Model zagrożeń (MITRE ATLAS)

Struktura MITRE ATLAS

Wersja: 1.0-draft Ostatnia aktualizacja: 2026-02-04 Metodologia: MITRE ATLAS + diagramy przepływu danych Struktura: MITRE ATLAS (Adversarial Threat Landscape for AI Systems)

Atrybucja struktury

Ten model zagrożeń opiera się na MITRE ATLAS, branżowym standardzie dokumentowania zagrożeń adwersarialnych wobec systemów AI/ML. ATLAS jest utrzymywany przez MITRE we współpracy ze społecznością bezpieczeństwa AI. Kluczowe zasoby ATLAS:

Wkład w ten model zagrożeń

To żywy dokument utrzymywany przez społeczność OpenClaw. Zobacz CONTRIBUTING-THREAT-MODEL.md, aby uzyskać wytyczne dotyczące wkładu:

Zgłaszanie nowych zagrożeń
Aktualizowanie istniejących zagrożeń
Proponowanie łańcuchów ataku
Sugerowanie mitygacji

1. Wprowadzenie

1.1 Cel

Ten model zagrożeń dokumentuje zagrożenia adwersarialne wobec platformy agentów AI OpenClaw i marketplace Skills ClawHub, używając struktury MITRE ATLAS zaprojektowanej specjalnie dla systemów AI/ML.

1.2 Zakres

Komponent	Uwzględniono	Uwagi
Runtime agenta OpenClaw	Tak	Wykonywanie agenta rdzenia, wywołania narzędzi, sesje
Gateway	Tak	Uwierzytelnianie, routowanie, integracja kanałów
Integracje kanałów	Tak	WhatsApp, Telegram, Discord, Signal, Slack itd.
Marketplace ClawHub	Tak	Publikowanie Skills, moderacja, dystrybucja
Serwery MCP	Tak	Zewnętrzni dostawcy narzędzi
Urządzenia użytkowników	Częściowo	Aplikacje mobilne, klienci desktopowi

1.3 Poza zakresem

Nic nie jest wyraźnie poza zakresem tego modelu zagrożeń.

2. Architektura systemu

2.1 Granice zaufania

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Przepływy danych

Przepływ	Źródło	Miejsce docelowe	Dane	Ochrona
F1	Kanał	Gateway	Wiadomości użytkownika	TLS, AllowFrom
F2	Gateway	Agent	Routowane wiadomości	Izolacja sesji
F3	Agent	Narzędzia	Wywołania narzędzi	Egzekwowanie zasad
F4	Agent	Zewnętrzne	żądania web_fetch	Blokowanie SSRF
F5	ClawHub	Agent	Kod Skills	Moderacja, skanowanie
F6	Agent	Kanał	Odpowiedzi	Filtrowanie danych wyjściowych

3. Analiza zagrożeń według taktyki ATLAS

3.1 Rozpoznanie (AML.TA0002)

T-RECON-001: Wykrywanie punktów końcowych agenta

Atrybut	Wartość
ID ATLAS	AML.T0006 - Aktywne skanowanie
Opis	Atakujący skanuje w poszukiwaniu wystawionych punktów końcowych Gateway OpenClaw
Wektor ataku	Skanowanie sieci, zapytania Shodan, enumeracja DNS
Dotknięte komponenty	Gateway, wystawione punkty końcowe API
Obecne mitygacje	Opcja uwierzytelniania Tailscale, domyślne wiązanie z loopback
Ryzyko rezydualne	Średnie - publiczne Gateway są możliwe do wykrycia
Rekomendacje	Udokumentować bezpieczne wdrożenie, dodać ograniczanie liczby żądań na punktach końcowych wykrywania

T-RECON-002: Sondowanie integracji kanałów

Atrybut	Wartość
ATLAS ID	AML.T0006 - Aktywne skanowanie
Opis	Atakujący sonduje kanały komunikatorów, aby zidentyfikować konta zarządzane przez AI
Wektor ataku	Wysyłanie wiadomości testowych, obserwowanie wzorców odpowiedzi
Komponenty dotknięte problemem	Wszystkie integracje kanałów
Obecne zabezpieczenia	Brak specyficznych
Ryzyko rezydualne	Niskie - Ograniczona wartość samego wykrycia
Zalecenia	Rozważyć losowe zróżnicowanie czasu odpowiedzi

