Modelo de ameaças (MITRE ATLAS)

Framework MITRE ATLAS

Versão: 1.0-draft Última atualização: 2026-02-04 Metodologia: MITRE ATLAS + diagramas de fluxo de dados Framework: MITRE ATLAS (Cenário de ameaças adversariais para sistemas de IA)

Atribuição do framework

Este modelo de ameaças é construído com base no MITRE ATLAS, o framework padrão do setor para documentar ameaças adversariais a sistemas de IA/ML. O ATLAS é mantido pela MITRE em colaboração com a comunidade de segurança de IA. Principais recursos do ATLAS:

Contribuindo para este modelo de ameaças

Este é um documento vivo mantido pela comunidade OpenClaw. Consulte CONTRIBUTING-THREAT-MODEL.md para diretrizes sobre como contribuir:

Relatar novas ameaças
Atualizar ameaças existentes
Propor cadeias de ataque
Sugerir mitigações

1. Introdução

1.1 Finalidade

Este modelo de ameaças documenta ameaças adversariais à plataforma de agentes de IA OpenClaw e ao marketplace de Skills ClawHub, usando o framework MITRE ATLAS projetado especificamente para sistemas de IA/ML.

1.2 Escopo

Componente	Incluído	Observações
Runtime do agente OpenClaw	Sim	Execução principal do agente, chamadas de ferramentas, sessões
Gateway	Sim	Autenticação, roteamento, integração de canais
Integrações de canais	Sim	WhatsApp, Telegram, Discord, Signal, Slack, etc.
Marketplace ClawHub	Sim	Publicação, moderação, distribuição de Skills
Servidores MCP	Sim	Provedores de ferramentas externas
Dispositivos de usuário	Parcial	Aplicativos móveis, clientes desktop

1.3 Fora do escopo

Nada está explicitamente fora do escopo deste modelo de ameaças.

2. Arquitetura do sistema

2.1 Limites de confiança

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Fluxos de dados

Fluxo	Origem	Destino	Dados	Proteção
F1	Canal	Gateway	Mensagens de usuário	TLS, AllowFrom
F2	Gateway	Agente	Mensagens roteadas	Isolamento de sessão
F3	Agente	Ferramentas	Invocações de ferramentas	Aplicação de políticas
F4	Agente	Externo	Solicitações web_fetch	Bloqueio de SSRF
F5	ClawHub	Agente	Código de Skills	Moderação, varredura
F6	Agente	Canal	Respostas	Filtragem de saída

3. Análise de ameaças por tática do ATLAS

3.1 Reconhecimento (AML.TA0002)

T-RECON-001: Descoberta de endpoint de agente

Atributo	Valor
ID ATLAS	AML.T0006 - Varredura ativa
Descrição	O invasor procura endpoints expostos do Gateway OpenClaw
Vetor de ataque	Varredura de rede, consultas no Shodan, enumeração de DNS
Componentes afetados	Gateway, endpoints de API expostos
Mitigações atuais	Opção de autenticação Tailscale, vinculação a loopback por padrão
Risco residual	Médio - Gateways públicos podem ser descobertos
Recomendações	Documentar implantação segura, adicionar limitação de taxa em endpoints de descoberta

T-RECON-002: Sondagem de integração de canal

Atributo	Valor
ID ATLAS	AML.T0006 - Varredura ativa
Descrição	Atacante sonda canais de mensagens para identificar contas gerenciadas por IA
Vetor de ataque	Envio de mensagens de teste, observação de padrões de resposta
Componentes afetados	Todas as integrações de canais
Mitigações atuais	Nenhuma específica
Risco residual	Baixo - Valor limitado apenas pela descoberta
Recomendações	Considerar randomização do tempo de resposta

3.2 Acesso inicial (AML.TA0004)

T-ACCESS-001: Interceptação de código de pareamento

Atributo	Valor
ID ATLAS	AML.T0040 - Acesso à API de inferência do modelo de IA
Descrição	Atacante intercepta o código de pareamento durante o período de carência de pareamento (1h para pareamento de canal de DM, 5min para pareamento de Node)
Vetor de ataque	Observação por cima do ombro, sniffing de rede, engenharia social
Componentes afetados	Sistema de pareamento de dispositivos
Mitigações atuais	Expiração em 1h (pareamento de DM) / expiração em 5min (pareamento de Node), códigos enviados pelo canal existente
Risco residual	Médio - Período de carência explorável
Recomendações	Reduzir o período de carência, adicionar etapa de confirmação

