Przejdź do głównej treści

Model zagrożeń OpenClaw v1.0

Framework MITRE ATLAS

Wersja: 1.0-draft Ostatnia aktualizacja: 2026-02-04 Metodologia: MITRE ATLAS + diagramy przepływu danych Framework: MITRE ATLAS (Adversarial Threat Landscape for AI Systems)

Atrybucja frameworka

Ten model zagrożeń opiera się na MITRE ATLAS, standardowym w branży frameworku do dokumentowania przeciwnych zagrożeń dla systemów AI/ML. ATLAS jest utrzymywany przez MITRE we współpracy ze społecznością bezpieczeństwa AI. Kluczowe zasoby ATLAS:

Wkład do tego modelu zagrożeń

To żywy dokument utrzymywany przez społeczność OpenClaw. Zobacz CONTRIBUTING-THREAT-MODEL.md, aby poznać wytyczne dotyczące współtworzenia:
  • zgłaszania nowych zagrożeń
  • aktualizowania istniejących zagrożeń
  • proponowania łańcuchów ataku
  • sugerowania zabezpieczeń

1. Wprowadzenie

1.1 Cel

Ten model zagrożeń dokumentuje przeciwne zagrożenia dla platformy agentów AI OpenClaw i marketplace’u Skills ClawHub z użyciem frameworka MITRE ATLAS zaprojektowanego specjalnie dla systemów AI/ML.

1.2 Zakres

KomponentUwzględnionyUwagi
Runtime agenta OpenClawTakGłówne wykonywanie agenta, wywołania narzędzi, sesje
GatewayTakUwierzytelnianie, routing, integracja kanałów
Integracje kanałówTakWhatsApp, Telegram, Discord, Signal, Slack itd.
Marketplace ClawHubTakPublikowanie Skills, moderacja, dystrybucja
Serwery MCPTakZewnętrzni dostawcy narzędzi
Urządzenia użytkownikaCzęściowoAplikacje mobilne, klienci desktopowi

1.3 Poza zakresem

Nic nie jest jawnie wyłączone z zakresu tego modelu zagrożeń.

2. Architektura systemu

2.1 Granice zaufania

┌─────────────────────────────────────────────────────────────────┐
│                    STREFA NIEZAUFANA                             │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│              GRANICA ZAUFANIA 1: Dostęp kanałowy                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Parowanie urządzeń (1 h DM / 5 min okres łaski węzła) │   │
│  │  • Walidacja AllowFrom / AllowList                       │   │
│  │  • Uwierzytelnianie tokenem/hasłem/Tailscale            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│             GRANICA ZAUFANIA 2: Izolacja sesji                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   SESJE AGENTA                            │   │
│  │  • Klucz sesji = agent:channel:peer                      │   │
│  │  • Polityki narzędzi per agent                           │   │
│  │  • Logowanie transkryptów                                │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│            GRANICA ZAUFANIA 3: Wykonywanie narzędzi              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                 SANDBOX WYKONYWANIA                        │   │
│  │  • Sandbox Docker LUB host (exec-approvals)              │   │
│  │  • Zdalne wykonywanie Node                                │   │
│  │  • Ochrona SSRF (pinning DNS + blokowanie IP)             │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│            GRANICA ZAUFANIA 4: Treści zewnętrzne                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │          POBRANE URL / E-MAILE / WEBHOOKI                 │   │
│  │  • Opakowywanie treści zewnętrznych (tagi XML)            │   │
│  │  • Wstrzykiwanie powiadomień bezpieczeństwa               │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│          GRANICA ZAUFANIA 5: Łańcuch dostaw                     │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Publikowanie Skills (semver, wymagane SKILL.md)       │   │
│  │  • Flagi moderacji oparte na wzorcach                    │   │
│  │  • Skanowanie VirusTotal (wkrótce)                       │   │
│  │  • Weryfikacja wieku konta GitHub                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Przepływy danych

PrzepływŹródłoMiejsce doceloweDaneOchrona
F1KanałGatewayWiadomości użytkownikaTLS, AllowFrom
F2GatewayAgentRoutowane wiadomościIzolacja sesji
F3AgentNarzędziaWywołania narzędziEgzekwowanie polityk
F4AgentZewnętrzneżądania web_fetchBlokowanie SSRF
F5ClawHubAgentKod SkillsModeracja, skanowanie
F6AgentKanałOdpowiedziFiltrowanie wyjścia

