OpenClaw 위협 모델 v1.0
MITRE ATLAS 프레임워크
버전: 1.0-draft 최종 업데이트: 2026-02-04 방법론: MITRE ATLAS + 데이터 흐름 다이어그램 프레임워크: MITRE ATLAS (AI 시스템을 위한 적대적 위협 환경)프레임워크 출처 표기
이 위협 모델은 AI/ML 시스템에 대한 적대적 위협을 문서화하기 위한 업계 표준 프레임워크인 MITRE ATLAS를 기반으로 작성되었습니다. ATLAS는 AI 보안 커뮤니티와 협력하여 MITRE가 유지 관리합니다. 주요 ATLAS 리소스:이 위협 모델에 기여하기
이 문서는 OpenClaw 커뮤니티가 유지 관리하는 살아있는 문서입니다. 기여 지침은 CONTRIBUTING-THREAT-MODEL.md를 참조하세요:- 새로운 위협 보고
- 기존 위협 업데이트
- 공격 체인 제안
- 완화책 제안
1. 소개
1.1 목적
이 위협 모델은 AI/ML 시스템을 위해 특별히 설계된 MITRE ATLAS 프레임워크를 사용하여 OpenClaw AI 에이전트 플랫폼과 ClawHub Skills 마켓플레이스에 대한 적대적 위협을 문서화합니다.1.2 범위
| 구성 요소 | 포함 여부 | 참고 |
|---|---|---|
| OpenClaw 에이전트 런타임 | 예 | 코어 에이전트 실행, 도구 호출, 세션 |
| Gateway | 예 | 인증, 라우팅, 채널 통합 |
| 채널 통합 | 예 | WhatsApp, Telegram, Discord, Signal, Slack 등 |
| ClawHub 마켓플레이스 | 예 | Skill 게시, 검토, 배포 |
| MCP 서버 | 예 | 외부 도구 공급자 |
| 사용자 디바이스 | 부분 포함 | 모바일 앱, 데스크톱 클라이언트 |
1.3 범위 제외
이 위협 모델에서 명시적으로 범위에서 제외되는 항목은 없습니다.2. 시스템 아키텍처
2.1 신뢰 경계
2.2 데이터 흐름
| 흐름 | 출발지 | 목적지 | 데이터 | 보호 수단 |
|---|---|---|---|---|
| F1 | 채널 | Gateway | 사용자 메시지 | TLS, AllowFrom |
| F2 | Gateway | 에이전트 | 라우팅된 메시지 | 세션 격리 |
| F3 | 에이전트 | 도구 | 도구 호출 | 정책 적용 |
| F4 | 에이전트 | 외부 | web_fetch 요청 | SSRF 차단 |
| F5 | ClawHub | 에이전트 | Skill 코드 | 검토, 스캔 |
| F6 | 에이전트 | 채널 | 응답 | 출력 필터링 |
3. ATLAS 전술별 위협 분석
3.1 정찰 (AML.TA0002)
T-RECON-001: 에이전트 엔드포인트 탐지
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0006 - 능동 스캐닝 |
| 설명 | 공격자가 노출된 OpenClaw gateway 엔드포인트를 스캔함 |
| 공격 벡터 | 네트워크 스캐닝, shodan 쿼리, DNS 열거 |
| 영향받는 구성 요소 | Gateway, 노출된 API 엔드포인트 |
| 현재 완화책 | Tailscale 인증 옵션, 기본 loopback 바인딩 |
| 잔여 위험 | 중간 - 공개 Gateway는 탐지 가능 |
| 권장 사항 | 보안 배포 문서화, 탐지 엔드포인트에 rate limiting 추가 |
T-RECON-002: 채널 통합 프로빙
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0006 - 능동 스캐닝 |
| 설명 | 공격자가 메시징 채널을 탐지해 AI가 관리하는 계정을 식별함 |
| 공격 벡터 | 테스트 메시지 전송, 응답 패턴 관찰 |
| 영향받는 구성 요소 | 모든 채널 통합 |
| 현재 완화책 | 특별히 없음 |
| 잔여 위험 | 낮음 - 단순 탐지만으로 얻는 가치가 제한적 |
| 권장 사항 | 응답 타이밍 무작위화 고려 |
3.2 초기 액세스 (AML.TA0004)
T-ACCESS-001: 페어링 코드 가로채기
