesso non autorizzato al dispositivo, esposizione dei backup di configurazione
Componenti interessati	~/.openclaw/credentials/, archiviazione della configurazione
Mitigazioni attuali	Permessi dei file
Rischio residuo	Alto - Token archiviati in testo normale
Raccomandazioni	Implementare la crittografia dei token a riposo, aggiungere la rotazione dei token

3.3 Esecuzione (AML.TA0005)

T-EXEC-001: Iniezione diretta di prompt

Attributo	Valore
ID ATLAS	AML.T0051.000 - Iniezione di prompt LLM: diretta
Descrizione	L’attaccante invia prompt creati ad hoc per manipolare il comportamento dell’agente
Vettore di attacco	Messaggi di canale contenenti istruzioni avversarie
Componenti interessati	LLM dell’agente, tutte le superfici di input
Mitigazioni attuali	Rilevamento di pattern, incapsulamento del contenuto esterno
Rischio residuo	Critico - Solo rilevamento, nessun blocco; gli attacchi sofisticati lo aggirano
Raccomandazioni	Implementare difesa multilivello, validazione dell’output, conferma dell’utente per azioni sensibili

T-EXEC-002: Iniezione indiretta di prompt

Attributo	Valore
ID ATLAS	AML.T0051.001 - Iniezione di prompt LLM: indiretta
Descrizione	L’attaccante incorpora istruzioni malevole nel contenuto recuperato
Vettore di attacco	URL malevoli, email avvelenate, Webhook compromessi
Componenti interessati	web_fetch, acquisizione email, fonti di dati esterne
Mitigazioni attuali	Incapsulamento del contenuto con tag XML e avviso di sicurezza
Rischio residuo	Alto - L’LLM potrebbe ignorare le istruzioni dell’incapsulamento
Raccomandazioni	Implementare la sanificazione del contenuto, separare i contesti di esecuzione

T-EXEC-003: Iniezione di argomenti degli strumenti

Attributo	Valore
ID ATLAS	AML.T0051.000 - Iniezione di prompt LLM: diretta
Descrizione	L’attaccante manipola gli argomenti degli strumenti tramite iniezione di prompt
Vettore di attacco	Prompt creati ad hoc che influenzano i valori dei parametri degli strumenti
Componenti interessati	Tutte le invocazioni degli strumenti
Mitigazioni attuali	Approvazioni exec per comandi pericolosi
Rischio residuo	Alto - Dipende dal giudizio dell’utente
Raccomandazioni	Implementare la validazione degli argomenti, chiamate agli strumenti parametrizzate

T-EXEC-004: Bypass dell’approvazione exec

Attributo	Valore
ID ATLAS	AML.T0043 - Creazione di dati avversari
Descrizione	L’attaccante crea comandi che aggirano l’elenco consentito per le approvazioni
Vettore di attacco	Offuscamento dei comandi, sfruttamento di alias, manipolazione dei percorsi
Componenti interessati	exec-approvals.ts, elenco consentito dei comandi
Mitigazioni attuali	Elenco consentito + modalità di richiesta
Rischio residuo	Alto - Nessuna sanificazione dei comandi
Raccomandazioni	Implementare la normalizzazione dei comandi, espandere la blocklist

3.4 Persistenza (AML.TA0006)

T-PERSIST-001: Installazione di Skill malevola

Attributo	Valore
ID ATLAS	AML.T0010.001 - Compromissione della supply chain: software IA
Descrizione	L’attaccante pubblica una Skill malevola su ClawHub
Vettore di attacco	Creare un account, pubblicare una Skill con codice malevolo nascosto
Componenti interessati	ClawHub, caricamento delle Skill, esecuzione dell’agente
Mitigazioni attuali	Verifica dell’età dell’account GitHub, flag di moderazione basati su pattern
Rischio residuo	Critico - Nessun sandboxing, revisione limitata
Raccomandazioni	Integrazione VirusTotal (in corso), sandboxing delle Skill, revisione della community

