메인 콘텐츠로 건너뛰기

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

MITRE ATLAS 프레임워크

버전: 1.0-draft 마지막 업데이트: 2026-02-04 방법론: MITRE ATLAS + 데이터 흐름 다이어그램 프레임워크: MITRE ATLAS (AI 시스템을 위한 적대적 위협 환경)

프레임워크 출처

이 위협 모델은 AI/ML 시스템에 대한 적대적 위협을 문서화하기 위한 업계 표준 프레임워크인 MITRE ATLAS를 기반으로 합니다. ATLAS는 AI 보안 커뮤니티와 협력하여 MITRE에서 유지 관리합니다. 주요 ATLAS 리소스:

이 위협 모델에 기여하기

이 문서는 OpenClaw 커뮤니티가 유지 관리하는 지속적으로 갱신되는 문서입니다. 기여 지침은 CONTRIBUTING-THREAT-MODEL.md를 참조하세요.
  • 새로운 위협 보고
  • 기존 위협 업데이트
  • 공격 체인 제안
  • 완화 방안 제안

1. 소개

1.1 목적

이 위협 모델은 AI/ML 시스템을 위해 특별히 설계된 MITRE ATLAS 프레임워크를 사용하여 OpenClaw AI 에이전트 플랫폼과 ClawHub Skills 마켓플레이스에 대한 적대적 위협을 문서화합니다.

1.2 범위

구성 요소포함 여부참고
OpenClaw 에이전트 런타임핵심 에이전트 실행, 도구 호출, 세션
Gateway인증, 라우팅, 채널 통합
채널 통합WhatsApp, Telegram, Discord, Signal, Slack 등
ClawHub 마켓플레이스Skill 게시, 모더레이션, 배포
MCP 서버외부 도구 제공자
사용자 기기일부모바일 앱, 데스크톱 클라이언트

1.3 범위 제외

이 위협 모델에서 명시적으로 범위에서 제외된 것은 없습니다.

2. 시스템 아키텍처

2.1 신뢰 경계

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 데이터 흐름

흐름출처대상데이터보호
F1채널Gateway사용자 메시지TLS, AllowFrom
F2Gateway에이전트라우팅된 메시지세션 격리
F3에이전트도구도구 호출정책 적용
F4에이전트외부web_fetch 요청SSRF 차단
F5ClawHub에이전트Skill 코드모더레이션, 스캔
F6에이전트채널응답출력 필터링

3. ATLAS 전술별 위협 분석

3.1 정찰 (AML.TA0002)

T-RECON-001: 에이전트 엔드포인트 탐색

속성
ATLAS IDAML.T0006 - 능동 스캔
설명공격자가 노출된 OpenClaw gateway 엔드포인트를 스캔함
공격 벡터네트워크 스캔, shodan 쿼리, DNS 열거
영향을 받는 구성 요소Gateway, 노출된 API 엔드포인트
현재 완화 방안Tailscale 인증 옵션, 기본적으로 loopback에 바인딩
잔여 위험중간 - 공개 Gateway는 발견될 수 있음
권장 사항안전한 배포를 문서화하고 탐색 엔드포인트에 속도 제한 추가

T-RECON-002: 채널 통합 프로빙

속성
ATLAS IDAML.T0006 - 능동 스캐닝
Description공격자가 AI 관리 계정을 식별하기 위해 메시징 채널을 탐색함
Attack Vector테스트 메시지 전송, 응답 패턴 관찰
Affected Components모든 채널 연동
Current Mitigations특정 대응책 없음
Residual Risk낮음 - 발견만으로 얻는 가치가 제한적
Recommendations응답 타이밍 무작위화 고려

3.2 초기 접근 (AML.TA0004)

T-ACCESS-001: 페어링 코드 가로채기

속성
ATLAS IDAML.T0040 - AI 모델 추론 API 접근
Description공격자가 페어링 유예 기간(DM 채널 페어링은 1시간, Node 페어링은 5분) 동안 페어링 코드를 가로챔
Attack Vector어깨너머 훔쳐보기, 네트워크 스니핑, 사회공학
Affected Components기기 페어링 시스템
Current Mitigations1시간 만료(DM 페어링) / 5분 만료(Node 페어링), 기존 채널을 통해 코드 전송
Residual Risk중간 - 유예 기간이 악용될 수 있음
Recommendations유예 기간 단축, 확인 단계 추가

