メインコンテンツへスキップ

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

MITRE ATLAS フレームワーク

バージョン: 1.0-draft 最終更新: 2026-02-04 方法論: MITRE ATLAS + データフロー図 フレームワーク: MITRE ATLAS (AI システム向け敵対的脅威ランドスケープ)

フレームワークの帰属

この脅威モデルは、AI/ML システムに対する敵対的脅威を文書化するための業界標準フレームワークである MITRE ATLAS を基に構築されています。ATLAS は、AI セキュリティコミュニティと協力して MITRE が保守しています。 主要な ATLAS リソース:

この脅威モデルへのコントリビュート

これは OpenClaw コミュニティが保守する生きたドキュメントです。コントリビュートのガイドラインについては、CONTRIBUTING-THREAT-MODEL.md を参照してください。
  • 新しい脅威の報告
  • 既存の脅威の更新
  • 攻撃チェーンの提案
  • 緩和策の提案

1. はじめに

1.1 目的

この脅威モデルは、AI/ML システム専用に設計された MITRE ATLAS フレームワークを使用して、OpenClaw AI エージェントプラットフォームおよび ClawHub スキルマーケットプレイスに対する敵対的脅威を文書化します。

1.2 スコープ

コンポーネント含まれる注記
OpenClaw エージェントランタイムはいコアエージェント実行、ツール呼び出し、セッション
Gatewayはい認証、ルーティング、チャネル連携
チャネル連携はいWhatsApp, Telegram, Discord, Signal, Slack など
ClawHub マーケットプレイスはいスキルの公開、モデレーション、配布
MCP サーバーはい外部ツールプロバイダー
ユーザーデバイス一部モバイルアプリ、デスクトップクライアント

1.3 スコープ外

この脅威モデルで明示的にスコープ外とされているものはありません。

2. システムアーキテクチャ

2.1 信頼境界

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 データフロー

フローソース宛先データ保護
F1チャネルGatewayユーザーメッセージTLS, AllowFrom
F2Gatewayエージェントルーティングされたメッセージセッション分離
F3エージェントツールツール呼び出しポリシー適用
F4エージェント外部web_fetch リクエストSSRF ブロック
F5ClawHubエージェントスキルコードモデレーション、スキャン
F6エージェントチャネル応答出力フィルタリング

3. ATLAS 戦術別の脅威分析

3.1 偵察 (AML.TA0002)

T-RECON-001: エージェントエンドポイントの検出

属性
ATLAS IDAML.T0006 - アクティブスキャン
説明攻撃者が公開された OpenClaw gateway エンドポイントをスキャンする
攻撃ベクトルネットワークスキャン、shodan クエリ、DNS 列挙
影響を受けるコンポーネントGateway、公開 API エンドポイント
現在の緩和策Tailscale 認証オプション、デフォルトでループバックにバインド
残余リスク中 - 公開 gateway は検出可能
推奨事項安全なデプロイを文書化し、検出エンドポイントにレート制限を追加する

T-RECON-002: チャネル連携のプロービング

属性
ATLAS IDAML.T0006 - アクティブスキャン
説明攻撃者が AI 管理アカウントを特定するためにメッセージングチャネルを探査する
攻撃ベクトルテストメッセージの送信、応答パターンの観察
影響を受けるコンポーネントすべてのチャネル連携
現在の緩和策特になし
残存リスク低 - 発見だけでは価値が限定的
推奨事項応答タイミングのランダム化を検討する

3.2 初期アクセス (AML.TA0004)

T-ACCESS-001: ペアリングコードの傍受

属性
ATLAS IDAML.T0040 - AI モデル推論 API アクセス
説明攻撃者がペアリング猶予期間中にペアリングコードを傍受する(DM チャネルペアリングは 1 時間、Nodeペアリングは 5 分)
攻撃ベクトルショルダーサーフィン、ネットワークスニッフィング、ソーシャルエンジニアリング
影響を受けるコンポーネントデバイスペアリングシステム
現在の緩和策1 時間の有効期限(DM ペアリング)/ 5 分の有効期限(Nodeペアリング)、コードは既存チャネル経由で送信
残存リスク中 - 猶予期間が悪用可能
推奨事項猶予期間を短縮し、確認ステップを追加する