3.2 Dostęp początkowy (AML.TA0004)

T-ACCESS-001: Przechwycenie kodu parowania

Atrybut	Wartość
ATLAS ID	AML.T0040 - Dostęp do API wnioskowania modelu AI
Opis	Atakujący przechwytuje kod parowania w okresie karencji parowania (1h dla parowania kanału DM, 5m dla parowania node)
Wektor ataku	Podglądanie przez ramię, sniffing sieci, inżynieria społeczna
Komponenty dotknięte problemem	System parowania urządzeń
Obecne zabezpieczenia	Wygaśnięcie po 1h (parowanie DM) / wygaśnięcie po 5m (parowanie node), kody wysyłane przez istniejący kanał
Ryzyko rezydualne	Średnie - Okres karencji możliwy do wykorzystania
Zalecenia	Skrócić okres karencji, dodać krok potwierdzenia

T-ACCESS-002: Podszywanie się pod AllowFrom

Atrybut	Wartość
ATLAS ID	AML.T0040 - Dostęp do API wnioskowania modelu AI
Opis	Atakujący podszywa się pod dozwoloną tożsamość nadawcy w kanale
Wektor ataku	Zależy od kanału - spoofing numeru telefonu, podszywanie się pod nazwę użytkownika
Komponenty dotknięte problemem	Walidacja AllowFrom dla poszczególnych kanałów
Obecne zabezpieczenia	Weryfikacja tożsamości specyficzna dla kanału
Ryzyko rezydualne	Średnie - Niektóre kanały są podatne na spoofing
Zalecenia	Udokumentować ryzyka specyficzne dla kanałów, dodać weryfikację kryptograficzną tam, gdzie to możliwe

T-ACCESS-003: Kradzież tokenów

Atrybut	Wartość
ATLAS ID	AML.T0040 - Dostęp do API wnioskowania modelu AI
Opis	Atakujący kradnie tokeny uwierzytelniające z plików konfiguracji
Wektor ataku	Malware, nieautoryzowany dostęp do urządzenia, ujawnienie kopii zapasowej konfiguracji
Komponenty dotknięte problemem	~/.openclaw/credentials/, przechowywanie konfiguracji
Obecne zabezpieczenia	Uprawnienia plików
Ryzyko rezydualne	Wysokie - Tokeny przechowywane w postaci zwykłego tekstu
Zalecenia	Wdrożyć szyfrowanie tokenów w spoczynku, dodać rotację tokenów

3.3 Wykonanie (AML.TA0005)

T-EXEC-001: Bezpośrednia injekcja promptu

Atrybut	Wartość
ATLAS ID	AML.T0051.000 - Injekcja promptu LLM: bezpośrednia
Opis	Atakujący wysyła spreparowane prompty, aby manipulować zachowaniem agenta
Wektor ataku	Wiadomości kanału zawierające instrukcje adwersarialne
Komponenty dotknięte problemem	LLM agenta, wszystkie powierzchnie wejściowe
Obecne zabezpieczenia	Wykrywanie wzorców, opakowywanie treści zewnętrznych
Ryzyko rezydualne	Krytyczne - Tylko wykrywanie, bez blokowania; zaawansowane ataki omijają zabezpieczenia
Zalecenia	Wdrożyć wielowarstwową obronę, walidację wyników, potwierdzenie użytkownika dla działań wrażliwych

T-EXEC-002: Pośrednia injekcja promptu

Atrybut	Wartość
ATLAS ID	AML.T0051.001 - Injekcja promptu LLM: pośrednia
Opis	Atakujący osadza złośliwe instrukcje w pobranej treści
Wektor ataku	Złośliwe URL-e, zatrute wiadomości e-mail, przejęte Webhooki
Komponenty dotknięte problemem	web_fetch, ingestia e-maili, zewnętrzne źródła danych
Obecne zabezpieczenia	Opakowywanie treści tagami XML i komunikatem bezpieczeństwa
Ryzyko rezydualne	Wysokie - LLM może zignorować instrukcje opakowania
Zalecenia	Wdrożyć sanityzację treści, oddzielne konteksty wykonania