T-ACCESS-002: AllowFrom 스푸핑

속성
ATLAS IDAML.T0040 - AI 모델 추론 API 접근
Description공격자가 채널에서 허용된 발신자 신원을 스푸핑함
Attack Vector채널에 따라 다름 - 전화번호 스푸핑, 사용자 이름 사칭
Affected Components채널별 AllowFrom 검증
Current Mitigations채널별 신원 확인
Residual Risk중간 - 일부 채널은 스푸핑에 취약함
Recommendations채널별 위험 문서화, 가능한 경우 암호학적 검증 추가

T-ACCESS-003: 토큰 탈취

속성
ATLAS IDAML.T0040 - AI 모델 추론 API 접근
Description공격자가 구성 파일에서 인증 토큰을 훔침
Attack Vector악성코드, 무단 기기 접근, 구성 백업 노출
Affected Components~/.openclaw/credentials/, 구성 저장소
Current Mitigations파일 권한
Residual Risk높음 - 토큰이 평문으로 저장됨
Recommendations저장 시 토큰 암호화 구현, 토큰 순환 추가

3.3 실행 (AML.TA0005)

T-EXEC-001: 직접 프롬프트 인젝션

속성
ATLAS IDAML.T0051.000 - LLM 프롬프트 인젝션: 직접
Description공격자가 에이전트 동작을 조작하기 위해 조작된 프롬프트를 보냄
Attack Vector적대적 지시가 포함된 채널 메시지
Affected Components에이전트 LLM, 모든 입력 표면
Current Mitigations패턴 감지, 외부 콘텐츠 래핑
Residual Risk치명적 - 감지만 수행되고 차단은 없음; 정교한 공격은 우회함
Recommendations다층 방어, 출력 검증, 민감한 작업에 대한 사용자 확인 구현

T-EXEC-002: 간접 프롬프트 인젝션

속성
ATLAS IDAML.T0051.001 - LLM 프롬프트 인젝션: 간접
Description공격자가 가져온 콘텐츠에 악성 지시를 삽입함
Attack Vector악성 URL, 오염된 이메일, 침해된 Webhook
Affected Componentsweb_fetch, 이메일 수집, 외부 데이터 소스
Current MitigationsXML 태그와 보안 고지로 콘텐츠 래핑
Residual Risk높음 - LLM이 래퍼 지시를 무시할 수 있음
Recommendations콘텐츠 정제, 별도 실행 컨텍스트 구현

T-EXEC-003: 도구 인수 인젝션

속성
ATLAS IDAML.T0051.000 - LLM 프롬프트 인젝션: 직접
Description공격자가 프롬프트 인젝션을 통해 도구 인수를 조작함
Attack Vector도구 매개변수 값에 영향을 주는 조작된 프롬프트
Affected Components모든 도구 호출
Current Mitigations위험한 명령에 대한 Exec 승인
Residual Risk높음 - 사용자 판단에 의존함
Recommendations인수 검증, 매개변수화된 도구 호출 구현

T-EXEC-004: Exec 승인 우회

속성
ATLAS IDAML.T0043 - 적대적 데이터 제작
Description공격자가 승인 허용 목록을 우회하는 명령을 제작함
Attack Vector명령 난독화, 별칭 악용, 경로 조작
Affected Componentsexec-approvals.ts, 명령 허용 목록
Current Mitigations허용 목록 + ask 모드
Residual Risk높음 - 명령 정규화 없음
Recommendations명령 정규화 구현, 차단 목록 확장

3.4 지속성 (AML.TA0006)

T-PERSIST-001: 악성 Skill 설치

속성
ATLAS IDAML.T0010.001 - 공급망 침해: AI 소프트웨어
Description공격자가 ClawHub에 악성 Skill을 게시함
Attack Vector계정 생성, 숨겨진 악성 코드가 포함된 Skill 게시
Affected ComponentsClawHub, Skill 로딩, 에이전트 실행
Current MitigationsGitHub 계정 연령 확인, 패턴 기반 조정 플래그
Residual Risk치명적 - 샌드박싱 없음, 검토 제한적
RecommendationsVirusTotal 연동(진행 중), Skill 샌드박싱, 커뮤니티 검토