T-ACCESS-002: AllowFrom なりすまし

属性
ATLAS IDAML.T0040 - AI モデル推論 API アクセス
説明攻撃者がチャネル内で許可された送信者 ID になりすます
攻撃ベクトルチャネルによって異なる - 電話番号のなりすまし、ユーザー名の偽装
影響を受けるコンポーネントチャネルごとの AllowFrom 検証
現在の緩和策チャネル固有の ID 検証
残存リスク中 - 一部のチャネルはなりすましに脆弱
推奨事項チャネル固有のリスクを文書化し、可能な場合は暗号学的検証を追加する

T-ACCESS-003: トークン窃取

属性
ATLAS IDAML.T0040 - AI モデル推論 API アクセス
説明攻撃者が設定ファイルから認証トークンを窃取する
攻撃ベクトルマルウェア、不正なデバイスアクセス、設定バックアップの露出
影響を受けるコンポーネント~/.openclaw/credentials/、設定ストレージ
現在の緩和策ファイル権限
残存リスク高 - トークンが平文で保存されている
推奨事項保存時のトークン暗号化を実装し、トークンローテーションを追加する

3.3 実行 (AML.TA0005)

T-EXEC-001: 直接プロンプトインジェクション

属性
ATLAS IDAML.T0051.000 - LLM プロンプトインジェクション: 直接
説明攻撃者がエージェントの動作を操作するために細工したプロンプトを送信する
攻撃ベクトル敵対的な指示を含むチャネルメッセージ
影響を受けるコンポーネントエージェント LLM、すべての入力面
現在の緩和策パターン検出、外部コンテンツのラッピング
残存リスク重大 - 検出のみでブロックなし。高度な攻撃は回避する
推奨事項多層防御、出力検証、機密性の高い操作に対するユーザー確認を実装する

T-EXEC-002: 間接プロンプトインジェクション

属性
ATLAS IDAML.T0051.001 - LLM プロンプトインジェクション: 間接
説明攻撃者が取得されたコンテンツに悪意ある指示を埋め込む
攻撃ベクトル悪意ある URL、汚染されたメール、侵害された Webhook
影響を受けるコンポーネントweb_fetch、メール取り込み、外部データソース
現在の緩和策XML タグとセキュリティ通知によるコンテンツラッピング
残存リスク高 - LLM がラッパー指示を無視する可能性がある
推奨事項コンテンツサニタイズ、分離された実行コンテキストを実装する

T-EXEC-003: ツール引数インジェクション

属性
ATLAS IDAML.T0051.000 - LLM プロンプトインジェクション: 直接
説明攻撃者がプロンプトインジェクションを通じてツール引数を操作する
攻撃ベクトルツールパラメーター値に影響を与える細工されたプロンプト
影響を受けるコンポーネントすべてのツール呼び出し
現在の緩和策危険なコマンドに対する実行承認
残存リスク高 - ユーザーの判断に依存
推奨事項引数検証、パラメーター化されたツール呼び出しを実装する

T-EXEC-004: 実行承認のバイパス

属性
ATLAS IDAML.T0043 - 敵対的データの作成
説明攻撃者が承認許可リストをバイパスするコマンドを作成する
攻撃ベクトルコマンドの難読化、エイリアス悪用、パス操作
影響を受けるコンポーネントexec-approvals.ts、コマンド許可リスト
現在の緩和策許可リスト + 確認モード
残存リスク高 - コマンドサニタイズなし
推奨事項コマンド正規化を実装し、ブロックリストを拡張する

3.4 永続化 (AML.TA0006)