T-EXEC-003: Injekcja argumentów narzędzi

Atrybut	Wartość
ATLAS ID	AML.T0051.000 - Injekcja promptu LLM: bezpośrednia
Opis	Atakujący manipuluje argumentami narzędzi przez injekcję promptu
Wektor ataku	Spreparowane prompty wpływające na wartości parametrów narzędzi
Komponenty dotknięte problemem	Wszystkie wywołania narzędzi
Obecne zabezpieczenia	Zatwierdzenia exec dla niebezpiecznych poleceń
Ryzyko rezydualne	Wysokie - Polega na osądzie użytkownika
Zalecenia	Wdrożyć walidację argumentów, sparametryzowane wywołania narzędzi

T-EXEC-004: Obejście zatwierdzenia exec

Atrybut	Wartość
ATLAS ID	AML.T0043 - Tworzenie danych adwersarialnych
Opis	Atakujący tworzy polecenia, które omijają allowlistę zatwierdzania
Wektor ataku	Zaciemnianie poleceń, wykorzystanie aliasów, manipulacja ścieżką
Komponenty dotknięte problemem	exec-approvals.ts, allowlista poleceń
Obecne zabezpieczenia	Allowlista + tryb pytania
Ryzyko rezydualne	Wysokie - Brak sanityzacji poleceń
Zalecenia	Wdrożyć normalizację poleceń, rozszerzyć blocklistę

3.4 Trwałość (AML.TA0006)

T-PERSIST-001: Instalacja złośliwego skill

Atrybut	Wartość
ATLAS ID	AML.T0010.001 - Naruszenie łańcucha dostaw: oprogramowanie AI
Opis	Atakujący publikuje złośliwy skill w ClawHub
Wektor ataku	Utworzenie konta, opublikowanie skill z ukrytym złośliwym kodem
Komponenty dotknięte problemem	ClawHub, ładowanie skill, wykonywanie agenta
Obecne zabezpieczenia	Weryfikacja wieku konta GitHub, flagi moderacji oparte na wzorcach
Ryzyko rezydualne	Krytyczne - Brak sandboxingu, ograniczony przegląd
Zalecenia	Integracja z VirusTotal (w toku), sandboxing skill, przegląd społeczności

T-PERSIST-002: Zatruwanie aktualizacji skill

Atrybut	Wartość
ATLAS ID	AML.T0010.001 - Naruszenie łańcucha dostaw: oprogramowanie AI
Opis	Atakujący przejmuje popularny skill i wypycha złośliwą aktualizację
Wektor ataku	Przejęcie konta, inżynieria społeczna wobec właściciela skill
Komponenty dotknięte problemem	Wersjonowanie ClawHub, przepływy automatycznej aktualizacji
Obecne zabezpieczenia	Fingerprinting wersji
Ryzyko rezydualne	Wysokie - Automatyczne aktualizacje mogą pobrać złośliwe wersje
Zalecenia	Wdrożyć podpisywanie aktualizacji, możliwość wycofania, przypinanie wersji

T-PERSIST-003: Manipulowanie konfiguracją agenta

Atrybut	Wartość
ATLAS ID	AML.T0010.002 - Naruszenie łańcucha dostaw: dane
Opis	Atakujący modyfikuje konfigurację agenta, aby utrzymać dostęp
Wektor ataku	Modyfikacja pliku konfiguracji, injekcja ustawień
Komponenty dotknięte problemem	Konfiguracja agenta, polityki narzędzi
Obecne zabezpieczenia	Uprawnienia plików
Ryzyko rezydualne	Średnie - Wymaga lokalnego dostępu
Zalecenia	Weryfikacja integralności konfiguracji, rejestrowanie audytowe zmian konfiguracji