T-ACCESS-002: Falsificação de AllowFrom

Atributo	Valor
ID ATLAS	AML.T0040 - Acesso à API de inferência do modelo de IA
Descrição	Atacante falsifica a identidade de remetente permitido no canal
Vetor de ataque	Depende do canal - falsificação de número de telefone, personificação de nome de usuário
Componentes afetados	Validação de AllowFrom por canal
Mitigações atuais	Verificação de identidade específica do canal
Risco residual	Médio - Alguns canais são vulneráveis à falsificação
Recomendações	Documentar riscos específicos do canal, adicionar verificação criptográfica quando possível

T-ACCESS-003: Roubo de tokens

Atributo	Valor
ID ATLAS	AML.T0040 - Acesso à API de inferência do modelo de IA
Descrição	Atacante rouba tokens de autenticação de arquivos de configuração
Vetor de ataque	Malware, acesso não autorizado ao dispositivo, exposição de backup de configuração
Componentes afetados	~/.openclaw/credentials/, armazenamento de configuração
Mitigações atuais	Permissões de arquivo
Risco residual	Alto - Tokens armazenados em texto simples
Recomendações	Implementar criptografia de tokens em repouso, adicionar rotação de tokens

3.3 Execução (AML.TA0005)

T-EXEC-001: Injeção direta de prompt

Atributo	Valor
ID ATLAS	AML.T0051.000 - Injeção de prompt em LLM: direta
Descrição	Atacante envia prompts elaborados para manipular o comportamento do agente
Vetor de ataque	Mensagens de canal contendo instruções adversariais
Componentes afetados	LLM do agente, todas as superfícies de entrada
Mitigações atuais	Detecção de padrões, encapsulamento de conteúdo externo
Risco residual	Crítico - Apenas detecção, sem bloqueio; ataques sofisticados contornam
Recomendações	Implementar defesa em múltiplas camadas, validação de saída, confirmação do usuário para ações sensíveis

T-EXEC-002: Injeção indireta de prompt

Atributo	Valor
ID ATLAS	AML.T0051.001 - Injeção de prompt em LLM: indireta
Descrição	Atacante incorpora instruções maliciosas em conteúdo buscado
Vetor de ataque	URLs maliciosas, e-mails envenenados, Webhooks comprometidos
Componentes afetados	web_fetch, ingestão de e-mail, fontes de dados externas
Mitigações atuais	Encapsulamento de conteúdo com tags XML e aviso de segurança
Risco residual	Alto - O LLM pode ignorar as instruções do encapsulamento
Recomendações	Implementar sanitização de conteúdo, separar contextos de execução

T-EXEC-003: Injeção de argumentos de ferramenta

Atributo	Valor
ID ATLAS	AML.T0051.000 - Injeção de prompt em LLM: direta
Descrição	Atacante manipula argumentos de ferramenta por meio de injeção de prompt
Vetor de ataque	Prompts elaborados que influenciam valores de parâmetros de ferramenta
Componentes afetados	Todas as invocações de ferramentas
Mitigações atuais	Aprovações de execução para comandos perigosos
Risco residual	Alto - Depende do julgamento do usuário
Recomendações	Implementar validação de argumentos, chamadas de ferramenta parametrizadas

T-EXEC-004: Desvio de aprovação de execução

Atributo	Valor
ID ATLAS	AML.T0043 - Criar dados adversariais
Descrição	Atacante cria comandos que contornam a lista de permissões de aprovação
Vetor de ataque	Ofuscação de comandos, exploração de alias, manipulação de caminho
Componentes afetados	exec-approvals.ts, lista de permissões de comandos
Mitigações atuais	Lista de permissões + modo de solicitação
Risco residual	Alto - Sem sanitização de comandos
Recomendações	Implementar normalização de comandos, expandir lista de bloqueio

