Фреймворк MITRE ATLAS
Версия: 1.0-draft
Последнее обновление: 2026-02-04
Методология: MITRE ATLAS + диаграммы потоков данных
Фреймворк: MITRE ATLAS (ландшафт состязательных угроз для ИИ-систем)
Атрибуция фреймворка
Эта модель угроз построена на основе MITRE ATLAS , отраслевого стандартного фреймворка для документирования состязательных угроз ИИ/ML-системам. ATLAS поддерживается MITRE совместно с сообществом безопасности ИИ.
Ключевые ресурсы ATLAS:
Участие в этой модели угроз
Это живой документ, поддерживаемый сообществом OpenClaw. Рекомендации по участию см. в CONTRIBUTING-THREAT-MODEL.md :
Сообщение о новых угрозах
Обновление существующих угроз
Предложение цепочек атак
Предложение мер снижения риска
1. Введение
1.1 Назначение
Эта модель угроз документирует состязательные угрозы платформе ИИ-агентов OpenClaw и маркетплейсу навыков ClawHub с использованием фреймворка MITRE ATLAS, специально разработанного для ИИ/ML-систем.
1.2 Область охвата
Компонент
Включено
Примечания
Среда выполнения агентов OpenClaw
Да
Основное выполнение агентов, вызовы инструментов, сеансы
Gateway
Да
Аутентификация, маршрутизация, интеграция каналов
Интеграции каналов
Да
WhatsApp, Telegram, Discord, Signal, Slack и т. д.
Маркетплейс ClawHub
Да
Публикация навыков, модерация, распространение
Серверы MCP
Да
Внешние поставщики инструментов
Устройства пользователей
Частично
Мобильные приложения, настольные клиенты
1.3 Вне области охвата
Для этой модели угроз ничто явно не исключено из области охвата.
2. Архитектура системы
2.1 Границы доверия
Code Copy code ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ 2.2 Потоки данных
Поток
Источник
Назначение
Данные
Защита
F1
Канал
Gateway
Сообщения пользователя
TLS, AllowFrom
F2
Gateway
Агент
Маршрутизированные сообщения
Изоляция сеансов
F3
Агент
Инструменты
Вызовы инструментов
Применение политик
F4
Агент
Внешние системы
запросы web_fetch
Блокировка SSRF
F5
ClawHub
Агент
Код навыка
Модерация, сканирование
F6
Агент
Канал
Ответы
Фильтрация вывода
3. Анализ угроз по тактикам ATLAS
3.1 Разведка (AML.TA0002)
T-RECON-001: Обнаружение конечных точек агента
Атрибут
Значение
ID ATLAS AML.T0006 - активное сканирование
Описание Атакующий сканирует открытые конечные точки Gateway OpenClaw
Вектор атаки Сетевое сканирование, запросы Shodan, перечисление DNS
Затронутые компоненты Gateway, открытые конечные точки API
Текущие меры снижения риска Вариант аутентификации Tailscale, привязка к loopback по умолчанию
Остаточный риск Средний - публичные Gateway можно обнаружить
Рекомендации Задокументировать безопасное развертывание, добавить ограничение частоты запросов на конечных точках обнаружения
T-RECON-002: Зондирование интеграции каналов
Атрибут
Значение
ATLAS ID AML.T0006 - Активное сканирование
Описание Злоумышленник зондирует каналы обмена сообщениями, чтобы выявить аккаунты, управляемые ИИ
Вектор атаки Отправка тестовых сообщений, наблюдение за шаблонами ответов
Затронутые компоненты Все интеграции каналов
Текущие меры снижения риска Специальные отсутствуют
Остаточный риск Низкий - Обнаружение само по себе имеет ограниченную ценность
Рекомендации Рассмотреть рандомизацию времени ответа
3.2 Первоначальный доступ (AML.TA0004)
T-ACCESS-001: Перехват кода сопряжения
Атрибут
Значение
ATLAS ID AML.T0040 - Доступ к API инференса модели ИИ
Описание Злоумышленник перехватывает код сопряжения во время льготного периода сопряжения (1 ч для сопряжения канала DM, 5 мин для сопряжения node)
Вектор атаки Подглядывание через плечо, перехват сетевого трафика, социальная инженерия
Затронутые компоненты Система сопряжения устройств
Текущие меры снижения риска Истечение срока через 1 ч (сопряжение DM) / через 5 мин (сопряжение node), коды отправляются через существующий канал
Остаточный риск Средний - Льготный период можно эксплуатировать
Рекомендации Сократить льготный период, добавить шаг подтверждения
T-ACCESS-002: Подмена AllowFrom
Атрибут
Значение
ATLAS ID AML.T0040 - Доступ к API инференса модели ИИ
Описание Злоумышленник подменяет разрешенную идентичность отправителя в канале
Вектор атаки Зависит от канала - подмена телефонного номера, имитация имени пользователя
Затронутые компоненты Проверка AllowFrom для каждого канала
