メインコンテンツへスキップ

OpenClaw 脅威モデル v1.0

MITRE ATLASフレームワーク

バージョン: 1.0-draft 最終更新日: 2026-02-04 方法論: MITRE ATLAS + データフロー図 フレームワーク: MITRE ATLAS(AIシステム向け敵対的脅威ランドスケープ)

フレームワークの帰属

この脅威モデルは、AI/MLシステムに対する敵対的脅威を文書化する業界標準フレームワークである MITRE ATLAS に基づいています。ATLAS は、AIセキュリティコミュニティと連携しながら MITRE によって維持されています。 主なATLASリソース:

この脅威モデルへの貢献

これは OpenClaw コミュニティによって維持される生きた文書です。貢献ガイドラインについては CONTRIBUTING-THREAT-MODEL.md を参照してください。
  • 新しい脅威の報告
  • 既存の脅威の更新
  • 攻撃チェーンの提案
  • 緩和策の提案

1. はじめに

1.1 目的

この脅威モデルは、AI/MLシステム向けに特化して設計された MITRE ATLAS フレームワークを使用して、OpenClaw AIエージェントプラットフォームおよび ClawHub Skills マーケットプレイスに対する敵対的脅威を文書化します。

1.2 対象範囲

コンポーネント含む注記
OpenClaw Agent Runtimeはいコアのエージェント実行、ツール呼び出し、セッション
Gatewayはい認証、ルーティング、チャネル統合
チャネル統合はいWhatsApp、Telegram、Discord、Signal、Slack など
ClawHub MarketplaceはいSkills の公開、モデレーション、配布
MCP Serversはい外部ツールプロバイダー
ユーザーデバイス一部モバイルアプリ、デスクトップクライアント

1.3 対象外

この脅威モデルでは、明示的に対象外とされるものはありません。

2. システムアーキテクチャ

2.1 信頼境界

┌─────────────────────────────────────────────────────────────────┐
│                    非信頼ゾーン                                  │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 信頼境界 1: チャネルアクセス                     │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • デバイスペアリング(DMは1時間 / ノードは5分の猶予期間)   │   │
│  │  • AllowFrom / AllowList の検証                           │   │
│  │  • Token/Password/Tailscale 認証                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信頼境界 2: セッション分離                       │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • セッションキー = agent:channel:peer                   │   │
│  │  • エージェントごとのツールポリシー                       │   │
│  │  • トランスクリプトのログ                                 │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信頼境界 3: ツール実行                           │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox または Host(exec-approvals)          │   │
│  │  • Node リモート実行                                      │   │
│  │  • SSRF 保護(DNS pinning + IP blocking)                │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信頼境界 4: 外部コンテンツ                       │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              取得した URL / メール / WEBHOOKS             │   │
│  │  • 外部コンテンツのラップ(XMLタグ)                      │   │
│  │  • セキュリティ通知の注入                                 │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信頼境界 5: サプライチェーン                     │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skills の公開(semver、SKILL.md 必須)                │   │
│  │  • パターンベースのモデレーションフラグ                   │   │
│  │  • VirusTotal スキャン(近日対応予定)                    │   │
│  │  • GitHub アカウント作成期間の検証                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 データフロー

フローソース宛先データ保護
F1チャネルGatewayユーザーメッセージTLS、AllowFrom
F2GatewayAgentルーティング済みメッセージセッション分離
F3AgentToolsツール呼び出しポリシー適用
F4AgentExternalweb_fetch リクエストSSRF ブロック
F5ClawHubAgentSkill コードモデレーション、スキャン
F6AgentChannel応答出力フィルタリング

3. ATLAS戦術別の脅威分析

3.1 偵察(AML.TA0002)

T-RECON-001: エージェントエンドポイントの発見

属性
ATLAS IDAML.T0006 - Active Scanning
説明攻撃者が公開された OpenClaw Gateway エンドポイントをスキャンする
攻撃ベクトルネットワークスキャン、shodan クエリ、DNS 列挙
影響を受けるコンポーネントGateway、公開 API エンドポイント
現在の緩和策Tailscale 認証オプション、デフォルトで loopback に bind
残留リスク中 - 公開 Gateway は発見可能
推奨事項安全なデプロイを文書化し、発見用エンドポイントにレート制限を追加する