T-PERSIST-002: Avvelenamento dell’aggiornamento della Skill

Attributo	Valore
ID ATLAS	AML.T0010.001 - Compromissione della supply chain: software IA
Descrizione	L’attaccante compromette una Skill popolare e invia un aggiornamento malevolo
Vettore di attacco	Compromissione dell’account, ingegneria sociale del proprietario della Skill
Componenti interessati	Versioning di ClawHub, flussi di aggiornamento automatico
Mitigazioni attuali	Fingerprinting della versione
Rischio residuo	Alto - Gli aggiornamenti automatici possono recuperare versioni malevole
Raccomandazioni	Implementare la firma degli aggiornamenti, capacità di rollback, pinning delle versioni

T-PERSIST-003: Manomissione della configurazione dell’agente

Attributo	Valore
ID ATLAS	AML.T0010.002 - Compromissione della supply chain: dati
Descrizione	L’attaccante modifica la configurazione dell’agente per mantenere l’accesso
Vettore di attacco	Modifica dei file di configurazione, iniezione di impostazioni
Componenti interessati	Configurazione dell’agente, policy degli strumenti
Mitigazioni attuali	Permessi dei file
Rischio residuo	Medio - Richiede accesso locale
Raccomandazioni	Verifica dell’integrità della configurazione, logging di audit per modifiche alla configurazione

3.5 Evasione della difesa (AML.TA0007)

T-EVADE-001: Bypass dei pattern di moderazione

Attributo	Valore
ID ATLAS	AML.T0043 - Creazione di dati avversari
Descrizione	L’attaccante crea contenuto della Skill per eludere i pattern di moderazione
Vettore di attacco	Omoglifi Unicode, trucchi di codifica, caricamento dinamico
Componenti interessati	moderation.ts di ClawHub
Mitigazioni attuali	FLAG_RULES basate su pattern
Rischio residuo	Alto - Regex semplici facilmente aggirabili
Raccomandazioni	Aggiungere analisi comportamentale (VirusTotal Code Insight), rilevamento basato su AST

T-EVADE-002: Escape dall’incapsulamento del contenuto

Attributo	Valore
ID ATLAS	AML.T0043 - Creazione di dati avversari
Descrizione	L’attaccante crea contenuti che escono dal contesto del wrapper XML
Vettore di attacco	Manipolazione dei tag, confusione del contesto, sovrascrittura delle istruzioni
Componenti interessati	Wrapping del contenuto esterno
Mitigazioni attuali	Tag XML + avviso di sicurezza
Rischio residuo	Medio - Nuove evasioni vengono scoperte regolarmente
Raccomandazioni	Più livelli di wrapper, validazione lato output

3.6 Discovery (AML.TA0008)

T-DISC-001: Enumerazione degli strumenti

Attributo	Valore
ID ATLAS	AML.T0040 - Accesso all’API di inferenza del modello AI
Descrizione	L’attaccante enumera gli strumenti disponibili tramite prompt
Vettore di attacco	Query in stile “Quali strumenti hai?”
Componenti interessati	Registro degli strumenti dell’agente
Mitigazioni attuali	Nessuna specifica
Rischio residuo	Basso - Gli strumenti sono generalmente documentati
Raccomandazioni	Considerare controlli sulla visibilità degli strumenti

T-DISC-002: Estrazione dei dati di sessione

Attributo	Valore
ID ATLAS	AML.T0040 - Accesso all’API di inferenza del modello AI
Descrizione	L’attaccante estrae dati sensibili dal contesto della sessione
Vettore di attacco	Query “Di cosa abbiamo discusso?”, sondaggio del contesto
Componenti interessati	Trascrizioni di sessione, finestra di contesto
Mitigazioni attuali	Isolamento della sessione per mittente
Rischio residuo	Medio - I dati all’interno della sessione sono accessibili
Raccomandazioni	Implementare la redazione dei dati sensibili nel contesto

3.7 Raccolta ed esfiltrazione (AML.TA0009, AML.TA0010)

T-EXFIL-001: Furto di dati tramite web_fetch

Attributo	Valore
ID ATLAS	AML.T0009 - Raccolta
Descrizione	L’attaccante esfiltra dati istruendo l’agente a inviarli a un URL esterno
Vettore di attacco	Prompt injection che induce l’agente a inviare dati con POST al server dell’attaccante
Componenti interessati	Strumento web_fetch
Mitigazioni attuali	Blocco SSRF per reti interne
Rischio residuo	Alto - Gli URL esterni sono consentiti
Raccomandazioni	Implementare allowlist degli URL e consapevolezza della classificazione dei dati