3.5 Unikanie obrony (AML.TA0007)

T-EVADE-001: Obejście wzorców moderacji

Atrybut	Wartość
ATLAS ID	AML.T0043 - Tworzenie danych adwersarialnych
Opis	Atakujący tworzy treść skill tak, aby ominąć wzorce moderacji
Wektor ataku	Homoglify Unicode, sztuczki kodowania, dynamiczne ładowanie
Komponenty dotknięte problemem	ClawHub moderation.ts
Obecne zabezpieczenia	Oparte na wzorcach FLAG_RULES
Ryzyko rezydualne	Wysokie - Proste regex łatwo obejść
Zalecenia	Dodać analizę behawioralną (VirusTotal Code Insight), wykrywanie oparte na AST

T-EVADE-002: Ucieczka z opakowania treści

Atrybut	Wartość
Identyfikator ATLAS	AML.T0043 - Tworzenie danych adversarialnych
Opis	Atakujący tworzy treść, która ucieka z kontekstu opakowania XML
Wektor ataku	Manipulacja tagami, pomylenie kontekstu, nadpisanie instrukcji
Dotknięte komponenty	Opakowywanie treści zewnętrznej
Obecne mitigacje	Tagi XML + komunikat bezpieczeństwa
Ryzyko rezydualne	Średnie - Regularnie odkrywane są nowe ucieczki
Rekomendacje	Wiele warstw opakowania, walidacja po stronie wyjścia

3.6 Odkrywanie (AML.TA0008)

T-DISC-001: Enumeracja narzędzi

Atrybut	Wartość
Identyfikator ATLAS	AML.T0040 - Dostęp do API wnioskowania modelu AI
Opis	Atakujący enumeruje dostępne narzędzia przez promptowanie
Wektor ataku	Zapytania w stylu „Jakie masz narzędzia?”
Dotknięte komponenty	Rejestr narzędzi agenta
Obecne mitigacje	Brak specyficznych
Ryzyko rezydualne	Niskie - Narzędzia są zwykle udokumentowane
Rekomendacje	Rozważyć mechanizmy kontroli widoczności narzędzi

T-DISC-002: Ekstrakcja danych sesji

Atrybut	Wartość
Identyfikator ATLAS	AML.T0040 - Dostęp do API wnioskowania modelu AI
Opis	Atakujący ekstrahuje wrażliwe dane z kontekstu sesji
Wektor ataku	Zapytania „O czym rozmawialiśmy?”, sondowanie kontekstu
Dotknięte komponenty	Transkrypty sesji, okno kontekstu
Obecne mitigacje	Izolacja sesji per nadawca
Ryzyko rezydualne	Średnie - Dane w ramach sesji są dostępne
Rekomendacje	Wdrożyć redakcję wrażliwych danych w kontekście

3.7 Zbieranie i eksfiltracja (AML.TA0009, AML.TA0010)

T-EXFIL-001: Kradzież danych przez web_fetch

Atrybut	Wartość
Identyfikator ATLAS	AML.T0009 - Zbieranie
Opis	Atakujący eksfiltruje dane, instruując agenta, aby wysłał je na zewnętrzny URL
Wektor ataku	Wstrzyknięcie promptu powodujące, że agent wysyła dane POST na serwer atakującego
Dotknięte komponenty	Narzędzie web_fetch
Obecne mitigacje	Blokowanie SSRF dla sieci wewnętrznych
Ryzyko rezydualne	Wysokie - Zewnętrzne URL-e są dozwolone
Rekomendacje	Wdrożyć listę dozwolonych URL-i, świadomość klasyfikacji danych

T-EXFIL-002: Nieautoryzowane wysyłanie wiadomości

Atrybut	Wartość
Identyfikator ATLAS	AML.T0009 - Zbieranie
Opis	Atakujący powoduje, że agent wysyła wiadomości zawierające wrażliwe dane
Wektor ataku	Wstrzyknięcie promptu powodujące, że agent wysyła wiadomość do atakującego
Dotknięte komponenty	Narzędzie wiadomości, integracje kanałów
Obecne mitigacje	Bramkowanie wiadomości wychodzących
Ryzyko rezydualne	Średnie - Bramkowanie może zostać ominięte
Rekomendacje	Wymagać jawnego potwierdzenia dla nowych odbiorców