T-RECON-002: チャネル統合のプロービング

属性
ATLAS IDAML.T0006 - Active Scanning
説明攻撃者がメッセージングチャネルを調査して AI 管理アカウントを特定する
攻撃ベクトルテストメッセージの送信、応答パターンの観察
影響を受けるコンポーネントすべてのチャネル統合
現在の緩和策特になし
残留リスク低 - 発見だけでは価値が限定的
推奨事項応答タイミングのランダム化を検討する

3.2 初期アクセス(AML.TA0004)

T-ACCESS-001: ペアリングコードの傍受

属性
ATLAS IDAML.T0040 - AI Model Inference API Access
説明攻撃者がペアリング猶予期間中にペアリングコードを傍受する(DM チャネルペアリングは1時間、ノードペアリングは5分)
攻撃ベクトルショルダーサーフィン、ネットワーク盗聴、ソーシャルエンジニアリング
影響を受けるコンポーネントデバイスペアリングシステム
現在の緩和策1時間の有効期限(DM ペアリング)/ 5分の有効期限(ノードペアリング)、既存チャネル経由でコード送信
残留リスク中 - 猶予期間が悪用されうる
推奨事項猶予期間を短縮し、確認ステップを追加する

T-ACCESS-002: AllowFrom のなりすまし

属性
ATLAS IDAML.T0040 - AI Model Inference API Access
説明攻撃者がチャネル内で許可済み送信者の ID を偽装する
攻撃ベクトルチャネルに依存 - 電話番号のなりすまし、ユーザー名の偽装
影響を受けるコンポーネントチャネルごとの AllowFrom 検証
現在の緩和策チャネル固有の ID 検証
残留リスク中 - 一部チャネルはなりすましに脆弱
推奨事項チャネル固有のリスクを文書化し、可能な場合は暗号学的検証を追加する

T-ACCESS-003: トークン窃取

属性
ATLAS IDAML.T0040 - AI Model Inference API Access
説明攻撃者が設定ファイルから認証トークンを盗む
攻撃ベクトルマルウェア、不正なデバイスアクセス、設定バックアップの露出
影響を受けるコンポーネント~/.openclaw/credentials/、設定保存領域
現在の緩和策ファイル権限
残留リスク高 - トークンが平文で保存されている
推奨事項保存時トークン暗号化を実装し、トークンローテーションを追加する

3.3 実行(AML.TA0005)

T-EXEC-001: 直接プロンプトインジェクション

属性
ATLAS IDAML.T0051.000 - LLM Prompt Injection: Direct
説明攻撃者が細工したプロンプトを送り、エージェントの挙動を操作する
攻撃ベクトル敵対的指示を含むチャネルメッセージ
影響を受けるコンポーネントエージェント LLM、すべての入力面
現在の緩和策パターン検出、外部コンテンツのラップ
残留リスク重大 - 検出のみでブロックなし。高度な攻撃は回避可能
推奨事項多層防御、出力検証、機微な操作に対するユーザー確認を実装する

T-EXEC-002: 間接プロンプトインジェクション

属性
ATLAS IDAML.T0051.001 - LLM Prompt Injection: Indirect
説明攻撃者が取得コンテンツに悪意ある指示を埋め込む
攻撃ベクトル悪意ある URL、汚染されたメール、侵害された webhook
影響を受けるコンポーネントweb_fetch、メール取り込み、外部データソース
現在の緩和策XML タグとセキュリティ通知によるコンテンツラップ
残留リスク高 - LLM がラッパー指示を無視する可能性がある
推奨事項コンテンツサニタイズ、実行コンテキストの分離を実装する

T-EXEC-003: ツール引数インジェクション

属性
ATLAS IDAML.T0051.000 - LLM Prompt Injection: Direct
説明攻撃者がプロンプトインジェクションを通じてツール引数を操作する
攻撃ベクトルツールパラメータ値に影響を与える細工済みプロンプト
影響を受けるコンポーネントすべてのツール呼び出し
現在の緩和策危険なコマンドに対する exec approvals
残留リスク高 - ユーザー判断に依存する
推奨事項引数検証とパラメータ化されたツール呼び出しを実装する