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0040 - AI 모델 추론 API 액세스 |
| 설명 | 공격자가 페어링 유예 기간 동안 페어링 코드를 가로챔(DM 채널 페어링 1시간, 노드 페어링 5분) |
| 공격 벡터 | 어깨너머 훔쳐보기, 네트워크 스니핑, 사회공학 |
| 영향받는 구성 요소 | 디바이스 페어링 시스템 |
| 현재 완화책 | 1시간 만료(DM 페어링) / 5분 만료(노드 페어링), 기존 채널을 통해 코드 전송 |
| 잔여 위험 | 중간 - 유예 기간 악용 가능 |
| 권장 사항 | 유예 기간 단축, 확인 단계 추가 |
T-ACCESS-002: AllowFrom 스푸핑
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0040 - AI 모델 추론 API 액세스 |
| 설명 | 공격자가 채널에서 허용된 발신자 신원을 스푸핑함 |
| 공격 벡터 | 채널에 따라 다름 - 전화번호 스푸핑, 사용자명 사칭 |
| 영향받는 구성 요소 | 채널별 AllowFrom 검증 |
| 현재 완화책 | 채널별 신원 검증 |
| 잔여 위험 | 중간 - 일부 채널은 스푸핑에 취약 |
| 권장 사항 | 채널별 위험 문서화, 가능한 경우 암호학적 검증 추가 |
T-ACCESS-003: 토큰 탈취
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0040 - AI 모델 추론 API 액세스 |
| 설명 | 공격자가 구성 파일에서 인증 토큰을 훔침 |
| 공격 벡터 | 악성코드, 무단 디바이스 접근, 구성 백업 노출 |
| 영향받는 구성 요소 | ~/.openclaw/credentials/, 구성 저장소 |
| 현재 완화책 | 파일 권한 |
| 잔여 위험 | 높음 - 토큰이 평문으로 저장됨 |
| 권장 사항 | 저장 시 토큰 암호화 구현, 토큰 순환 추가 |
3.3 실행 (AML.TA0005)
T-EXEC-001: 직접 프롬프트 인젝션
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0051.000 - LLM 프롬프트 인젝션: 직접 |
| 설명 | 공격자가 제작한 프롬프트를 보내 에이전트 동작을 조작함 |
| 공격 벡터 | 적대적 지침이 포함된 채널 메시지 |
| 영향받는 구성 요소 | 에이전트 LLM, 모든 입력 표면 |
| 현재 완화책 | 패턴 탐지, 외부 콘텐츠 래핑 |
| 잔여 위험 | 치명적 - 탐지만 있고 차단은 없음, 정교한 공격은 우회 가능 |
| 권장 사항 | 다계층 방어, 출력 검증, 민감한 작업에 대한 사용자 확인 구현 |
T-EXEC-002: 간접 프롬프트 인젝션
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0051.001 - LLM 프롬프트 인젝션: 간접 |
| 설명 | 공격자가 가져온 콘텐츠에 악성 지침을 삽입함 |
| 공격 벡터 | 악성 URL, 오염된 이메일, 손상된 웹훅 |
| 영향받는 구성 요소 | web_fetch, 이메일 수집, 외부 데이터 소스 |
| 현재 완화책 | XML 태그 및 보안 공지를 통한 콘텐츠 래핑 |
| 잔여 위험 | 높음 - LLM이 래퍼 지침을 무시할 수 있음 |
| 권장 사항 | 콘텐츠 정제, 분리된 실행 컨텍스트 구현 |
T-EXEC-003: 도구 인자 인젝션
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0051.000 - LLM 프롬프트 인젝션: 직접 |
| 설명 | 공격자가 프롬프트 인젝션을 통해 도구 인자를 조작함 |
| 공격 벡터 | 도구 매개변수 값에 영향을 주는 제작된 프롬프트 |
| 영향받는 구성 요소 | 모든 도구 호출 |
| 현재 완화책 | 위험한 명령에 대한 exec 승인 |
| 잔여 위험 | 높음 - 사용자 판단에 의존 |
| 권장 사항 | 인자 검증, 매개변수화된 도구 호출 구현 |
T-EXEC-004: Exec 승인 우회