3. Analiza zagrożeń według taktyki ATLAS

3.1 Rozpoznanie (AML.TA0002)

T-RECON-001: Wykrywanie endpointów agenta

AtrybutWartość
ATLAS IDAML.T0006 - Active Scanning
OpisAtakujący skanuje w poszukiwaniu wystawionych endpointów gateway OpenClaw
Wektor atakuSkanowanie sieci, zapytania do shodan, enumeracja DNS
Dotknięte komponentyGateway, wystawione endpointy API
Obecne zabezpieczeniaOpcja uwierzytelniania Tailscale, domyślne bindowanie do loopback
Ryzyko rezydualneŚrednie - Publiczne gatewaye są wykrywalne
RekomendacjeUdokumentować bezpieczne wdrożenie, dodać rate limiting na endpointach wykrywania

T-RECON-002: Sondowanie integracji kanałów

AtrybutWartość
ATLAS IDAML.T0006 - Active Scanning
OpisAtakujący sonduje kanały komunikacyjne, aby zidentyfikować konta zarządzane przez AI
Wektor atakuWysyłanie testowych wiadomości, obserwacja wzorców odpowiedzi
Dotknięte komponentyWszystkie integracje kanałów
Obecne zabezpieczeniaBrak specyficznych
Ryzyko rezydualneNiskie - Samo wykrycie ma ograniczoną wartość
RekomendacjeRozważyć randomizację czasu odpowiedzi

3.2 Dostęp początkowy (AML.TA0004)

T-ACCESS-001: Przechwycenie kodu parowania

AtrybutWartość
ATLAS IDAML.T0040 - AI Model Inference API Access
OpisAtakujący przechwytuje kod parowania w okresie łaski parowania (1 h dla parowania kanału DM, 5 min dla parowania węzła)
Wektor atakuPodglądanie przez ramię, sniffing sieci, inżynieria społeczna
Dotknięte komponentySystem parowania urządzeń
Obecne zabezpieczeniaWygaśnięcie po 1 h (parowanie DM) / 5 min (parowanie węzła), kody wysyłane istniejącym kanałem
Ryzyko rezydualneŚrednie - Możliwość wykorzystania okresu łaski
RekomendacjeSkrócić okres łaski, dodać krok potwierdzenia

T-ACCESS-002: Podszywanie się pod AllowFrom

AtrybutWartość
ATLAS IDAML.T0040 - AI Model Inference API Access
OpisAtakujący podszywa się pod dozwoloną tożsamość nadawcy w kanale
Wektor atakuZależy od kanału - spoofing numeru telefonu, podszywanie się pod nazwę użytkownika
Dotknięte komponentyWalidacja AllowFrom per kanał
Obecne zabezpieczeniaWeryfikacja tożsamości specyficzna dla kanału
Ryzyko rezydualneŚrednie - Niektóre kanały są podatne na spoofing
RekomendacjeUdokumentować ryzyka specyficzne dla kanałów, dodać weryfikację kryptograficzną tam, gdzie to możliwe

T-ACCESS-003: Kradzież tokenu

AtrybutWartość
ATLAS IDAML.T0040 - AI Model Inference API Access
OpisAtakujący kradnie tokeny uwierzytelniania z plików konfiguracyjnych
Wektor atakuMalware, nieautoryzowany dostęp do urządzenia, ujawnienie kopii zapasowej konfiguracji
Dotknięte komponenty~/.openclaw/credentials/, przechowywanie konfiguracji
Obecne zabezpieczeniaUprawnienia plików
Ryzyko rezydualneWysokie - Tokeny są przechowywane jawnym tekstem
RekomendacjeWdrożyć szyfrowanie tokenów w spoczynku, dodać rotację tokenów

3.3 Wykonanie (AML.TA0005)

T-EXEC-001: Bezpośredni prompt injection

AtrybutWartość
ATLAS IDAML.T0051.000 - LLM Prompt Injection: Direct
OpisAtakujący wysyła spreparowane prompty, aby manipulować zachowaniem agenta
Wektor atakuWiadomości w kanałach zawierające przeciwne instrukcje
Dotknięte komponentyLLM agenta, wszystkie powierzchnie wejściowe
Obecne zabezpieczeniaWykrywanie wzorców, opakowywanie treści zewnętrznych
Ryzyko rezydualneKrytyczne - Tylko wykrywanie, bez blokowania; zaawansowane ataki omijają zabezpieczenia
RekomendacjeWdrożyć obronę wielowarstwową, walidację wyjścia, potwierdzenie użytkownika dla działań wrażliwych