T-PERSIST-001: 悪意ある Skills のインストール

属性
ATLAS IDAML.T0010.001 - サプライチェーン侵害: AI ソフトウェア
説明攻撃者が悪意ある Skills を ClawHub に公開する
攻撃ベクトルアカウントを作成し、隠れた悪意あるコードを含む Skills を公開する
影響を受けるコンポーネントClawHub、Skills の読み込み、エージェント実行
現在の緩和策GitHub アカウントの年齢確認、パターンベースのモデレーションフラグ
残存リスク重大 - サンドボックス化なし、レビューは限定的
推奨事項VirusTotal 連携(進行中)、Skills のサンドボックス化、コミュニティレビュー

T-PERSIST-002: Skills 更新の汚染

属性
ATLAS IDAML.T0010.001 - サプライチェーン侵害: AI ソフトウェア
説明攻撃者が人気のある Skills を侵害し、悪意ある更新をプッシュする
攻撃ベクトルアカウント侵害、Skills 所有者へのソーシャルエンジニアリング
影響を受けるコンポーネントClawHub のバージョン管理、自動更新フロー
現在の緩和策バージョンフィンガープリント
残存リスク高 - 自動更新が悪意あるバージョンを取得する可能性がある
推奨事項更新署名、ロールバック機能、バージョン固定を実装する

T-PERSIST-003: エージェント設定の改ざん

属性
ATLAS IDAML.T0010.002 - サプライチェーン侵害: データ
説明攻撃者がアクセスを永続化するためにエージェント設定を変更する
攻撃ベクトル設定ファイルの変更、設定インジェクション
影響を受けるコンポーネントエージェント設定、ツールポリシー
現在の緩和策ファイル権限
残存リスク中 - ローカルアクセスが必要
推奨事項設定の整合性検証、設定変更の監査ログ

3.5 防御回避 (AML.TA0007)

T-EVADE-001: モデレーションパターンのバイパス

属性
ATLAS IDAML.T0043 - 敵対的データの作成
説明攻撃者がモデレーションパターンを回避する Skills コンテンツを作成する
攻撃ベクトルUnicode 同形異字、エンコーディングの手口、動的読み込み
影響を受けるコンポーネントClawHub moderation.ts
現在の緩和策パターンベースの FLAG_RULES
残存リスク高 - 単純な正規表現は容易に回避される
推奨事項振る舞い分析(VirusTotal Code Insight)、AST ベースの検出を追加する

T-EVADE-002: コンテンツラッパーからの脱出

属性
ATLAS IDAML.T0043 - 敵対的データの作成
説明攻撃者が XML ラッパーのコンテキストから脱出するコンテンツを作成する
攻撃ベクトルタグ操作、コンテキスト混同、命令の上書き
影響を受けるコンポーネント外部コンテンツのラッピング
現在の緩和策XML タグ + セキュリティ通知
残留リスク中 - 新しい脱出手法が定期的に発見されている
推奨事項複数のラッパーレイヤー、出力側の検証

3.6 発見 (AML.TA0008)

T-DISC-001: ツール列挙

属性
ATLAS IDAML.T0040 - AI モデル推論 API アクセス
説明攻撃者がプロンプトを通じて利用可能なツールを列挙する
攻撃ベクトル「どのようなツールがありますか?」形式のクエリ
影響を受けるコンポーネントエージェントツールレジストリ
現在の緩和策特になし
残留リスク低 - ツールは一般に文書化されている
推奨事項ツールの可視性制御を検討する

T-DISC-002: セッションデータ抽出

属性
ATLAS IDAML.T0040 - AI モデル推論 API アクセス
説明攻撃者がセッションコンテキストから機密データを抽出する
攻撃ベクトル「何を話し合いましたか?」というクエリ、コンテキスト探索
影響を受けるコンポーネントセッショントランスクリプト、コンテキストウィンドウ
現在の緩和策送信者ごとのセッション分離
残留リスク中 - セッション内データにアクセス可能
推奨事項コンテキスト内の機密データ編集を実装する

3.7 収集と持ち出し (AML.TA0009, AML.TA0010)