3.4 Persistência (AML.TA0006)

T-PERSIST-001: Instalação de Skill maliciosa

Atributo	Valor
ID ATLAS	AML.T0010.001 - Comprometimento da cadeia de suprimentos: software de IA
Descrição	Atacante publica Skill maliciosa no ClawHub
Vetor de ataque	Criar conta, publicar Skill com código malicioso oculto
Componentes afetados	ClawHub, carregamento de Skill, execução do agente
Mitigações atuais	Verificação de idade da conta do GitHub, sinalizações de moderação baseadas em padrões
Risco residual	Crítico - Sem sandboxing, revisão limitada
Recomendações	Integração com VirusTotal (em andamento), sandboxing de Skill, revisão da comunidade

T-PERSIST-002: Envenenamento de atualização de Skill

Atributo	Valor
ID ATLAS	AML.T0010.001 - Comprometimento da cadeia de suprimentos: software de IA
Descrição	Atacante compromete Skill popular e envia atualização maliciosa
Vetor de ataque	Comprometimento de conta, engenharia social do proprietário da Skill
Componentes afetados	Versionamento do ClawHub, fluxos de atualização automática
Mitigações atuais	Impressão digital de versão
Risco residual	Alto - Atualizações automáticas podem obter versões maliciosas
Recomendações	Implementar assinatura de atualização, capacidade de rollback, fixação de versão

T-PERSIST-003: Adulteração da configuração do agente

Atributo	Valor
ID ATLAS	AML.T0010.002 - Comprometimento da cadeia de suprimentos: dados
Descrição	Atacante modifica a configuração do agente para persistir acesso
Vetor de ataque	Modificação de arquivo de configuração, injeção de configurações
Componentes afetados	Configuração do agente, políticas de ferramentas
Mitigações atuais	Permissões de arquivo
Risco residual	Médio - Requer acesso local
Recomendações	Verificação de integridade da configuração, registro de auditoria para alterações de configuração

3.5 Evasão de defesa (AML.TA0007)

T-EVADE-001: Desvio de padrões de moderação

Atributo	Valor
ID ATLAS	AML.T0043 - Criar dados adversariais
Descrição	Atacante cria conteúdo de Skill para evadir padrões de moderação
Vetor de ataque	Homóglifos Unicode, truques de codificação, carregamento dinâmico
Componentes afetados	ClawHub moderation.ts
Mitigações atuais	FLAG_RULES baseadas em padrões
Risco residual	Alto - Regex simples facilmente contornadas
Recomendações	Adicionar análise comportamental (VirusTotal Code Insight), detecção baseada em AST

T-EVADE-002: Escape do encapsulamento de conteúdo

Atributo	Valor
ID ATLAS	AML.T0043 - Criar dados adversariais
Descrição	O atacante cria conteúdo que escapa do contexto do wrapper XML
Vetor de ataque	Manipulação de tags, confusão de contexto, substituição de instruções
Componentes afetados	Encapsulamento de conteúdo externo
Mitigações atuais	Tags XML + aviso de segurança
Risco residual	Médio - Novas formas de escape são descobertas regularmente
Recomendações	Múltiplas camadas de wrapper, validação no lado da saída

3.6 Descoberta (AML.TA0008)

T-DISC-001: Enumeração de ferramentas

Atributo	Valor
ID ATLAS	AML.T0040 - Acesso à API de inferência de modelo de IA
Descrição	O atacante enumera ferramentas disponíveis por meio de prompts
Vetor de ataque	Consultas no estilo “Quais ferramentas você tem?”
Componentes afetados	Registro de ferramentas do agente
Mitigações atuais	Nenhuma específica
Risco residual	Baixo - As ferramentas geralmente são documentadas
Recomendações	Considerar controles de visibilidade de ferramentas

T-DISC-002: Extração de dados da sessão

Atributo	Valor
ID ATLAS	AML.T0040 - Acesso à API de inferência de modelo de IA
Descrição	O atacante extrai dados confidenciais do contexto da sessão
Vetor de ataque	Consultas “O que discutimos?”, sondagem de contexto
Componentes afetados	Transcrições de sessão, janela de contexto
Mitigações atuais	Isolamento de sessão por remetente
Risco residual	Médio - Dados dentro da sessão são acessíveis
Recomendações	Implementar redação de dados confidenciais no contexto