T-EXEC-002: Pośredni prompt injection

AtrybutWartość
ATLAS IDAML.T0051.001 - LLM Prompt Injection: Indirect
OpisAtakujący osadza złośliwe instrukcje w pobieranej treści
Wektor atakuZłośliwe URL, zatrute e-maile, przejęte webhooki
Dotknięte komponentyweb_fetch, ingest e-maili, zewnętrzne źródła danych
Obecne zabezpieczeniaOpakowywanie treści tagami XML i komunikatem bezpieczeństwa
Ryzyko rezydualneWysokie - LLM może zignorować instrukcje wrappera
RekomendacjeWdrożyć sanityzację treści, oddzielne konteksty wykonywania

T-EXEC-003: Wstrzyknięcie argumentów narzędzia

AtrybutWartość
ATLAS IDAML.T0051.000 - LLM Prompt Injection: Direct
OpisAtakujący manipuluje argumentami narzędzia przez prompt injection
Wektor atakuSpreparowane prompty wpływające na wartości parametrów narzędzia
Dotknięte komponentyWszystkie wywołania narzędzi
Obecne zabezpieczeniaExec approvals dla niebezpiecznych poleceń
Ryzyko rezydualneWysokie - Oparte na ocenie użytkownika
RekomendacjeWdrożyć walidację argumentów, parametryzowane wywołania narzędzi

T-EXEC-004: Ominięcie exec approval

AtrybutWartość
ATLAS IDAML.T0043 - Craft Adversarial Data
OpisAtakujący tworzy polecenia omijające allowlistę zatwierdzeń
Wektor atakuObfuskacja poleceń, nadużycie aliasów, manipulacja ścieżkami
Dotknięte komponentyexec-approvals.ts, allowlista poleceń
Obecne zabezpieczeniaAllowlista + tryb ask
Ryzyko rezydualneWysokie - Brak sanityzacji poleceń
RekomendacjeWdrożyć normalizację poleceń, rozszerzyć blocklistę

3.4 Trwałość (AML.TA0006)

T-PERSIST-001: Instalacja złośliwego Skill

AtrybutWartość
ATLAS IDAML.T0010.001 - Supply Chain Compromise: AI Software
OpisAtakujący publikuje złośliwy Skill w ClawHub
Wektor atakuUtworzenie konta, publikacja Skill z ukrytym złośliwym kodem
Dotknięte komponentyClawHub, ładowanie Skills, wykonywanie agenta
Obecne zabezpieczeniaWeryfikacja wieku konta GitHub, flagi moderacji oparte na wzorcach
Ryzyko rezydualneKrytyczne - Brak sandboxingu, ograniczony przegląd
RekomendacjeIntegracja z VirusTotal (w toku), sandboxing Skills, przegląd społecznościowy

T-PERSIST-002: Zatrucie aktualizacji Skill

AtrybutWartość
ATLAS IDAML.T0010.001 - Supply Chain Compromise: AI Software
OpisAtakujący przejmuje popularny Skill i wypycha złośliwą aktualizację
Wektor atakuPrzejęcie konta, inżynieria społeczna wobec właściciela Skill
Dotknięte komponentyWersjonowanie ClawHub, przepływy auto-update
Obecne zabezpieczeniaFingerprinting wersji
Ryzyko rezydualneWysokie - Auto-update może pobrać złośliwe wersje
RekomendacjeWdrożyć podpisywanie aktualizacji, możliwość rollbacku, pinning wersji

T-PERSIST-003: Manipulacja konfiguracją agenta

AtrybutWartość
ATLAS IDAML.T0010.002 - Supply Chain Compromise: Data
OpisAtakujący modyfikuje konfigurację agenta, aby utrzymać dostęp
Wektor atakuModyfikacja pliku konfiguracyjnego, wstrzykiwanie ustawień
Dotknięte komponentyKonfiguracja agenta, polityki narzędzi
Obecne zabezpieczeniaUprawnienia plików
Ryzyko rezydualneŚrednie - Wymaga lokalnego dostępu
RekomendacjeWeryfikacja integralności konfiguracji, logowanie audytowe zmian konfiguracji