T-EXEC-004: Exec Approval の回避

属性
ATLAS IDAML.T0043 - Craft Adversarial Data
説明攻撃者が承認 allowlist を回避するコマンドを細工する
攻撃ベクトルコマンド難読化、エイリアス悪用、パス操作
影響を受けるコンポーネントexec-approvals.ts、コマンド allowlist
現在の緩和策Allowlist + ask モード
残留リスク高 - コマンドサニタイズがない
推奨事項コマンド正規化を実装し、blocklist を拡張する

3.4 永続化(AML.TA0006)

T-PERSIST-001: 悪意ある Skill のインストール

属性
ATLAS IDAML.T0010.001 - Supply Chain Compromise: AI Software
説明攻撃者が ClawHub に悪意ある Skill を公開する
攻撃ベクトルアカウント作成、隠れた悪意あるコードを含む Skill の公開
影響を受けるコンポーネントClawHub、Skill の読み込み、エージェント実行
現在の緩和策GitHub アカウント作成期間の検証、パターンベースのモデレーションフラグ
残留リスク重大 - サンドボックスなし、レビューも限定的
推奨事項VirusTotal 統合(進行中)、Skill のサンドボックス化、コミュニティレビュー

T-PERSIST-002: Skill 更新の汚染

属性
ATLAS IDAML.T0010.001 - Supply Chain Compromise: AI Software
説明攻撃者が人気 Skill を侵害し、悪意ある更新を配信する
攻撃ベクトルアカウント侵害、Skill 所有者へのソーシャルエンジニアリング
影響を受けるコンポーネントClawHub のバージョニング、自動更新フロー
現在の緩和策バージョンフィンガープリント
残留リスク高 - 自動更新で悪意あるバージョンを取得する可能性がある
推奨事項更新署名、ロールバック機能、バージョン pinning を実装する

T-PERSIST-003: エージェント設定の改ざん

属性
ATLAS IDAML.T0010.002 - Supply Chain Compromise: Data
説明攻撃者がアクセスを永続化するためにエージェント設定を変更する
攻撃ベクトル設定ファイルの改変、設定インジェクション
影響を受けるコンポーネントエージェント設定、ツールポリシー
現在の緩和策ファイル権限
残留リスク中 - ローカルアクセスが必要
推奨事項設定整合性検証と、設定変更の監査ログを実装する

3.5 防御回避(AML.TA0007)

T-EVADE-001: モデレーションパターンの回避

属性
ATLAS IDAML.T0043 - Craft Adversarial Data
説明攻撃者がモデレーションパターンを回避する Skill コンテンツを細工する
攻撃ベクトルUnicode 同形異義文字、エンコードのトリック、動的読み込み
影響を受けるコンポーネントClawHub moderation.ts
現在の緩和策パターンベースの FLAG_RULES
残留リスク高 - 単純な regex は容易に回避される
推奨事項挙動分析(VirusTotal Code Insight)、AST ベース検出を追加する

T-EVADE-002: コンテンツラッパーの脱出

属性
ATLAS IDAML.T0043 - Craft Adversarial Data
説明攻撃者が XML ラッパーの文脈から脱出するコンテンツを細工する
攻撃ベクトルタグ操作、文脈の混乱、指示の上書き
影響を受けるコンポーネント外部コンテンツのラップ
現在の緩和策XML タグ + セキュリティ通知
残留リスク中 - 新しい脱出手法が定期的に発見される
推奨事項複数のラップ層、出力側検証

3.6 発見(AML.TA0008)

T-DISC-001: ツール列挙

属性
ATLAS IDAML.T0040 - AI Model Inference API Access
説明攻撃者がプロンプトを通じて利用可能なツールを列挙する
攻撃ベクトル「どんなツールを持っていますか?」のような問い合わせ
影響を受けるコンポーネントエージェントツールレジストリ
現在の緩和策特になし
残留リスク低 - ツールは通常文書化されている
推奨事項ツール可視性制御を検討する

T-DISC-002: セッションデータの抽出

属性
ATLAS IDAML.T0040 - AI Model Inference API Access
説明攻撃者がセッション文脈から機微データを抽出する
攻撃ベクトル「何を話しましたか?」のような問い合わせ、文脈プロービング
影響を受けるコンポーネントセッショントランスクリプト、コンテキストウィンドウ
現在の緩和策送信者ごとのセッション分離
残留リスク中 - セッション内データにはアクセス可能
推奨事項コンテキスト内の機微データのリダクションを実装する