T-PERSIST-002: Skill 업데이트 오염

속성
ATLAS IDAML.T0010.001 - 공급망 침해: AI 소프트웨어
Description공격자가 인기 Skill을 침해하고 악성 업데이트를 푸시함
Attack Vector계정 침해, Skill 소유자에 대한 사회공학
Affected ComponentsClawHub 버전 관리, 자동 업데이트 흐름
Current Mitigations버전 지문
Residual Risk높음 - 자동 업데이트가 악성 버전을 가져올 수 있음
Recommendations업데이트 서명, 롤백 기능, 버전 고정 구현

T-PERSIST-003: 에이전트 구성 변조

속성
ATLAS IDAML.T0010.002 - 공급망 침해: 데이터
Description공격자가 접근을 지속하기 위해 에이전트 구성을 수정함
Attack Vector구성 파일 수정, 설정 인젝션
Affected Components에이전트 구성, 도구 정책
Current Mitigations파일 권한
Residual Risk중간 - 로컬 접근 필요
Recommendations구성 무결성 검증, 구성 변경에 대한 감사 로깅

3.5 방어 회피 (AML.TA0007)

T-EVADE-001: 조정 패턴 우회

속성
ATLAS IDAML.T0043 - 적대적 데이터 제작
Description공격자가 조정 패턴을 회피하도록 Skill 콘텐츠를 제작함
Attack Vector유니코드 동형문자, 인코딩 기법, 동적 로딩
Affected ComponentsClawHub moderation.ts
Current Mitigations패턴 기반 FLAG_RULES
Residual Risk높음 - 단순 정규식은 쉽게 우회됨
Recommendations동작 분석(VirusTotal Code Insight), AST 기반 감지 추가

T-EVADE-002: 콘텐츠 래퍼 이탈

속성
ATLAS IDAML.T0043 - 적대적 데이터 제작
설명공격자가 XML 래퍼 컨텍스트를 벗어나는 콘텐츠를 제작함
공격 벡터태그 조작, 컨텍스트 혼동, 지시문 재정의
영향받는 구성 요소외부 콘텐츠 래핑
현재 완화책XML 태그 + 보안 고지
잔여 위험중간 - 새로운 우회 기법이 정기적으로 발견됨
권장 사항여러 래퍼 계층, 출력 측 검증

3.6 발견 (AML.TA0008)

T-DISC-001: 도구 열거

속성
ATLAS IDAML.T0040 - AI 모델 추론 API 접근
설명공격자가 프롬프트를 통해 사용 가능한 도구를 열거함
공격 벡터”어떤 도구를 가지고 있나요?” 스타일의 질의
영향받는 구성 요소에이전트 도구 레지스트리
현재 완화책특정 없음
잔여 위험낮음 - 도구는 일반적으로 문서화되어 있음
권장 사항도구 가시성 제어 고려

T-DISC-002: 세션 데이터 추출

속성
ATLAS IDAML.T0040 - AI 모델 추론 API 접근
설명공격자가 세션 컨텍스트에서 민감한 데이터를 추출함
공격 벡터”우리가 무엇을 논의했나요?” 질의, 컨텍스트 탐색
영향받는 구성 요소세션 기록, 컨텍스트 창
현재 완화책발신자별 세션 격리
잔여 위험중간 - 세션 내 데이터에 접근 가능
권장 사항컨텍스트 내 민감한 데이터 삭제 구현

3.7 수집 및 유출 (AML.TA0009, AML.TA0010)

T-EXFIL-001: web_fetch를 통한 데이터 절도

속성
ATLAS IDAML.T0009 - 수집
설명공격자가 에이전트에게 외부 URL로 보내도록 지시하여 데이터를 유출함
공격 벡터에이전트가 공격자 서버로 데이터를 POST하게 하는 프롬프트 인젝션
영향받는 구성 요소web_fetch 도구
현재 완화책내부 네트워크에 대한 SSRF 차단
잔여 위험높음 - 외부 URL 허용
권장 사항URL 허용 목록, 데이터 분류 인식 구현