3.5 Unikanie obrony (AML.TA0007)

T-EVADE-001: Ominięcie wzorców moderacji

AtrybutWartość
ATLAS IDAML.T0043 - Craft Adversarial Data
OpisAtakujący przygotowuje treść Skill tak, aby ominąć wzorce moderacji
Wektor atakuHomoglify Unicode, sztuczki kodowania, ładowanie dynamiczne
Dotknięte komponentyClawHub moderation.ts
Obecne zabezpieczeniaOparte na wzorcach FLAG_RULES
Ryzyko rezydualneWysokie - Proste regexy łatwo ominąć
RekomendacjeDodać analizę behawioralną (VirusTotal Code Insight), wykrywanie oparte na AST

T-EVADE-002: Ucieczka z wrappera treści

AtrybutWartość
ATLAS IDAML.T0043 - Craft Adversarial Data
OpisAtakujący tworzy treść, która wydostaje się z kontekstu wrappera XML
Wektor atakuManipulacja tagami, mylenie kontekstu, nadpisanie instrukcji
Dotknięte komponentyOpakowywanie treści zewnętrznych
Obecne zabezpieczeniaTagi XML + komunikat bezpieczeństwa
Ryzyko rezydualneŚrednie - Regularnie odkrywane są nowe metody ucieczki
RekomendacjeWiele warstw wrapperów, walidacja po stronie wyjścia

3.6 Odkrywanie (AML.TA0008)

T-DISC-001: Enumeracja narzędzi

AtrybutWartość
ATLAS IDAML.T0040 - AI Model Inference API Access
OpisAtakujący enumeruje dostępne narzędzia przez prompty
Wektor atakuZapytania typu „Jakie masz narzędzia?”
Dotknięte komponentyRejestr narzędzi agenta
Obecne zabezpieczeniaBrak specyficznych
Ryzyko rezydualneNiskie - Narzędzia są zwykle udokumentowane
RekomendacjeRozważyć kontrolę widoczności narzędzi

T-DISC-002: Ekstrakcja danych sesji

AtrybutWartość
ATLAS IDAML.T0040 - AI Model Inference API Access
OpisAtakujący wyciąga wrażliwe dane z kontekstu sesji
Wektor atakuZapytania typu „O czym rozmawialiśmy?”, sondowanie kontekstu
Dotknięte komponentyTranskrypty sesji, okno kontekstu
Obecne zabezpieczeniaIzolacja sesji per nadawca
Ryzyko rezydualneŚrednie - Dane wewnątrz sesji są dostępne
RekomendacjeWdrożyć redakcję danych wrażliwych w kontekście

3.7 Zbieranie i eksfiltracja (AML.TA0009, AML.TA0010)

T-EXFIL-001: Kradzież danych przez web_fetch

AtrybutWartość
ATLAS IDAML.T0009 - Collection
OpisAtakujący eksfiltruje dane, instruując agenta, aby wysłał je pod zewnętrzny URL
Wektor atakuPrompt injection powodujący, że agent wykona POST z danymi na serwer atakującego
Dotknięte komponentyNarzędzie web_fetch
Obecne zabezpieczeniaBlokowanie SSRF dla sieci wewnętrznych
Ryzyko rezydualneWysokie - Zewnętrzne URL są dozwolone
RekomendacjeWdrożyć allowlistę URL, świadomość klasyfikacji danych

T-EXFIL-002: Nieautoryzowane wysyłanie wiadomości

AtrybutWartość
ATLAS IDAML.T0009 - Collection
OpisAtakujący powoduje, że agent wysyła wiadomości zawierające wrażliwe dane
Wektor atakuPrompt injection powodujący, że agent wysyła wiadomość do atakującego
Dotknięte komponentyNarzędzie wiadomości, integracje kanałów
Obecne zabezpieczeniaGating wiadomości wychodzących
Ryzyko rezydualneŚrednie - Gating może zostać ominięty
RekomendacjeWymagać jawnego potwierdzenia dla nowych odbiorców

T-EXFIL-003: Zbieranie poświadczeń

AtrybutWartość
ATLAS IDAML.T0009 - Collection
OpisZłośliwy Skill zbiera poświadczenia z kontekstu agenta
Wektor atakuKod Skill odczytuje zmienne środowiskowe, pliki konfiguracji
Dotknięte komponentyŚrodowisko wykonywania Skill
Obecne zabezpieczeniaBrak specyficznych dla Skills
Ryzyko rezydualneKrytyczne - Skills działają z uprawnieniami agenta
RekomendacjeSandboxing Skills, izolacja poświadczeń