Текущие меры снижения риска Проверка идентичности с учетом особенностей канала
Остаточный риск Средний - Некоторые каналы уязвимы к подмене
Рекомендации Документировать риски для отдельных каналов, добавить криптографическую проверку там, где возможно
T-ACCESS-003: Кража токенов
Атрибут
Значение
ATLAS ID AML.T0040 - Доступ к API инференса модели ИИ
Описание Злоумышленник крадет токены аутентификации из файлов конфигурации
Вектор атаки Вредоносное ПО, несанкционированный доступ к устройству, раскрытие резервной копии конфигурации
Затронутые компоненты ~/.openclaw/credentials/, хранилище конфигурации
Текущие меры снижения риска Права доступа к файлам
Остаточный риск Высокий - Токены хранятся в открытом виде
Рекомендации Реализовать шифрование токенов в состоянии покоя, добавить ротацию токенов
3.3 Выполнение (AML.TA0005)
T-EXEC-001: Прямая инъекция промпта
Атрибут
Значение
ATLAS ID AML.T0051.000 - Инъекция промпта LLM: прямая
Описание Злоумышленник отправляет специально составленные промпты для манипулирования поведением агента
Вектор атаки Сообщения в каналах, содержащие состязательные инструкции
Затронутые компоненты LLM агента, все поверхности ввода
Текущие меры снижения риска Обнаружение шаблонов, обертывание внешнего содержимого
Остаточный риск Критический - Только обнаружение, без блокировки; сложные атаки обходят его
Рекомендации Реализовать многоуровневую защиту, проверку вывода, подтверждение пользователем для чувствительных действий
T-EXEC-002: Непрямая инъекция промпта
Атрибут
Значение
ATLAS ID AML.T0051.001 - Инъекция промпта LLM: непрямая
Описание Злоумышленник встраивает вредоносные инструкции в получаемое содержимое
Вектор атаки Вредоносные URL, отравленные электронные письма, скомпрометированные Webhook
Затронутые компоненты web_fetch, прием электронной почты, внешние источники данных
Текущие меры снижения риска Обертывание содержимого XML-тегами и уведомлением о безопасности
Остаточный риск Высокий - LLM может игнорировать инструкции обертки
Рекомендации Реализовать очистку содержимого, отдельные контексты выполнения
T-EXEC-003: Инъекция аргументов инструмента
Атрибут
Значение
ATLAS ID AML.T0051.000 - Инъекция промпта LLM: прямая
Описание Злоумышленник манипулирует аргументами инструмента через инъекцию промпта
Вектор атаки Специально составленные промпты, влияющие на значения параметров инструмента
Затронутые компоненты Все вызовы инструментов
Текущие меры снижения риска Утверждения exec для опасных команд
Остаточный риск Высокий - Зависит от суждения пользователя
Рекомендации Реализовать проверку аргументов, параметризованные вызовы инструментов
T-EXEC-004: Обход утверждения Exec
Атрибут
Значение
ATLAS ID AML.T0043 - Создание состязательных данных
Описание Злоумышленник составляет команды, которые обходят список разрешений утверждения
Вектор атаки Обфускация команд, эксплуатация псевдонимов, манипуляция путями
Затронутые компоненты exec-approvals.ts, список разрешенных команд
Текущие меры снижения риска Список разрешений + режим запроса
Остаточный риск Высокий - Нет очистки команд
Рекомендации Реализовать нормализацию команд, расширить список блокировок
3.4 Закрепление (AML.TA0006)
T-PERSIST-001: Установка вредоносного Skill
Атрибут
Значение
ATLAS ID AML.T0010.001 - Компрометация цепочки поставок: ПО ИИ
Описание Злоумышленник публикует вредоносный skill в ClawHub
Вектор атаки Создание аккаунта, публикация skill со скрытым вредоносным кодом
Затронутые компоненты ClawHub, загрузка skill, выполнение агентом
Текущие меры снижения риска Проверка возраста аккаунта GitHub, флаги модерации на основе шаблонов
Остаточный риск Критический - Нет песочницы, ограниченная проверка
Рекомендации Интеграция VirusTotal (в процессе), песочница для skill, проверка сообществом
T-PERSIST-002: Отравление обновления Skill
Атрибут
Значение
ATLAS ID AML.T0010.001 - Компрометация цепочки поставок: ПО ИИ
Описание Злоумышленник компрометирует популярный skill и отправляет вредоносное обновление
Вектор атаки Компрометация аккаунта, социальная инженерия владельца skill
Затронутые компоненты Версионирование ClawHub, потоки автоматического обновления
Текущие меры снижения риска Отпечатки версий
Остаточный риск Высокий - Автообновления могут получить вредоносные версии