T-EXFIL-001: web_fetch 経由のデータ窃取

属性
ATLAS IDAML.T0009 - 収集
説明攻撃者がエージェントに外部 URL へ送信するよう指示してデータを持ち出す
攻撃ベクトルエージェントに攻撃者のサーバーへデータを POST させるプロンプトインジェクション
影響を受けるコンポーネントweb_fetch ツール
現在の緩和策内部ネットワークに対する SSRF ブロック
残留リスク高 - 外部 URL が許可されている
推奨事項URL 許可リスト、データ分類認識を実装する

T-EXFIL-002: 不正なメッセージ送信

属性
ATLAS IDAML.T0009 - 収集
説明攻撃者がエージェントに機密データを含むメッセージを送信させる
攻撃ベクトルエージェントに攻撃者へメッセージを送らせるプロンプトインジェクション
影響を受けるコンポーネントメッセージツール、チャンネル連携
現在の緩和策送信メッセージのゲーティング
残留リスク中 - ゲーティングが回避される可能性がある
推奨事項新しい受信者には明示的な確認を要求する

T-EXFIL-003: 認証情報の収集

属性
ATLAS IDAML.T0009 - 収集
説明悪意のある Skill がエージェントコンテキストから認証情報を収集する
攻撃ベクトルSkill コードが環境変数、設定ファイルを読み取る
影響を受けるコンポーネントSkill 実行環境
現在の緩和策Skills に特化したものはなし
残留リスク重大 - Skills はエージェント権限で実行される
推奨事項Skill サンドボックス化、認証情報の分離

3.8 影響 (AML.TA0011)

T-IMPACT-001: 不正なコマンド実行

属性
ATLAS IDAML.T0031 - AI モデル完全性の侵食
説明攻撃者がユーザーシステム上で任意のコマンドを実行する
攻撃ベクトルexec 承認バイパスと組み合わせたプロンプトインジェクション
影響を受けるコンポーネントBash ツール、コマンド実行
現在の緩和策exec 承認、Docker サンドボックスオプション
残留リスク重大 - サンドボックスなしのホスト実行
推奨事項デフォルトをサンドボックスにし、承認 UX を改善する

T-IMPACT-002: リソース枯渇 (DoS)

属性
ATLAS IDAML.T0031 - AI モデル完全性の侵食
説明攻撃者が API クレジットまたは計算リソースを枯渇させる
攻撃ベクトル自動メッセージ大量送信、高コストなツール呼び出し
影響を受けるコンポーネントGateway、エージェントセッション、API プロバイダー
現在の緩和策なし
残留リスク高 - レート制限がない
推奨事項送信者ごとのレート制限、コスト予算を実装する

T-IMPACT-003: 評判の毀損

属性
ATLAS IDAML.T0031 - AI モデル完全性の侵食
説明攻撃者がエージェントに有害または攻撃的なコンテンツを送信させる
攻撃ベクトル不適切な応答を引き起こすプロンプトインジェクション
影響を受けるコンポーネント出力生成、チャンネルメッセージング
現在の緩和策LLM プロバイダーのコンテンツポリシー
残留リスク中 - プロバイダーフィルターは不完全
推奨事項出力フィルタリングレイヤー、ユーザー制御

4. ClawHub サプライチェーン分析

4.1 現在のセキュリティ制御

制御実装有効性
GitHub アカウント年齢requireGitHubAccountAge()中 - 新規攻撃者のハードルを上げる
パスサニタイズsanitizePath()高 - パストラバーサルを防ぐ
ファイル種別検証isTextFile()中 - テキストファイルのみだが、それでも悪意を持つ可能性がある
サイズ制限合計 50MB バンドル高 - リソース枯渇を防ぐ
必須 SKILL.md必須 readmeセキュリティ価値は低い - 情報提供のみ
パターンモデレーションmoderation.ts の FLAG_RULES低 - 容易に回避可能
モデレーションステータスmoderationStatus フィールド中 - 手動レビューが可能

4.2 モデレーションフラグパターン

moderation.ts の現在のパターン: 
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
制限事項:
  • slug、displayName、summary、frontmatter、metadata、ファイルパスのみをチェックする
  • 実際の Skill コード内容は分析しない
  • 単純な正規表現は難読化で容易に回避可能
  • 振る舞いの分析がない