3.8 Wpływ (AML.TA0011)

T-IMPACT-001: Nieautoryzowane wykonywanie poleceń

AtrybutWartość
ATLAS IDAML.T0031 - Erode AI Model Integrity
OpisAtakujący wykonuje dowolne polecenia w systemie użytkownika
Wektor atakuPrompt injection połączony z ominięciem exec approval
Dotknięte komponentyNarzędzie Bash, wykonywanie poleceń
Obecne zabezpieczeniaExec approvals, opcja sandbox Docker
Ryzyko rezydualneKrytyczne - Wykonywanie na hoście bez sandboxa
RekomendacjeDomyślnie używać sandboxa, poprawić UX zatwierdzania

T-IMPACT-002: Wyczerpanie zasobów (DoS)

AtrybutWartość
ATLAS IDAML.T0031 - Erode AI Model Integrity
OpisAtakujący wyczerpuje kredyty API lub zasoby obliczeniowe
Wektor atakuZautomatyzowany flood wiadomości, kosztowne wywołania narzędzi
Dotknięte komponentyGateway, sesje agenta, provider API
Obecne zabezpieczeniaBrak
Ryzyko rezydualneWysokie - Brak rate limitingu
RekomendacjeWdrożyć limity per nadawca, budżety kosztów

T-IMPACT-003: Szkoda reputacyjna

AtrybutWartość
ATLAS IDAML.T0031 - Erode AI Model Integrity
OpisAtakujący powoduje, że agent wysyła szkodliwe/obraźliwe treści
Wektor atakuPrompt injection powodujący nieodpowiednie odpowiedzi
Dotknięte komponentyGenerowanie wyjścia, wiadomości kanałowe
Obecne zabezpieczeniaPolityki treści providera LLM
Ryzyko rezydualneŚrednie - Filtry providera są niedoskonałe
RekomendacjeWarstwa filtrowania wyjścia, kontrola użytkownika

4. Analiza łańcucha dostaw ClawHub

4.1 Obecne mechanizmy bezpieczeństwa

MechanizmImplementacjaSkuteczność
Wiek konta GitHubrequireGitHubAccountAge()Średnia - Podnosi poprzeczkę dla nowych atakujących
Sanityzacja ścieżeksanitizePath()Wysoka - Zapobiega path traversal
Walidacja typu plikuisTextFile()Średnia - Tylko pliki tekstowe, ale nadal mogą być złośliwe
Limity rozmiaru50 MB całego bundlaWysoka - Zapobiega wyczerpaniu zasobów
Wymagane SKILL.mdObowiązkowy readmeNiska wartość bezpieczeństwa - Tylko informacyjne
Moderacja wzorcówFLAG_RULES w moderation.tsNiska - Łatwe do obejścia
Status moderacjipole moderationStatusŚrednia - Możliwy ręczny przegląd

4.2 Wzorce flag moderacji

Obecne wzorce w moderation.ts: 
// Znane złe identyfikatory
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Podejrzane słowa kluczowe
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
Ograniczenia:
  • Sprawdza tylko slug, displayName, summary, frontmatter, metadane i ścieżki plików
  • Nie analizuje rzeczywistej zawartości kodu Skill
  • Proste regexy łatwo obejść przez obfuskację
  • Brak analizy behawioralnej

4.3 Planowane ulepszenia

UlepszenieStatusWpływ
Integracja z VirusTotalW tokuWysoki - Analiza behawioralna Code Insight
Zgłaszanie przez społecznośćCzęściowo (skillReports table exists)Średni
Logowanie audytoweCzęściowo (auditLogs table exists)Średni
System odznakWdrożonyŚredni - highlighted, official, deprecated, redactionApproved