3.7 収集と流出(AML.TA0009, AML.TA0010)

T-EXFIL-001: web_fetch によるデータ窃取

属性
ATLAS IDAML.T0009 - Collection
説明攻撃者がエージェントに外部 URL への送信を指示してデータを流出させる
攻撃ベクトルプロンプトインジェクションにより、エージェントが攻撃者サーバーにデータを POST する
影響を受けるコンポーネントweb_fetch ツール
現在の緩和策内部ネットワーク向け SSRF ブロック
残留リスク高 - 外部 URL は許可されている
推奨事項URL allowlisting とデータ分類認識を実装する

T-EXFIL-002: 不正なメッセージ送信

属性
ATLAS IDAML.T0009 - Collection
説明攻撃者がエージェントに機微データを含むメッセージを送らせる
攻撃ベクトルプロンプトインジェクションにより、エージェントが攻撃者にメッセージを送る
影響を受けるコンポーネントメッセージツール、チャネル統合
現在の緩和策送信メッセージのゲーティング
残留リスク中 - ゲーティングが回避される可能性がある
推奨事項新しい受信者には明示的確認を必須にする

T-EXFIL-003: 認証情報の収集

属性
ATLAS IDAML.T0009 - Collection
説明悪意ある Skill がエージェント文脈から認証情報を収集する
攻撃ベクトルSkill コードが環境変数や設定ファイルを読む
影響を受けるコンポーネントSkill 実行環境
現在の緩和策Skills に特化したものは特になし
残留リスク重大 - Skills はエージェント権限で実行される
推奨事項Skill のサンドボックス化、認証情報の分離

3.8 影響(AML.TA0011)

T-IMPACT-001: 不正なコマンド実行

属性
ATLAS IDAML.T0031 - Erode AI Model Integrity
説明攻撃者がユーザーシステム上で任意のコマンドを実行する
攻撃ベクトルプロンプトインジェクションと exec approval 回避の組み合わせ
影響を受けるコンポーネントBash ツール、コマンド実行
現在の緩和策Exec approvals、Docker sandbox オプション
残留リスク重大 - サンドボックスなしの Host 実行
推奨事項デフォルトで sandbox を使い、承認 UX を改善する

T-IMPACT-002: リソース枯渇(DoS)

属性
ATLAS IDAML.T0031 - Erode AI Model Integrity
説明攻撃者が API クレジットまたは計算資源を使い果たす
攻撃ベクトル自動メッセージフラッディング、高コストなツール呼び出し
影響を受けるコンポーネントGateway、エージェントセッション、API プロバイダー
現在の緩和策なし
残留リスク高 - レート制限がない
推奨事項送信者ごとのレート制限とコスト予算を実装する

T-IMPACT-003: 評判への損害

属性
ATLAS IDAML.T0031 - Erode AI Model Integrity
説明攻撃者がエージェントに有害または攻撃的な内容を送信させる
攻撃ベクトルプロンプトインジェクションにより、不適切な応答を誘発する
影響を受けるコンポーネント出力生成、チャネルメッセージング
現在の緩和策LLM プロバイダーのコンテンツポリシー
残留リスク中 - プロバイダーフィルターは不完全
推奨事項出力フィルタリング層、ユーザー制御を追加する

4. ClawHub サプライチェーン分析

4.1 現在のセキュリティコントロール

コントロール実装有効性
GitHub アカウント作成期間requireGitHubAccountAge()中 - 新規攻撃者へのハードルを上げる
パスのサニタイズsanitizePath()高 - パストラバーサルを防止
ファイル種別の検証isTextFile()中 - テキストファイルのみに制限されるが、依然として悪意ある可能性はある
サイズ制限合計バンドル 50MB高 - リソース枯渇を防止
必須の SKILL.mdreadme を必須化低いセキュリティ価値 - 情報提供のみ
パターンモデレーションmoderation.tsFLAG_RULES低 - 容易に回避される
モデレーション状態moderationStatus フィールド中 - 手動レビューが可能

4.2 モデレーションフラグパターン

moderation.ts の現在のパターン: 
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
制限事項:
  • slug、displayName、summary、frontmatter、metadata、ファイルパスのみをチェックする
  • 実際の Skill コード内容は解析しない
  • 単純な regex は難読化で容易に回避される
  • 挙動分析がない