4.3 予定されている改善

改善ステータス影響
VirusTotal 連携進行中高 - Code Insight の振る舞い分析
コミュニティ報告一部対応 (skillReports テーブルが存在)
監査ログ一部対応 (auditLogs テーブルが存在)
バッジシステム実装済み中 - highlightedofficialdeprecatedredactionApproved

5. リスクマトリクス

5.1 可能性 vs 影響

脅威 ID可能性影響リスクレベル優先度
T-EXEC-001重大重大P0
T-PERSIST-001重大重大P0
T-EXFIL-003重大重大P0
T-IMPACT-001重大P1
T-EXEC-002P1
T-EXEC-004P1
T-ACCESS-003P1
T-EXFIL-001P1
T-IMPACT-002P1
T-EVADE-001P2
T-ACCESS-001P2
T-ACCESS-002P2
T-PERSIST-002P2

5.2 クリティカルパス攻撃チェーン

攻撃チェーン 1: Skill ベースのデータ窃取 
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
攻撃チェーン 2: プロンプトインジェクションから RCE へ 
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
攻撃チェーン 3: 取得コンテンツ経由の間接インジェクション 
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. 推奨事項の概要

6.1 即時 (P0)

ID推奨事項対応する脅威
R-001VirusTotal 連携を完了するT-PERSIST-001, T-EVADE-001
R-002skill サンドボックス化を実装するT-PERSIST-001, T-EXFIL-003
R-003機微な操作の出力検証を追加するT-EXEC-001, T-EXEC-002

6.2 短期 (P1)

ID推奨事項対応する脅威
R-004レート制限を実装するT-IMPACT-002
R-005保存時のトークン暗号化を追加するT-ACCESS-003
R-006exec 承認の UX と検証を改善するT-EXEC-004
R-007web_fetch の URL 許可リストを実装するT-EXFIL-001

6.3 中期 (P2)

ID推奨事項対応する脅威
R-008可能な場合は暗号学的なチャネル検証を追加するT-ACCESS-002
R-009config の整合性検証を実装するT-PERSIST-003
R-010更新の署名とバージョン固定を追加するT-PERSIST-002

7. 付録

7.1 ATLAS 技術マッピング

ATLAS ID技術名OpenClaw の脅威
AML.T0006アクティブスキャンT-RECON-001, T-RECON-002
AML.T0009収集T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001サプライチェーン: AI ソフトウェアT-PERSIST-001, T-PERSIST-002
AML.T0010.002サプライチェーン: データT-PERSIST-003
AML.T0031AI モデルの整合性を損なうT-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040AI モデル推論 API アクセスT-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043敵対的データの作成T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000LLM プロンプトインジェクション: 直接T-EXEC-001, T-EXEC-003
AML.T0051.001LLM プロンプトインジェクション: 間接T-EXEC-002

7.2 主要なセキュリティファイル

パス目的リスクレベル
src/infra/exec-approvals.tsコマンド承認ロジック重大
src/gateway/auth.tsGateway 認証重大
src/infra/net/ssrf.tsSSRF 保護重大
src/security/external-content.tsプロンプトインジェクションの緩和重大
src/agents/sandbox/tool-policy.tsツールポリシーの適用重大
src/routing/resolve-route.tsセッション分離

7.3 用語集

用語定義
ATLASMITRE の AI システム向け敵対的脅威ランドスケープ
ClawHubOpenClaw の skill マーケットプレイス
GatewayOpenClaw のメッセージルーティングおよび認証レイヤー
MCPModel Context Protocol - ツールプロバイダーインターフェース
プロンプトインジェクション悪意のある指示が入力に埋め込まれる攻撃
SkillOpenClaw エージェント用のダウンロード可能な拡張
SSRFServer-Side Request Forgery
この脅威モデルは継続的に更新されるドキュメントです。セキュリティ問題は security@openclaw.ai に報告してください

関連