3.7 Coleta e exfiltração (AML.TA0009, AML.TA0010)

T-EXFIL-001: Roubo de dados via web_fetch

Atributo	Valor
ID ATLAS	AML.T0009 - Coleta
Descrição	O atacante exfiltra dados instruindo o agente a enviar para uma URL externa
Vetor de ataque	Injeção de prompt que faz o agente enviar dados por POST ao servidor do atacante
Componentes afetados	Ferramenta web_fetch
Mitigações atuais	Bloqueio de SSRF para redes internas
Risco residual	Alto - URLs externas são permitidas
Recomendações	Implementar lista de URLs permitidas, conscientização de classificação de dados

T-EXFIL-002: Envio não autorizado de mensagens

Atributo	Valor
ID ATLAS	AML.T0009 - Coleta
Descrição	O atacante faz o agente enviar mensagens contendo dados confidenciais
Vetor de ataque	Injeção de prompt que faz o agente enviar mensagem ao atacante
Componentes afetados	Ferramenta de mensagens, integrações de canais
Mitigações atuais	Controle de mensagens de saída
Risco residual	Médio - O controle pode ser contornado
Recomendações	Exigir confirmação explícita para novos destinatários

T-EXFIL-003: Coleta de credenciais

Atributo	Valor
ID ATLAS	AML.T0009 - Coleta
Descrição	Habilidade maliciosa coleta credenciais do contexto do agente
Vetor de ataque	Código da habilidade lê variáveis de ambiente, arquivos de configuração
Componentes afetados	Ambiente de execução de habilidades
Mitigações atuais	Nada específico para habilidades
Risco residual	Crítico - Skills executam com privilégios de agente
Recomendações	Isolamento em sandbox de habilidades, isolamento de credenciais

3.8 Impacto (AML.TA0011)

T-IMPACT-001: Execução não autorizada de comandos

Atributo	Valor
ID ATLAS	AML.T0031 - Erosão da integridade de modelo de IA
Descrição	O atacante executa comandos arbitrários no sistema do usuário
Vetor de ataque	Injeção de prompt combinada com bypass de aprovação de execução
Componentes afetados	Ferramenta Bash, execução de comandos
Mitigações atuais	Aprovações de execução, opção de sandbox Docker
Risco residual	Crítico - Execução no host sem sandbox
Recomendações	Usar sandbox por padrão, melhorar a UX de aprovação

T-IMPACT-002: Exaustão de recursos (DoS)

Atributo	Valor
ID ATLAS	AML.T0031 - Erosão da integridade de modelo de IA
Descrição	O atacante esgota créditos de API ou recursos computacionais
Vetor de ataque	Envio automatizado em massa de mensagens, chamadas de ferramentas caras
Componentes afetados	Gateway, sessões de agente, provedor de API
Mitigações atuais	Nenhuma
Risco residual	Alto - Sem limitação de taxa
Recomendações	Implementar limites de taxa por remetente, orçamentos de custo

T-IMPACT-003: Dano à reputação

Atributo	Valor
ID ATLAS	AML.T0031 - Erosão da integridade de modelo de IA
Descrição	O atacante faz o agente enviar conteúdo nocivo/ofensivo
Vetor de ataque	Injeção de prompt que causa respostas inadequadas
Componentes afetados	Geração de saída, envio de mensagens em canais
Mitigações atuais	Políticas de conteúdo do provedor de LLM
Risco residual	Médio - Filtros do provedor são imperfeitos
Recomendações	Camada de filtragem de saída, controles de usuário