5. Macierz ryzyka

5.1 Prawdopodobieństwo vs wpływ

ID zagrożeniaPrawdopodobieństwoWpływPoziom ryzykaPriorytet
T-EXEC-001WysokieKrytycznyKrytycznyP0
T-PERSIST-001WysokieKrytycznyKrytycznyP0
T-EXFIL-003ŚrednieKrytycznyKrytycznyP0
T-IMPACT-001ŚrednieKrytycznyWysokieP1
T-EXEC-002WysokieWysokiWysokieP1
T-EXEC-004ŚrednieWysokiWysokieP1
T-ACCESS-003ŚrednieWysokiWysokieP1
T-EXFIL-001ŚrednieWysokiWysokieP1
T-IMPACT-002WysokieŚredniWysokieP1
T-EVADE-001WysokieŚredniŚrednieP2
T-ACCESS-001NiskieWysokiŚrednieP2
T-ACCESS-002NiskieWysokiŚrednieP2
T-PERSIST-002NiskieWysokiŚrednieP2

5.2 Krytyczne łańcuchy ataku

Łańcuch ataku 1: Kradzież danych oparta na Skill 
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publikacja złośliwego Skill) → (Ominięcie moderacji) → (Zbieranie poświadczeń)
Łańcuch ataku 2: Prompt injection do RCE 
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Wstrzyknięcie promptu) → (Ominięcie exec approval) → (Wykonanie poleceń)
Łańcuch ataku 3: Pośrednie wstrzyknięcie przez pobraną treść 
T-EXEC-002 → T-EXFIL-001 → Zewnętrzna eksfiltracja
(Zatrucie treści URL) → (Agent pobiera i wykonuje instrukcje) → (Dane wysłane do atakującego)

6. Podsumowanie rekomendacji

6.1 Natychmiastowe (P0)

IDRekomendacjaDotyczy
R-001Dokończyć integrację z VirusTotalT-PERSIST-001, T-EVADE-001
R-002Wdrożyć sandboxing SkillsT-PERSIST-001, T-EXFIL-003
R-003Dodać walidację wyjścia dla działań wrażliwychT-EXEC-001, T-EXEC-002

6.2 Krótkoterminowe (P1)

IDRekomendacjaDotyczy
R-004Wdrożyć rate limitingT-IMPACT-002
R-005Dodać szyfrowanie tokenów w spoczynkuT-ACCESS-003
R-006Poprawić UX i walidację exec approvalT-EXEC-004
R-007Wdrożyć allowlistę URL dla web_fetchT-EXFIL-001

6.3 Średnioterminowe (P2)

IDRekomendacjaDotyczy
R-008Dodać kryptograficzną weryfikację kanałów tam, gdzie to możliweT-ACCESS-002
R-009Wdrożyć weryfikację integralności konfiguracjiT-PERSIST-003
R-010Dodać podpisywanie aktualizacji i pinning wersjiT-PERSIST-002

7. Aneksy

7.1 Mapowanie technik ATLAS

ATLAS IDNazwa technikiZagrożenia OpenClaw
AML.T0006Active ScanningT-RECON-001, T-RECON-002
AML.T0009CollectionT-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001Supply Chain: AI SoftwareT-PERSIST-001, T-PERSIST-002
AML.T0010.002Supply Chain: DataT-PERSIST-003
AML.T0031Erode AI Model IntegrityT-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040AI Model Inference API AccessT-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043Craft Adversarial DataT-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000LLM Prompt Injection: DirectT-EXEC-001, T-EXEC-003
AML.T0051.001LLM Prompt Injection: IndirectT-EXEC-002

7.2 Kluczowe pliki bezpieczeństwa

ŚcieżkaCelPoziom ryzyka
src/infra/exec-approvals.tsLogika zatwierdzania poleceńKrytyczny
src/gateway/auth.tsUwierzytelnianie GatewayKrytyczny
src/infra/net/ssrf.tsOchrona SSRFKrytyczny
src/security/external-content.tsOchrona przed prompt injectionKrytyczny
src/agents/sandbox/tool-policy.tsEgzekwowanie polityk narzędziKrytyczny
src/routing/resolve-route.tsIzolacja sesjiŚredni

7.3 Słownik

TerminDefinicja
ATLASMITRE Adversarial Threat Landscape for AI Systems
ClawHubMarketplace Skills w OpenClaw
GatewayWarstwa routingu wiadomości i uwierzytelniania OpenClaw
MCPModel Context Protocol - interfejs dostawcy narzędzi
Prompt InjectionAtak, w którym złośliwe instrukcje są osadzone w wejściu
SkillRozszerzenie do pobrania dla agentów OpenClaw
SSRFServer-Side Request Forgery
Ten model zagrożeń jest żywym dokumentem. Zgłaszaj problemy bezpieczeństwa na security@openclaw.ai