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0043 - 적대적 데이터 제작 |
| 설명 | 공격자가 승인 허용 목록을 우회하는 명령을 제작함 |
| 공격 벡터 | 명령 난독화, 별칭 악용, 경로 조작 |
| 영향받는 구성 요소 | exec-approvals.ts, 명령 허용 목록 |
| 현재 완화책 | 허용 목록 + ask 모드 |
| 잔여 위험 | 높음 - 명령 정제가 없음 |
| 권장 사항 | 명령 정규화 구현, 차단 목록 확장 |
3.4 지속성 (AML.TA0006)
T-PERSIST-001: 악성 Skill 설치
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0010.001 - 공급망 침해: AI 소프트웨어 |
| 설명 | 공격자가 ClawHub에 악성 Skill을 게시함 |
| 공격 벡터 | 계정 생성, 숨겨진 악성 코드가 포함된 Skill 게시 |
| 영향받는 구성 요소 | ClawHub, Skill 로딩, 에이전트 실행 |
| 현재 완화책 | GitHub 계정 연령 검증, 패턴 기반 검토 플래그 |
| 잔여 위험 | 치명적 - 샌드박싱 없음, 검토 제한적 |
| 권장 사항 | VirusTotal 통합(진행 중), Skill 샌드박싱, 커뮤니티 검토 |
T-PERSIST-002: Skill 업데이트 오염
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0010.001 - 공급망 침해: AI 소프트웨어 |
| 설명 | 공격자가 인기 Skill을 손상시켜 악성 업데이트를 푸시함 |
| 공격 벡터 | 계정 탈취, Skill 소유자에 대한 사회공학 |
| 영향받는 구성 요소 | ClawHub 버전 관리, 자동 업데이트 흐름 |
| 현재 완화책 | 버전 지문 |
| 잔여 위험 | 높음 - 자동 업데이트가 악성 버전을 가져올 수 있음 |
| 권장 사항 | 업데이트 서명, 롤백 기능, 버전 고정 구현 |
T-PERSIST-003: 에이전트 구성 변조
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0010.002 - 공급망 침해: 데이터 |
| 설명 | 공격자가 액세스를 지속하기 위해 에이전트 구성을 수정함 |
| 공격 벡터 | 구성 파일 수정, 설정 인젝션 |
| 영향받는 구성 요소 | 에이전트 구성, 도구 정책 |
| 현재 완화책 | 파일 권한 |
| 잔여 위험 | 중간 - 로컬 액세스 필요 |
| 권장 사항 | 구성 무결성 검증, 구성 변경에 대한 감사 로그 |
3.5 방어 회피 (AML.TA0007)
T-EVADE-001: 검토 패턴 우회
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0043 - 적대적 데이터 제작 |
| 설명 | 공격자가 검토 패턴을 우회하도록 Skill 콘텐츠를 제작함 |
| 공격 벡터 | 유니코드 동형 문자, 인코딩 속임수, 동적 로딩 |
| 영향받는 구성 요소 | ClawHub moderation.ts |
| 현재 완화책 | 패턴 기반 FLAG_RULES |
| 잔여 위험 | 높음 - 단순 regex는 쉽게 우회됨 |
| 권장 사항 | 행동 분석(VirusTotal Code Insight), AST 기반 탐지 추가 |
T-EVADE-002: 콘텐츠 래퍼 탈출
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0043 - 적대적 데이터 제작 |
| 설명 | 공격자가 XML 래퍼 컨텍스트를 탈출하는 콘텐츠를 제작함 |
| 공격 벡터 | 태그 조작, 컨텍스트 혼동, 지침 재정의 |
| 영향받는 구성 요소 | 외부 콘텐츠 래핑 |
| 현재 완화책 | XML 태그 + 보안 공지 |
| 잔여 위험 | 중간 - 새로운 탈출 기법이 정기적으로 발견됨 |
| 권장 사항 | 다중 래퍼 계층, 출력 측 검증 |
3.6 탐색 (AML.TA0008)
T-DISC-001: 도구 열거