T-EXFIL-002: Invio non autorizzato di messaggi

Attributo	Valore
ID ATLAS	AML.T0009 - Raccolta
Descrizione	L’attaccante induce l’agente a inviare messaggi contenenti dati sensibili
Vettore di attacco	Prompt injection che induce l’agente a inviare un messaggio all’attaccante
Componenti interessati	Strumento di messaggistica, integrazioni dei canali
Mitigazioni attuali	Controllo dell’invio di messaggi in uscita
Rischio residuo	Medio - Il controllo può essere aggirato
Raccomandazioni	Richiedere conferma esplicita per nuovi destinatari

T-EXFIL-003: Raccolta di credenziali

Attributo	Valore
ID ATLAS	AML.T0009 - Raccolta
Descrizione	Una skill malevola raccoglie credenziali dal contesto dell’agente
Vettore di attacco	Il codice della skill legge variabili d’ambiente e file di configurazione
Componenti interessati	Ambiente di esecuzione delle skill
Mitigazioni attuali	Nessuna specifica per le skill
Rischio residuo	Critico - Le skill vengono eseguite con i privilegi dell’agente
Raccomandazioni	Sandboxing delle skill, isolamento delle credenziali

3.8 Impatto (AML.TA0011)

T-IMPACT-001: Esecuzione non autorizzata di comandi

Attributo	Valore
ID ATLAS	AML.T0031 - Erosione dell’integrità del modello AI
Descrizione	L’attaccante esegue comandi arbitrari sul sistema dell’utente
Vettore di attacco	Prompt injection combinata con bypass dell’approvazione exec
Componenti interessati	Strumento Bash, esecuzione di comandi
Mitigazioni attuali	Approvazioni exec, opzione sandbox Docker
Rischio residuo	Critico - Esecuzione sull’host senza sandbox
Raccomandazioni	Usare la sandbox come impostazione predefinita, migliorare la UX di approvazione

T-IMPACT-002: Esaurimento delle risorse (DoS)

Attributo	Valore
ID ATLAS	AML.T0031 - Erosione dell’integrità del modello AI
Descrizione	L’attaccante esaurisce crediti API o risorse di calcolo
Vettore di attacco	Flooding automatizzato di messaggi, chiamate a strumenti costose
Componenti interessati	Gateway, sessioni agente, provider API
Mitigazioni attuali	Nessuna
Rischio residuo	Alto - Nessun rate limiting
Raccomandazioni	Implementare limiti di frequenza per mittente e budget di costo

T-IMPACT-003: Danno reputazionale

Attributo	Valore
ID ATLAS	AML.T0031 - Erosione dell’integrità del modello AI
Descrizione	L’attaccante induce l’agente a inviare contenuti dannosi/offensivi
Vettore di attacco	Prompt injection che provoca risposte inappropriate
Componenti interessati	Generazione dell’output, messaggistica del canale
Mitigazioni attuali	Policy sui contenuti del provider LLM
Rischio residuo	Medio - I filtri del provider sono imperfetti
Raccomandazioni	Livello di filtraggio dell’output, controlli utente

4. Analisi della supply chain di ClawHub

4.1 Controlli di sicurezza attuali

Controllo	Implementazione	Efficacia
Età dell’account GitHub	`requireGitHubAccountAge()`	Media - Alza la barriera per i nuovi attaccanti
Sanitizzazione dei percorsi	`sanitizePath()`	Alta - Previene il path traversal
Validazione del tipo di file	`isTextFile()`	Media - Solo file di testo, ma possono comunque essere malevoli
Limiti di dimensione	Bundle totale di 50 MB	Alta - Previene l’esaurimento delle risorse
SKILL.md richiesto	Readme obbligatorio	Basso valore di sicurezza - Solo informativo
Moderazione dei pattern	FLAG_RULES in moderation.ts	Bassa - Facilmente aggirabile
Stato della moderazione	Campo `moderationStatus`	Media - Revisione manuale possibile