4.3 計画中の改善

改善項目ステータス影響
VirusTotal 統合進行中高 - Code Insight による挙動分析
コミュニティ報告一部対応(skillReports テーブルあり)
監査ログ一部対応(auditLogs テーブルあり)
バッジシステム実装済み中 - highlighted, official, deprecated, redactionApproved

5. リスクマトリクス

5.1 発生可能性と影響度

Threat ID発生可能性影響度リスクレベル優先度
T-EXEC-001重大重大P0
T-PERSIST-001重大重大P0
T-EXFIL-003重大重大P0
T-IMPACT-001重大P1
T-EXEC-002P1
T-EXEC-004P1
T-ACCESS-003P1
T-EXFIL-001P1
T-IMPACT-002P1
T-EVADE-001P2
T-ACCESS-001P2
T-ACCESS-002P2
T-PERSIST-002P2

5.2 クリティカルパス攻撃チェーン

攻撃チェーン 1: Skill ベースのデータ窃取 
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(悪意ある Skill を公開) → (モデレーションを回避) → (認証情報を収集)
攻撃チェーン 2: プロンプトインジェクションから RCE へ 
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(プロンプトを注入) → (exec approval を回避) → (コマンドを実行)
攻撃チェーン 3: 取得コンテンツ経由の間接インジェクション 
T-EXEC-002 → T-EXFIL-001 → 外部流出
(URL コンテンツを汚染) → (エージェントが取得して指示に従う) → (データが攻撃者へ送信される)

6. 推奨事項の要約

6.1 即時対応(P0)

ID推奨事項対応する脅威
R-001VirusTotal 統合を完了するT-PERSIST-001, T-EVADE-001
R-002Skill のサンドボックス化を実装するT-PERSIST-001, T-EXFIL-003
R-003機微な操作向けの出力検証を追加するT-EXEC-001, T-EXEC-002

6.2 短期対応(P1)

ID推奨事項対応する脅威
R-004レート制限を実装するT-IMPACT-002
R-005保存時トークン暗号化を追加するT-ACCESS-003
R-006exec approval の UX と検証を改善するT-EXEC-004
R-007web_fetch 向け URL allowlisting を実装するT-EXFIL-001

6.3 中期対応(P2)

ID推奨事項対応する脅威
R-008可能な箇所に暗号学的チャネル検証を追加するT-ACCESS-002
R-009設定整合性検証を実装するT-PERSIST-003
R-010更新署名とバージョン pinning を追加するT-PERSIST-002

7. 付録

7.1 ATLAS手法マッピング

ATLAS ID手法名OpenClaw の脅威
AML.T0006Active ScanningT-RECON-001, T-RECON-002
AML.T0009CollectionT-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001Supply Chain: AI SoftwareT-PERSIST-001, T-PERSIST-002
AML.T0010.002Supply Chain: DataT-PERSIST-003
AML.T0031Erode AI Model IntegrityT-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040AI Model Inference API AccessT-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043Craft Adversarial DataT-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000LLM Prompt Injection: DirectT-EXEC-001, T-EXEC-003
AML.T0051.001LLM Prompt Injection: IndirectT-EXEC-002

7.2 主なセキュリティファイル

パス目的リスクレベル
src/infra/exec-approvals.tsコマンド承認ロジック重大
src/gateway/auth.tsGateway 認証重大
src/infra/net/ssrf.tsSSRF 保護重大
src/security/external-content.tsプロンプトインジェクション緩和重大
src/agents/sandbox/tool-policy.tsツールポリシー適用重大
src/routing/resolve-route.tsセッション分離

7.3 用語集

用語定義
ATLASMITRE の Adversarial Threat Landscape for AI Systems
ClawHubOpenClaw の Skills マーケットプレイス
GatewayOpenClaw のメッセージルーティングおよび認証レイヤー
MCPModel Context Protocol - ツールプロバイダーインターフェース
Prompt Injection悪意ある指示が入力に埋め込まれる攻撃
SkillOpenClaw エージェント向けのダウンロード可能な拡張
SSRFServer-Side Request Forgery
この脅威モデルは生きた文書です。セキュリティ上の問題は security@openclaw.ai に報告してください