4. Análise da cadeia de suprimentos do ClawHub

4.1 Controles de segurança atuais

Controle	Implementação	Efetividade
Idade da conta do GitHub	`requireGitHubAccountAge()`	Média - Eleva a barreira para novos atacantes
Sanitização de caminho	`sanitizePath()`	Alta - Impede travessia de diretórios
Validação de tipo de arquivo	`isTextFile()`	Média - Apenas arquivos de texto, mas ainda podem ser maliciosos
Limites de tamanho	Pacote total de 50 MB	Alta - Impede exaustão de recursos
SKILL.md obrigatório	Readme obrigatório	Baixo valor de segurança - Apenas informativo
Moderação por padrões	FLAG_RULES em moderation.ts	Baixa - Facilmente contornada
Status de moderação	Campo `moderationStatus`	Média - Revisão manual possível

4.2 Padrões de sinalização de moderação

Padrões atuais em moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Limitações:

Verifica apenas slug, displayName, resumo, frontmatter, metadados, caminhos de arquivo
Não analisa o conteúdo real do código da habilidade
Regex simples, facilmente contornada com ofuscação
Sem análise comportamental

4.3 Melhorias planejadas

Melhoria	Status	Impacto
Integração com VirusTotal	Em andamento	Alto - Análise comportamental do Code Insight
Denúncias da comunidade	Parcial (tabela `skillReports` existe)	Médio
Registro de auditoria	Parcial (tabela `auditLogs` existe)	Médio
Sistema de distintivos	Implementado	Médio - `highlighted`, `official`, `deprecated`, `redactionApproved`

5. Matriz de risco

5.1 Probabilidade vs. impacto

ID da ameaça	Probabilidade	Impacto	Nível de risco	Prioridade
T-EXEC-001	Alta	Crítico	Crítico	P0
T-PERSIST-001	Alta	Crítico	Crítico	P0
T-EXFIL-003	Média	Crítico	Crítico	P0
T-IMPACT-001	Média	Crítico	Alto	P1
T-EXEC-002	Alta	Alto	Alto	P1
T-EXEC-004	Média	Alto	Alto	P1
T-ACCESS-003	Média	Alto	Alto	P1
T-EXFIL-001	Média	Alto	Alto	P1
T-IMPACT-002	Alta	Médio	Alto	P1
T-EVADE-001	Alta	Médio	Médio	P2
T-ACCESS-001	Baixa	Alto	Médio	P2
T-ACCESS-002	Baixa	Alto	Médio	P2
T-PERSIST-002	Baixa	Alto	Médio	P2

5.2 Cadeias de ataque de caminho crítico

Cadeia de ataque 1: roubo de dados baseado em habilidades

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Cadeia de ataque 2: injeção de prompt para RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Cadeia de ataque 3: injeção indireta via conteúdo buscado

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Resumo das recomendações

6.1 Imediato (P0)

ID	Recomendação	Aborda
R-001	Concluir a integração com o VirusTotal	T-PERSIST-001, T-EVADE-001
R-002	Implementar sandboxing de Skill	T-PERSIST-001, T-EXFIL-003
R-003	Adicionar validação de saída para ações sensíveis	T-EXEC-001, T-EXEC-002

6.2 Curto prazo (P1)

ID	Recomendação	Aborda
R-004	Implementar limitação de taxa	T-IMPACT-002
R-005	Adicionar criptografia de tokens em repouso	T-ACCESS-003
R-006	Melhorar a UX e a validação de aprovação exec	T-EXEC-004
R-007	Implementar lista de permissões de URL para web_fetch	T-EXFIL-001

6.3 Médio prazo (P2)

ID	Recomendação	Aborda
R-008	Adicionar verificação criptográfica de canais quando possível	T-ACCESS-002
R-009	Implementar verificação de integridade da configuração	T-PERSIST-003
R-010	Adicionar assinatura de atualizações e fixação de versão	T-PERSIST-002

7. Apêndices

7.1 Mapeamento de técnicas ATLAS

ID ATLAS	Nome da técnica	Ameaças ao OpenClaw
AML.T0006	Varredura ativa	T-RECON-001, T-RECON-002
AML.T0009	Coleta	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	Cadeia de suprimentos: software de IA	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	Cadeia de suprimentos: dados	T-PERSIST-003
AML.T0031	Erodir a integridade do modelo de IA	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	Acesso à API de inferência do modelo de IA	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	Criar dados adversariais	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	Injeção de prompt em LLM: direta	T-EXEC-001, T-EXEC-003
AML.T0051.001	Injeção de prompt em LLM: indireta	T-EXEC-002