4.2 Pattern dei flag di moderazione

Pattern attuali in moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Limitazioni:

Controlla solo slug, displayName, riepilogo, frontmatter, metadati e percorsi dei file
Non analizza il contenuto effettivo del codice della skill
Le regex semplici sono facilmente aggirabili con offuscamento
Nessuna analisi comportamentale

4.3 Miglioramenti pianificati

Miglioramento	Stato	Impatto
Integrazione VirusTotal	In corso	Alto - Analisi comportamentale di Code Insight
Segnalazioni della community	Parziale (la tabella `skillReports` esiste)	Medio
Logging di audit	Parziale (la tabella `auditLogs` esiste)	Medio
Sistema di badge	Implementato	Medio - `highlighted`, `official`, `deprecated`, `redactionApproved`

5. Matrice del rischio

5.1 Probabilità vs impatto

ID minaccia	Probabilità	Impatto	Livello di rischio	Priorità
T-EXEC-001	Alta	Critico	Critico	P0
T-PERSIST-001	Alta	Critico	Critico	P0
T-EXFIL-003	Media	Critico	Critico	P0
T-IMPACT-001	Media	Critico	Alto	P1
T-EXEC-002	Alta	Alto	Alto	P1
T-EXEC-004	Media	Alto	Alto	P1
T-ACCESS-003	Media	Alto	Alto	P1
T-EXFIL-001	Media	Alto	Alto	P1
T-IMPACT-002	Alta	Medio	Alto	P1
T-EVADE-001	Alta	Medio	Medio	P2
T-ACCESS-001	Bassa	Alto	Medio	P2
T-ACCESS-002	Bassa	Alto	Medio	P2
T-PERSIST-002	Bassa	Alto	Medio	P2

5.2 Catene di attacco critiche

Catena di attacco 1: furto di dati basato su skill

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Pubblica una skill malevola) → (Elude la moderazione) → (Raccoglie credenziali)

Catena di attacco 2: prompt injection verso RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inietta prompt) → (Aggira l'approvazione exec) → (Esegue comandi)

Catena di attacco 3: iniezione indiretta tramite contenuto recuperato

T-EXEC-002 → T-EXFIL-001 → Esfiltrazione esterna
(Avvelena il contenuto dell'URL) → (L'agente recupera e segue le istruzioni) → (Dati inviati all'attaccante)

6. Riepilogo delle raccomandazioni

6.1 Immediate (P0)

ID	Raccomandazione	Affronta
R-001	Completare l’integrazione con VirusTotal	T-PERSIST-001, T-EVADE-001
R-002	Implementare il sandboxing delle Skill	T-PERSIST-001, T-EXFIL-003
R-003	Aggiungere la validazione dell’output per le azioni sensibili	T-EXEC-001, T-EXEC-002

6.2 Breve termine (P1)

ID	Raccomandazione	Affronta
R-004	Implementare il rate limiting	T-IMPACT-002
R-005	Aggiungere la crittografia dei token a riposo	T-ACCESS-003
R-006	Migliorare la UX e la validazione dell’approvazione di exec	T-EXEC-004
R-007	Implementare l’elenco di URL consentiti per web_fetch	T-EXFIL-001

6.3 Medio termine (P2)

ID	Raccomandazione	Affronta
R-008	Aggiungere la verifica crittografica dei canali ove possibile	T-ACCESS-002
R-009	Implementare la verifica dell’integrità della configurazione	T-PERSIST-003
R-010	Aggiungere la firma degli aggiornamenti e il blocco della versione	T-PERSIST-002

7. Appendici

7.1 Mappatura delle tecniche ATLAS

ID ATLAS	Nome della tecnica	Minacce OpenClaw
AML.T0006	Scansione attiva	T-RECON-001, T-RECON-002
AML.T0009	Raccolta	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	Catena di fornitura: software IA	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	Catena di fornitura: dati	T-PERSIST-003
AML.T0031	Erosione dell’integrità del modello IA	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	Accesso all’API di inferenza del modello IA	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	Creazione di dati avversariali	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	Prompt Injection LLM: diretta	T-EXEC-001, T-EXEC-003
AML.T0051.001	Prompt Injection LLM: indiretta	T-EXEC-002