T-EXFIL-003: Pozyskiwanie poświadczeń

Atrybut	Wartość
Identyfikator ATLAS	AML.T0009 - Zbieranie
Opis	Złośliwy skill pozyskuje poświadczenia z kontekstu agenta
Wektor ataku	Kod skill odczytuje zmienne środowiskowe, pliki konfiguracyjne
Dotknięte komponenty	Środowisko wykonywania skill
Obecne mitigacje	Brak specyficznych dla skills
Ryzyko rezydualne	Krytyczne - Skills działają z uprawnieniami agenta
Rekomendacje	Sandboxing skill, izolacja poświadczeń

3.8 Wpływ (AML.TA0011)

T-IMPACT-001: Nieautoryzowane wykonywanie poleceń

Atrybut	Wartość
Identyfikator ATLAS	AML.T0031 - Erozja integralności modelu AI
Opis	Atakujący wykonuje dowolne polecenia w systemie użytkownika
Wektor ataku	Wstrzyknięcie promptu połączone z obejściem zatwierdzania exec
Dotknięte komponenty	Narzędzie Bash, wykonywanie poleceń
Obecne mitigacje	Zatwierdzenia exec, opcja sandboxa Docker
Ryzyko rezydualne	Krytyczne - Wykonywanie na hoście bez sandboxa
Rekomendacje	Domyślnie używać sandboxa, ulepszyć UX zatwierdzania

T-IMPACT-002: Wyczerpanie zasobów (DoS)

Atrybut	Wartość
Identyfikator ATLAS	AML.T0031 - Erozja integralności modelu AI
Opis	Atakujący wyczerpuje kredyty API lub zasoby obliczeniowe
Wektor ataku	Zautomatyzowane zalewanie wiadomościami, kosztowne wywołania narzędzi
Dotknięte komponenty	Gateway, sesje agentów, dostawca API
Obecne mitigacje	Brak
Ryzyko rezydualne	Wysokie - Brak limitowania szybkości
Rekomendacje	Wdrożyć limity szybkości per nadawca, budżety kosztów

T-IMPACT-003: Szkoda reputacyjna

Atrybut	Wartość
Identyfikator ATLAS	AML.T0031 - Erozja integralności modelu AI
Opis	Atakujący powoduje, że agent wysyła szkodliwe/obraźliwe treści
Wektor ataku	Wstrzyknięcie promptu powodujące nieodpowiednie odpowiedzi
Dotknięte komponenty	Generowanie wyjścia, wiadomości kanałów
Obecne mitigacje	Polityki treści dostawcy LLM
Ryzyko rezydualne	Średnie - Filtry dostawcy są niedoskonałe
Rekomendacje	Warstwa filtrowania wyjścia, kontrolki użytkownika

4. Analiza łańcucha dostaw ClawHub

4.1 Obecne mechanizmy kontroli bezpieczeństwa

Kontrola	Implementacja	Skuteczność
Wiek konta GitHub	`requireGitHubAccountAge()`	Średnia - Podnosi próg dla nowych atakujących
Sanityzacja ścieżki	`sanitizePath()`	Wysoka - Zapobiega przechodzeniu ścieżek
Walidacja typu pliku	`isTextFile()`	Średnia - Tylko pliki tekstowe, ale nadal mogą być złośliwe
Limity rozmiaru	Łączny pakiet 50 MB	Wysoka - Zapobiega wyczerpaniu zasobów
Wymagany SKILL.md	Obowiązkowy plik readme	Niska wartość bezpieczeństwa - Tylko informacyjny
Moderacja wzorców	FLAG_RULES w moderation.ts	Niska - Łatwe do obejścia
Status moderacji	Pole `moderationStatus`	Średnia - Możliwa ręczna weryfikacja

4.2 Wzorce flag moderacyjnych

Obecne wzorce w moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Ograniczenia:

Sprawdza tylko slug, displayName, summary, frontmatter, metadane i ścieżki plików
Nie analizuje rzeczywistej treści kodu skill
Proste wyrażenia regularne łatwo obejść przez zaciemnianie
Brak analizy behawioralnej