7.2 Arquivos de segurança principais

Caminho	Finalidade	Nível de risco
`src/infra/exec-approvals.ts`	Lógica de aprovação de comandos	Crítico
`src/gateway/auth.ts`	Autenticação do Gateway	Crítico
`src/infra/net/ssrf.ts`	Proteção contra SSRF	Crítico
`src/security/external-content.ts`	Mitigação de injeção de prompt	Crítico
`src/agents/sandbox/tool-policy.ts`	Aplicação da política de ferramentas	Crítico
`src/routing/resolve-route.ts`	Isolamento de sessão	Médio

7.3 Glossário

Termo	Definição
ATLAS	Cenário de ameaças adversariais da MITRE para sistemas de IA
ClawHub	Marketplace de Skills do OpenClaw
Gateway	Camada de roteamento de mensagens e autenticação do OpenClaw
MCP	Model Context Protocol - interface de provedor de ferramentas
Prompt Injection	Ataque em que instruções maliciosas são incorporadas na entrada
Skill	Extensão baixável para agentes do OpenClaw
SSRF	Server-Side Request Forgery

Este modelo de ameaças é um documento vivo. Relate problemas de segurança para security@openclaw.ai

Gateway

Remote access

Security

Nodes and media

Web interfaces

Documentation Index

​Framework MITRE ATLAS

​Atribuição do framework

​Contribuindo para este modelo de ameaças

​1. Introdução

​1.1 Finalidade

​1.2 Escopo

​1.3 Fora do escopo

​2. Arquitetura do sistema

​2.1 Limites de confiança

​2.2 Fluxos de dados

​3. Análise de ameaças por tática do ATLAS

​3.1 Reconhecimento (AML.TA0002)

​T-RECON-001: Descoberta de endpoint de agente

​T-RECON-002: Sondagem de integração de canal

​3.2 Acesso inicial (AML.TA0004)

​T-ACCESS-001: Interceptação de código de pareamento

​T-ACCESS-002: Falsificação de AllowFrom

​T-ACCESS-003: Roubo de tokens

​3.3 Execução (AML.TA0005)

​T-EXEC-001: Injeção direta de prompt

​T-EXEC-002: Injeção indireta de prompt

​T-EXEC-003: Injeção de argumentos de ferramenta

​T-EXEC-004: Desvio de aprovação de execução

​3.4 Persistência (AML.TA0006)

​T-PERSIST-001: Instalação de Skill maliciosa

​T-PERSIST-002: Envenenamento de atualização de Skill

​T-PERSIST-003: Adulteração da configuração do agente

​3.5 Evasão de defesa (AML.TA0007)

​T-EVADE-001: Desvio de padrões de moderação

​T-EVADE-002: Escape do encapsulamento de conteúdo

​3.6 Descoberta (AML.TA0008)

​T-DISC-001: Enumeração de ferramentas

​T-DISC-002: Extração de dados da sessão

​3.7 Coleta e exfiltração (AML.TA0009, AML.TA0010)

​T-EXFIL-001: Roubo de dados via web_fetch

​T-EXFIL-002: Envio não autorizado de mensagens

​T-EXFIL-003: Coleta de credenciais

​3.8 Impacto (AML.TA0011)

​T-IMPACT-001: Execução não autorizada de comandos

​T-IMPACT-002: Exaustão de recursos (DoS)

​T-IMPACT-003: Dano à reputação

​4. Análise da cadeia de suprimentos do ClawHub

​4.1 Controles de segurança atuais

​4.2 Padrões de sinalização de moderação

​4.3 Melhorias planejadas

​5. Matriz de risco

​5.1 Probabilidade vs. impacto

​5.2 Cadeias de ataque de caminho crítico

​6. Resumo das recomendações

​6.1 Imediato (P0)

​6.2 Curto prazo (P1)

​6.3 Médio prazo (P2)

​7. Apêndices

​7.1 Mapeamento de técnicas ATLAS

​7.2 Arquivos de segurança principais

​7.3 Glossário

​Relacionados