T-EXFIL-002: 무단 메시지 전송

속성
ATLAS IDAML.T0009 - 수집
설명공격자가 에이전트가 민감한 데이터를 포함한 메시지를 보내게 함
공격 벡터에이전트가 공격자에게 메시지를 보내게 하는 프롬프트 인젝션
영향받는 구성 요소메시지 도구, 채널 통합
현재 완화책아웃바운드 메시징 게이팅
잔여 위험중간 - 게이팅이 우회될 수 있음
권장 사항새 수신자에 대한 명시적 확인 요구

T-EXFIL-003: 자격 증명 수집

속성
ATLAS IDAML.T0009 - 수집
설명악성 skill이 에이전트 컨텍스트에서 자격 증명을 수집함
공격 벡터Skill 코드가 환경 변수, 구성 파일을 읽음
영향받는 구성 요소Skill 실행 환경
현재 완화책Skills에 특화된 것 없음
잔여 위험치명적 - Skills가 에이전트 권한으로 실행됨
권장 사항Skill 샌드박싱, 자격 증명 격리

3.8 영향 (AML.TA0011)

T-IMPACT-001: 무단 명령 실행

속성
ATLAS IDAML.T0031 - AI 모델 무결성 약화
설명공격자가 사용자 시스템에서 임의 명령을 실행함
공격 벡터exec 승인 우회와 결합된 프롬프트 인젝션
영향받는 구성 요소Bash 도구, 명령 실행
현재 완화책Exec 승인, Docker 샌드박스 옵션
잔여 위험치명적 - 샌드박스 없는 호스트 실행
권장 사항기본값을 샌드박스로 설정, 승인 UX 개선

T-IMPACT-002: 리소스 고갈 (DoS)

속성
ATLAS IDAML.T0031 - AI 모델 무결성 약화
설명공격자가 API 크레딧 또는 컴퓨팅 리소스를 고갈시킴
공격 벡터자동화된 메시지 플러딩, 비용이 큰 도구 호출
영향받는 구성 요소Gateway, 에이전트 세션, API 제공자
현재 완화책없음
잔여 위험높음 - 속도 제한 없음
권장 사항발신자별 속도 제한, 비용 예산 구현

T-IMPACT-003: 평판 손상

속성
ATLAS IDAML.T0031 - AI 모델 무결성 약화
설명공격자가 에이전트가 유해하거나 공격적인 콘텐츠를 보내게 함
공격 벡터부적절한 응답을 유발하는 프롬프트 인젝션
영향받는 구성 요소출력 생성, 채널 메시징
현재 완화책LLM 제공자 콘텐츠 정책
잔여 위험중간 - 제공자 필터가 불완전함
권장 사항출력 필터링 계층, 사용자 제어

4. ClawHub 공급망 분석

4.1 현재 보안 제어

제어구현효과성
GitHub 계정 기간requireGitHubAccountAge()중간 - 신규 공격자의 진입 장벽을 높임
경로 정리sanitizePath()높음 - 경로 순회 방지
파일 유형 검증isTextFile()중간 - 텍스트 파일만 허용하지만 여전히 악성일 수 있음
크기 제한총 50MB 번들높음 - 리소스 고갈 방지
필수 SKILL.md필수 readme낮은 보안 가치 - 정보 제공용일 뿐
패턴 모더레이션moderation.ts의 FLAG_RULES낮음 - 쉽게 우회 가능
모더레이션 상태moderationStatus 필드중간 - 수동 검토 가능

4.2 모더레이션 플래그 패턴

moderation.ts의 현재 패턴: 
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
제한 사항:
  • slug, displayName, summary, frontmatter, metadata, 파일 경로만 검사함
  • 실제 Skill 코드 콘텐츠를 분석하지 않음
  • 단순 정규식은 난독화로 쉽게 우회 가능
  • 행동 분석 없음

4.3 계획된 개선 사항

개선 사항상태영향
VirusTotal 통합진행 중높음 - Code Insight 행동 분석
커뮤니티 신고부분적 (skillReports 테이블 존재)중간
감사 로깅부분적 (auditLogs 테이블 존재)중간
배지 시스템구현됨중간 - highlighted, official, deprecated, redactionApproved