7.2 File di sicurezza chiave

Percorso	Scopo	Livello di rischio
`src/infra/exec-approvals.ts`	Logica di approvazione dei comandi	Critico
`src/gateway/auth.ts`	Autenticazione del Gateway	Critico
`src/infra/net/ssrf.ts`	Protezione SSRF	Critico
`src/security/external-content.ts`	Mitigazione della Prompt Injection	Critico
`src/agents/sandbox/tool-policy.ts`	Applicazione della policy degli strumenti	Critico
`src/routing/resolve-route.ts`	Isolamento della sessione	Medio

7.3 Glossario

Termine	Definizione
ATLAS	Adversarial Threat Landscape for AI Systems di MITRE
ClawHub	Marketplace di Skill di OpenClaw
Gateway	Livello di instradamento dei messaggi e autenticazione di OpenClaw
MCP	Model Context Protocol - interfaccia per provider di strumenti
Prompt Injection	Attacco in cui istruzioni dannose vengono incorporate nell’input
Skill	Estensione scaricabile per gli agenti OpenClaw
SSRF	Server-Side Request Forgery

Questo modello delle minacce è un documento vivo. Segnala i problemi di sicurezza a security@openclaw.ai

Gateway

Remote access

Security

Nodes and media

Web interfaces

Documentation Index

​framework MITRE ATLAS

​Attribuzione del framework

​Contribuire a questo modello di minaccia

​1. Introduzione

​1.1 Scopo

​1.2 Ambito

​1.3 Fuori ambito

​2. Architettura del sistema

​2.1 Confini di fiducia

​2.2 Flussi di dati

​3. Analisi delle minacce per tattica ATLAS

​3.1 Ricognizione (AML.TA0002)

​T-RECON-001: Individuazione degli endpoint dell’agente

​T-RECON-002: Sondaggio dell’integrazione dei canali

​3.2 Accesso iniziale (AML.TA0004)

​T-ACCESS-001: Intercettazione del codice di abbinamento

​T-ACCESS-002: Spoofing di AllowFrom

​T-ACCESS-003: Furto di token

​3.3 Esecuzione (AML.TA0005)

​T-EXEC-001: Iniezione diretta di prompt

​T-EXEC-002: Iniezione indiretta di prompt

​T-EXEC-003: Iniezione di argomenti degli strumenti

​T-EXEC-004: Bypass dell’approvazione exec

​3.4 Persistenza (AML.TA0006)

​T-PERSIST-001: Installazione di Skill malevola

​T-PERSIST-002: Avvelenamento dell’aggiornamento della Skill

​T-PERSIST-003: Manomissione della configurazione dell’agente

​3.5 Evasione della difesa (AML.TA0007)

​T-EVADE-001: Bypass dei pattern di moderazione

​T-EVADE-002: Escape dall’incapsulamento del contenuto

​3.6 Discovery (AML.TA0008)

​T-DISC-001: Enumerazione degli strumenti

​T-DISC-002: Estrazione dei dati di sessione

​3.7 Raccolta ed esfiltrazione (AML.TA0009, AML.TA0010)

​T-EXFIL-001: Furto di dati tramite web_fetch

​T-EXFIL-002: Invio non autorizzato di messaggi

​T-EXFIL-003: Raccolta di credenziali

​3.8 Impatto (AML.TA0011)

​T-IMPACT-001: Esecuzione non autorizzata di comandi

​T-IMPACT-002: Esaurimento delle risorse (DoS)

​T-IMPACT-003: Danno reputazionale

​4. Analisi della supply chain di ClawHub

​4.1 Controlli di sicurezza attuali

​4.2 Pattern dei flag di moderazione

​4.3 Miglioramenti pianificati

​5. Matrice del rischio

​5.1 Probabilità vs impatto

​5.2 Catene di attacco critiche

​6. Riepilogo delle raccomandazioni

​6.1 Immediate (P0)

​6.2 Breve termine (P1)

​6.3 Medio termine (P2)

​7. Appendici

​7.1 Mappatura delle tecniche ATLAS

​7.2 File di sicurezza chiave

​7.3 Glossario

​Correlati