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0040 - AI 모델 추론 API 액세스 |
| 설명 | 공격자가 프롬프트를 통해 사용 가능한 도구를 열거함 |
| 공격 벡터 | ”무슨 도구가 있나요?” 스타일 질의 |
| 영향받는 구성 요소 | 에이전트 도구 레지스트리 |
| 현재 완화책 | 특별히 없음 |
| 잔여 위험 | 낮음 - 도구는 일반적으로 문서화되어 있음 |
| 권장 사항 | 도구 가시성 제어 고려 |
T-DISC-002: 세션 데이터 추출
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0040 - AI 모델 추론 API 액세스 |
| 설명 | 공격자가 세션 컨텍스트에서 민감한 데이터를 추출함 |
| 공격 벡터 | ”우리가 무엇을 논의했나요?” 질의, 컨텍스트 프로빙 |
| 영향받는 구성 요소 | 세션 전사, 컨텍스트 창 |
| 현재 완화책 | 발신자별 세션 격리 |
| 잔여 위험 | 중간 - 세션 내 데이터는 접근 가능 |
| 권장 사항 | 컨텍스트 내 민감 데이터 마스킹 구현 |
3.7 수집 및 유출 (AML.TA0009, AML.TA0010)
T-EXFIL-001: web_fetch를 통한 데이터 탈취
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0009 - 수집 |
| 설명 | 공격자가 에이전트에 외부 URL로 데이터를 보내도록 지시해 데이터를 유출함 |
| 공격 벡터 | 에이전트가 공격자 서버로 데이터를 POST하도록 유도하는 프롬프트 인젝션 |
| 영향받는 구성 요소 | web_fetch 도구 |
| 현재 완화책 | 내부 네트워크에 대한 SSRF 차단 |
| 잔여 위험 | 높음 - 외부 URL은 허용됨 |
| 권장 사항 | URL 허용 목록, 데이터 분류 인식 구현 |
T-EXFIL-002: 무단 메시지 전송
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0009 - 수집 |
| 설명 | 공격자가 에이전트가 민감한 데이터가 포함된 메시지를 보내도록 유도함 |
| 공격 벡터 | 에이전트가 공격자에게 메시지를 보내도록 유도하는 프롬프트 인젝션 |
| 영향받는 구성 요소 | 메시지 도구, 채널 통합 |
| 현재 완화책 | 아웃바운드 메시징 게이팅 |
| 잔여 위험 | 중간 - 게이팅이 우회될 수 있음 |
| 권장 사항 | 새 수신자에 대해 명시적 확인 요구 |
T-EXFIL-003: 자격 증명 수집
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0009 - 수집 |
| 설명 | 악성 Skill이 에이전트 컨텍스트에서 자격 증명을 수집함 |
| 공격 벡터 | Skill 코드가 환경 변수와 구성 파일을 읽음 |
| 영향받는 구성 요소 | Skill 실행 환경 |
| 현재 완화책 | Skill 전용 완화책 없음 |
| 잔여 위험 | 치명적 - Skill은 에이전트 권한으로 실행됨 |
| 권장 사항 | Skill 샌드박싱, 자격 증명 격리 |
3.8 영향 (AML.TA0011)
T-IMPACT-001: 무단 명령 실행
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0031 - AI 모델 무결성 약화 |
| 설명 | 공격자가 사용자 시스템에서 임의 명령을 실행함 |
| 공격 벡터 | 프롬프트 인젝션과 exec 승인 우회 결합 |
| 영향받는 구성 요소 | Bash 도구, 명령 실행 |
| 현재 완화책 | Exec 승인, Docker 샌드박스 옵션 |
| 잔여 위험 | 치명적 - 샌드박스 없는 호스트 실행 |
| 권장 사항 | 샌드박스를 기본값으로, 승인 UX 개선 |
T-IMPACT-002: 리소스 고갈 (DoS)
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0031 - AI 모델 무결성 약화 |