5. 위험 매트릭스

5.1 가능성 대비 영향

위협 ID가능성영향위험 수준우선순위
T-EXEC-001높음치명적치명적P0
T-PERSIST-001높음치명적치명적P0
T-EXFIL-003중간치명적치명적P0
T-IMPACT-001중간치명적높음P1
T-EXEC-002높음높음높음P1
T-EXEC-004중간높음높음P1
T-ACCESS-003중간높음높음P1
T-EXFIL-001중간높음높음P1
T-IMPACT-002높음중간높음P1
T-EVADE-001높음중간중간P2
T-ACCESS-001낮음높음중간P2
T-ACCESS-002낮음높음중간P2
T-PERSIST-002낮음높음중간P2

5.2 중요 경로 공격 체인

공격 체인 1: Skill 기반 데이터 절도 
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(악성 skill 게시) → (모더레이션 회피) → (자격 증명 수집)
공격 체인 2: 프롬프트 인젝션에서 RCE로 
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(프롬프트 주입) → (exec 승인 우회) → (명령 실행)
공격 체인 3: 가져온 콘텐츠를 통한 간접 인젝션 
T-EXEC-002 → T-EXFIL-001 → 외부 유출
(URL 콘텐츠 오염) → (에이전트가 가져와 지시를 따름) → (공격자에게 데이터 전송)

6. 권장 사항 요약

6.1 즉시 (P0)

ID권장 사항해결 대상
R-001VirusTotal 통합 완료T-PERSIST-001, T-EVADE-001
R-002Skill 샌드박싱 구현T-PERSIST-001, T-EXFIL-003
R-003민감한 작업에 대한 출력 검증 추가T-EXEC-001, T-EXEC-002

6.2 단기(P1)

ID권장 사항해결 대상
R-004속도 제한 구현T-IMPACT-002
R-005저장 시 토큰 암호화 추가T-ACCESS-003
R-006exec 승인 UX 및 검증 개선T-EXEC-004
R-007web_fetch에 대한 URL 허용 목록 구현T-EXFIL-001

6.3 중기(P2)

ID권장 사항해결 대상
R-008가능한 경우 암호학적 채널 검증 추가T-ACCESS-002
R-009설정 무결성 검증 구현T-PERSIST-003
R-010업데이트 서명 및 버전 고정 추가T-PERSIST-002

7. 부록

7.1 ATLAS 기법 매핑

ATLAS ID기법 이름OpenClaw 위협
AML.T0006능동 스캔T-RECON-001, T-RECON-002
AML.T0009수집T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001공급망: AI 소프트웨어T-PERSIST-001, T-PERSIST-002
AML.T0010.002공급망: 데이터T-PERSIST-003
AML.T0031AI 모델 무결성 약화T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040AI 모델 추론 API 접근T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043적대적 데이터 제작T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000LLM 프롬프트 인젝션: 직접T-EXEC-001, T-EXEC-003
AML.T0051.001LLM 프롬프트 인젝션: 간접T-EXEC-002

7.2 주요 보안 파일

경로목적위험 수준
src/infra/exec-approvals.ts명령 승인 로직심각
src/gateway/auth.tsGateway 인증심각
src/infra/net/ssrf.tsSSRF 보호심각
src/security/external-content.ts프롬프트 인젝션 완화심각
src/agents/sandbox/tool-policy.ts도구 정책 적용심각
src/routing/resolve-route.ts세션 격리중간

7.3 용어집

용어정의
ATLASAI 시스템을 위한 MITRE의 적대적 위협 환경
ClawHubOpenClaw의 Skills 마켓플레이스
GatewayOpenClaw의 메시지 라우팅 및 인증 계층
MCPModel Context Protocol - 도구 제공자 인터페이스
프롬프트 인젝션악성 지시가 입력에 삽입되는 공격
SkillOpenClaw 에이전트를 위한 다운로드 가능한 확장 기능
SSRF서버 측 요청 위조
이 위협 모델은 지속적으로 갱신되는 문서입니다. 보안 문제는 security@openclaw.ai로 보고하세요

관련 항목