4.3 Planowane ulepszenia

Ulepszenie	Status	Wpływ
Integracja VirusTotal	W toku	Wysoki - Analiza behawioralna Code Insight
Zgłaszanie społecznościowe	Częściowe (istnieje tabela `skillReports`)	Średni
Rejestrowanie audytowe	Częściowe (istnieje tabela `auditLogs`)	Średni
System odznak	Wdrożony	Średni - `highlighted`, `official`, `deprecated`, `redactionApproved`

5. Macierz ryzyka

5.1 Prawdopodobieństwo a wpływ

Identyfikator zagrożenia	Prawdopodobieństwo	Wpływ	Poziom ryzyka	Priorytet
T-EXEC-001	Wysokie	Krytyczny	Krytyczne	P0
T-PERSIST-001	Wysokie	Krytyczny	Krytyczne	P0
T-EXFIL-003	Średnie	Krytyczny	Krytyczne	P0
T-IMPACT-001	Średnie	Krytyczny	Wysokie	P1
T-EXEC-002	Wysokie	Wysoki	Wysokie	P1
T-EXEC-004	Średnie	Wysoki	Wysokie	P1
T-ACCESS-003	Średnie	Wysoki	Wysokie	P1
T-EXFIL-001	Średnie	Wysoki	Wysokie	P1
T-IMPACT-002	Wysokie	Średni	Wysokie	P1
T-EVADE-001	Wysokie	Średni	Średnie	P2
T-ACCESS-001	Niskie	Wysoki	Średnie	P2
T-ACCESS-002	Niskie	Wysoki	Średnie	P2
T-PERSIST-002	Niskie	Wysoki	Średnie	P2

5.2 Krytyczne ścieżki łańcuchów ataku

Łańcuch ataku 1: Kradzież danych oparta na skill

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Łańcuch ataku 2: Wstrzyknięcie promptu do RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Łańcuch ataku 3: Pośrednie wstrzyknięcie przez pobraną treść

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Podsumowanie rekomendacji

6.1 Natychmiastowe (P0)

ID	Zalecenie	Dotyczy
R-001	Ukończyć integrację z VirusTotal	T-PERSIST-001, T-EVADE-001
R-002	Wdrożyć izolację umiejętności w piaskownicy	T-PERSIST-001, T-EXFIL-003
R-003	Dodać walidację danych wyjściowych dla działań wrażliwych	T-EXEC-001, T-EXEC-002

6.2 Krótkoterminowe (P1)

ID	Zalecenie	Dotyczy
R-004	Wdrożyć ograniczanie częstotliwości	T-IMPACT-002
R-005	Dodać szyfrowanie tokenów w spoczynku	T-ACCESS-003
R-006	Ulepszyć UX zatwierdzania exec i walidację	T-EXEC-004
R-007	Wdrożyć listę dozwolonych adresów URL dla web_fetch	T-EXFIL-001

6.3 Średnioterminowe (P2)

ID	Zalecenie	Dotyczy
R-008	Dodać kryptograficzną weryfikację kanałów tam, gdzie to możliwe	T-ACCESS-002
R-009	Wdrożyć weryfikację integralności konfiguracji	T-PERSIST-003
R-010	Dodać podpisywanie aktualizacji i przypinanie wersji	T-PERSIST-002

7. Załączniki

7.1 Mapowanie technik ATLAS

ID ATLAS	Nazwa techniki	Zagrożenia OpenClaw
AML.T0006	Aktywne skanowanie	T-RECON-001, T-RECON-002
AML.T0009	Zbieranie danych	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	Łańcuch dostaw: oprogramowanie AI	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	Łańcuch dostaw: dane	T-PERSIST-003
AML.T0031	Osłabianie integralności modelu AI	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	Dostęp do API wnioskowania modelu AI	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	Tworzenie danych adwersarialnych	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	Wstrzyknięcie promptu LLM: bezpośrednie	T-EXEC-001, T-EXEC-003
AML.T0051.001	Wstrzyknięcie promptu LLM: pośrednie	T-EXEC-002