| 설명 | 공격자가 API 크레딧 또는 컴퓨팅 리소스를 고갈시킴 |
| 공격 벡터 | 자동 메시지 플러딩, 비용이 큰 도구 호출 |
| 영향받는 구성 요소 | Gateway, 에이전트 세션, API 공급자 |
| 현재 완화책 | 없음 |
| 잔여 위험 | 높음 - rate limiting 없음 |
| 권장 사항 | 발신자별 rate limiting, 비용 예산 구현 |
T-IMPACT-003: 평판 손상
| 속성 | 값 |
|---|---|
| ATLAS ID | AML.T0031 - AI 모델 무결성 약화 |
| 설명 | 공격자가 에이전트가 해롭거나 공격적인 콘텐츠를 보내도록 유도함 |
| 공격 벡터 | 부적절한 응답을 유도하는 프롬프트 인젝션 |
| 영향받는 구성 요소 | 출력 생성, 채널 메시징 |
| 현재 완화책 | LLM 공급자 콘텐츠 정책 |
| 잔여 위험 | 중간 - 공급자 필터는 완벽하지 않음 |
| 권장 사항 | 출력 필터링 계층, 사용자 제어 |
4. ClawHub 공급망 분석
4.1 현재 보안 제어
| 제어 | 구현 | 효과 |
|---|---|---|
| GitHub 계정 연령 | requireGitHubAccountAge() | 중간 - 신규 공격자의 진입 장벽을 높임 |
| 경로 정제 | sanitizePath() | 높음 - 경로 순회를 방지 |
| 파일 형식 검증 | isTextFile() | 중간 - 텍스트 파일만 허용하지만 여전히 악성일 수 있음 |
| 크기 제한 | 총 번들 50MB | 높음 - 리소스 고갈 방지 |
| 필수 SKILL.md | 필수 readme | 낮은 보안 가치 - 정보 제공용일 뿐 |
| 패턴 검토 | moderation.ts의 FLAG_RULES | 낮음 - 쉽게 우회 가능 |
| 검토 상태 | moderationStatus 필드 | 중간 - 수동 검토 가능 |
4.2 검토 플래그 패턴
moderation.ts의 현재 패턴:
- slug, displayName, summary, frontmatter, metadata, 파일 경로만 검사함
- 실제 Skill 코드 콘텐츠는 분석하지 않음
- 단순 regex는 난독화로 쉽게 우회 가능
- 행동 분석 없음
4.3 계획된 개선 사항
| 개선 사항 | 상태 | 영향 |
|---|---|---|
| VirusTotal 통합 | 진행 중 | 높음 - Code Insight 행동 분석 |
| 커뮤니티 신고 | 부분 구현 (skillReports 테이블 존재) | 중간 |
| 감사 로그 | 부분 구현 (auditLogs 테이블 존재) | 중간 |
| 배지 시스템 | 구현됨 | 중간 - highlighted, official, deprecated, redactionApproved |
5. 위험 매트릭스
5.1 가능성 대 영향
| 위협 ID | 가능성 | 영향 | 위험 수준 | 우선순위 |
|---|---|---|---|---|
| T-EXEC-001 | 높음 | 치명적 | 치명적 | P0 |
| T-PERSIST-001 | 높음 | 치명적 | 치명적 | P0 |
| T-EXFIL-003 | 중간 | 치명적 | 치명적 | P0 |
| T-IMPACT-001 | 중간 | 치명적 | 높음 | P1 |
| T-EXEC-002 | 높음 | 높음 | 높음 | P1 |
| T-EXEC-004 | 중간 | 높음 | 높음 | P1 |
| T-ACCESS-003 | 중간 | 높음 | 높음 | P1 |
| T-EXFIL-001 | 중간 | 높음 | 높음 | P1 |
| T-IMPACT-002 | 높음 | 중간 | 높음 | P1 |
| T-EVADE-001 | 높음 | 중간 | 중간 | P2 |
| T-ACCESS-001 | 낮음 | 높음 | 중간 | P2 |
| T-ACCESS-002 | 낮음 | 높음 | 중간 | P2 |
| T-PERSIST-002 | 낮음 | 높음 | 중간 | P2 |
5.2 치명적 경로 공격 체인
공격 체인 1: Skill 기반 데이터 탈취6. 권장 사항 요약
6.1 즉시 (P0)