7.2 Kluczowe pliki bezpieczeństwa

Ścieżka	Cel	Poziom ryzyka
`src/infra/exec-approvals.ts`	Logika zatwierdzania poleceń	Krytyczny
`src/gateway/auth.ts`	Uwierzytelnianie Gateway	Krytyczny
`src/infra/net/ssrf.ts`	Ochrona przed SSRF	Krytyczny
`src/security/external-content.ts`	Ograniczanie wstrzyknięć promptu	Krytyczny
`src/agents/sandbox/tool-policy.ts`	Egzekwowanie zasad narzędzi	Krytyczny
`src/routing/resolve-route.ts`	Izolacja sesji	Średni

7.3 Słownik

Termin	Definicja
ATLAS	Adwersarialny krajobraz zagrożeń MITRE dla systemów AI
ClawHub	Rynek umiejętności OpenClaw
Gateway	Warstwa routingu wiadomości i uwierzytelniania OpenClaw
MCP	Model Context Protocol - interfejs dostawcy narzędzi
Prompt Injection	Atak, w którym złośliwe instrukcje są osadzone w danych wejściowych
Skill	Pobieralne rozszerzenie dla agentów OpenClaw
SSRF	Fałszowanie żądań po stronie serwera

Ten model zagrożeń jest żywym dokumentem. Zgłaszaj problemy z bezpieczeństwem na adres security@openclaw.ai

Gateway

Remote access

Security

Nodes and media

Web interfaces

Documentation Index

​Struktura MITRE ATLAS

​Atrybucja struktury

​Wkład w ten model zagrożeń

​1. Wprowadzenie

​1.1 Cel

​1.2 Zakres

​1.3 Poza zakresem

​2. Architektura systemu

​2.1 Granice zaufania

​2.2 Przepływy danych

​3. Analiza zagrożeń według taktyki ATLAS

​3.1 Rozpoznanie (AML.TA0002)

​T-RECON-001: Wykrywanie punktów końcowych agenta

​T-RECON-002: Sondowanie integracji kanałów

​3.2 Dostęp początkowy (AML.TA0004)

​T-ACCESS-001: Przechwycenie kodu parowania

​T-ACCESS-002: Podszywanie się pod AllowFrom

​T-ACCESS-003: Kradzież tokenów

​3.3 Wykonanie (AML.TA0005)

​T-EXEC-001: Bezpośrednia injekcja promptu

​T-EXEC-002: Pośrednia injekcja promptu

​T-EXEC-003: Injekcja argumentów narzędzi

​T-EXEC-004: Obejście zatwierdzenia exec

​3.4 Trwałość (AML.TA0006)

​T-PERSIST-001: Instalacja złośliwego skill

​T-PERSIST-002: Zatruwanie aktualizacji skill

​T-PERSIST-003: Manipulowanie konfiguracją agenta

​3.5 Unikanie obrony (AML.TA0007)

​T-EVADE-001: Obejście wzorców moderacji

​T-EVADE-002: Ucieczka z opakowania treści

​3.6 Odkrywanie (AML.TA0008)

​T-DISC-001: Enumeracja narzędzi

​T-DISC-002: Ekstrakcja danych sesji

​3.7 Zbieranie i eksfiltracja (AML.TA0009, AML.TA0010)

​T-EXFIL-001: Kradzież danych przez web_fetch

​T-EXFIL-002: Nieautoryzowane wysyłanie wiadomości

​T-EXFIL-003: Pozyskiwanie poświadczeń

​3.8 Wpływ (AML.TA0011)

​T-IMPACT-001: Nieautoryzowane wykonywanie poleceń

​T-IMPACT-002: Wyczerpanie zasobów (DoS)

​T-IMPACT-003: Szkoda reputacyjna

​4. Analiza łańcucha dostaw ClawHub

​4.1 Obecne mechanizmy kontroli bezpieczeństwa

​4.2 Wzorce flag moderacyjnych

​4.3 Planowane ulepszenia

​5. Macierz ryzyka

​5.1 Prawdopodobieństwo a wpływ

​5.2 Krytyczne ścieżki łańcuchów ataku

​6. Podsumowanie rekomendacji

​6.1 Natychmiastowe (P0)

​6.2 Krótkoterminowe (P1)

​6.3 Średnioterminowe (P2)

​7. Załączniki

​7.1 Mapowanie technik ATLAS

​7.2 Kluczowe pliki bezpieczeństwa

​7.3 Słownik

​Powiązane