| ID | 권장 사항 | 해결 대상 |
|---|---|---|
| R-001 | VirusTotal 통합 완료 | T-PERSIST-001, T-EVADE-001 |
| R-002 | Skill 샌드박싱 구현 | T-PERSIST-001, T-EXFIL-003 |
| R-003 | 민감한 작업에 대한 출력 검증 추가 | T-EXEC-001, T-EXEC-002 |
6.2 단기 (P1)
| ID | 권장 사항 | 해결 대상 |
|---|---|---|
| R-004 | rate limiting 구현 | T-IMPACT-002 |
| R-005 | 저장 시 토큰 암호화 추가 | T-ACCESS-003 |
| R-006 | exec 승인 UX 및 검증 개선 | T-EXEC-004 |
| R-007 | web_fetch에 대한 URL 허용 목록 구현 | T-EXFIL-001 |
6.3 중기 (P2)
| ID | 권장 사항 | 해결 대상 |
|---|---|---|
| R-008 | 가능한 경우 암호학적 채널 검증 추가 | T-ACCESS-002 |
| R-009 | 구성 무결성 검증 구현 | T-PERSIST-003 |
| R-010 | 업데이트 서명 및 버전 고정 추가 | T-PERSIST-002 |
7. 부록
7.1 ATLAS 기법 매핑
| ATLAS ID | 기법 이름 | OpenClaw 위협 |
|---|---|---|
| AML.T0006 | 능동 스캐닝 | T-RECON-001, T-RECON-002 |
| AML.T0009 | 수집 | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 |
| AML.T0010.001 | 공급망: AI 소프트웨어 | T-PERSIST-001, T-PERSIST-002 |
| AML.T0010.002 | 공급망: 데이터 | T-PERSIST-003 |
| AML.T0031 | AI 모델 무결성 약화 | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 |
| AML.T0040 | AI 모델 추론 API 액세스 | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043 | 적대적 데이터 제작 | T-EXEC-004, T-EVADE-001, T-EVADE-002 |
| AML.T0051.000 | LLM 프롬프트 인젝션: 직접 | T-EXEC-001, T-EXEC-003 |
| AML.T0051.001 | LLM 프롬프트 인젝션: 간접 | T-EXEC-002 |
7.2 주요 보안 파일
| 경로 | 목적 | 위험 수준 |
|---|---|---|
src/infra/exec-approvals.ts | 명령 승인 로직 | 치명적 |
src/gateway/auth.ts | Gateway 인증 | 치명적 |
src/infra/net/ssrf.ts | SSRF 보호 | 치명적 |
src/security/external-content.ts | 프롬프트 인젝션 완화 | 치명적 |
src/agents/sandbox/tool-policy.ts | 도구 정책 적용 | 치명적 |
src/routing/resolve-route.ts | 세션 격리 | 중간 |
7.3 용어집
| 용어 | 정의 |
|---|---|
| ATLAS | MITRE의 AI 시스템을 위한 적대적 위협 환경 |
| ClawHub | OpenClaw의 Skills 마켓플레이스 |
| Gateway | OpenClaw의 메시지 라우팅 및 인증 계층 |
| MCP | Model Context Protocol - 도구 공급자 인터페이스 |
| Prompt Injection | 악성 지침이 입력에 삽입되는 공격 |
| Skill | OpenClaw 에이전트를 위한 다운로드 가능한 확장 |
| SSRF | Server-Side Request Forgery |
이 위협 모델은 살아있는 문서입니다. 보안 문제는 security@openclaw.ai 로 신고해 주세요.