Рекомендации Реализовать подпись обновлений, возможность отката, закрепление версий
T-PERSIST-003: Подмена конфигурации агента
Атрибут
Значение
ATLAS ID AML.T0010.002 - Компрометация цепочки поставок: данные
Описание Злоумышленник изменяет конфигурацию агента, чтобы сохранить доступ
Вектор атаки Изменение файла конфигурации, инъекция настроек
Затронутые компоненты Конфигурация агента, политики инструментов
Текущие меры снижения риска Права доступа к файлам
Остаточный риск Средний - Требуется локальный доступ
Рекомендации Проверка целостности конфигурации, аудит изменений конфигурации
3.5 Обход защиты (AML.TA0007)
T-EVADE-001: Обход шаблонов модерации
Атрибут
Значение
ATLAS ID AML.T0043 - Создание состязательных данных
Описание Злоумышленник составляет содержимое skill так, чтобы обойти шаблоны модерации
Вектор атаки Unicode-омоглифы, приемы с кодировками, динамическая загрузка
Затронутые компоненты Модерация ClawHub moderation.ts
Текущие меры снижения риска FLAG_RULES на основе шаблонов
Остаточный риск Высокий - Простое регулярное выражение легко обходится
Рекомендации Добавить поведенческий анализ (VirusTotal Code Insight), обнаружение на основе AST
T-EVADE-002: Выход из обертки содержимого
Атрибут
Значение
ATLAS ID AML.T0043 - Создание состязательных данных
Описание Злоумышленник создает содержимое, выходящее из контекста XML-обертки
Вектор атаки Манипуляция тегами, путаница контекста, переопределение инструкций
Затронутые компоненты Оборачивание внешнего содержимого
Текущие меры защиты XML-теги + уведомление о безопасности
Остаточный риск Средний - Новые способы обхода обнаруживаются регулярно
Рекомендации Несколько слоев обертки, проверка на стороне вывода
3.6 Обнаружение (AML.TA0008)
T-DISC-001: Перечисление инструментов
Атрибут
Значение
ATLAS ID AML.T0040 - Доступ к API инференса ИИ-модели
Описание Злоумышленник перечисляет доступные инструменты через промптинг
Вектор атаки Запросы в стиле "Какие инструменты у тебя есть?"
Затронутые компоненты Реестр инструментов агента
Текущие меры защиты Нет специальных
Остаточный риск Низкий - Инструменты обычно задокументированы
Рекомендации Рассмотреть средства управления видимостью инструментов
T-DISC-002: Извлечение данных сеанса
Атрибут
Значение
ATLAS ID AML.T0040 - Доступ к API инференса ИИ-модели
Описание Злоумышленник извлекает конфиденциальные данные из контекста сеанса
Вектор атаки Запросы "Что мы обсуждали?", зондирование контекста
Затронутые компоненты Транскрипты сеансов, окно контекста
Текущие меры защиты Изоляция сеанса для каждого отправителя
Остаточный риск Средний - Данные внутри сеанса доступны
Рекомендации Реализовать редактирование конфиденциальных данных в контексте
3.7 Сбор и эксфильтрация (AML.TA0009, AML.TA0010)
T-EXFIL-001: Кража данных через web_fetch
Атрибут
Значение
ATLAS ID AML.T0009 - Сбор
Описание Злоумышленник эксфильтрирует данные, инструктируя агента отправить их на внешний URL
Вектор атаки Инъекция промпта, из-за которой агент отправляет данные POST-запросом на сервер злоумышленника
Затронутые компоненты Инструмент web_fetch
Текущие меры защиты Блокировка SSRF для внутренних сетей
Остаточный риск Высокий - Внешние URL разрешены
Рекомендации Реализовать список разрешенных URL, учитывать классификацию данных
T-EXFIL-002: Несанкционированная отправка сообщений
Атрибут
Значение
ATLAS ID AML.T0009 - Сбор
Описание Злоумышленник заставляет агента отправлять сообщения с конфиденциальными данными
Вектор атаки Инъекция промпта, из-за которой агент отправляет сообщение злоумышленнику
Затронутые компоненты Инструмент сообщений, интеграции каналов
Текущие меры защиты Контроль исходящих сообщений
Остаточный риск Средний - Контроль может быть обойден
Рекомендации Требовать явное подтверждение для новых получателей
T-EXFIL-003: Сбор учетных данных
Атрибут
Значение
ATLAS ID AML.T0009 - Сбор
Описание Вредоносный навык собирает учетные данные из контекста агента
Вектор атаки Код навыка читает переменные окружения, файлы конфигурации
Затронутые компоненты Среда выполнения навыков
Текущие меры защиты Нет специальных для навыков
Остаточный риск Критический - Skills выполняются с привилегиями агента
Рекомендации Песочница для Skills, изоляция учетных данных
3.8 Воздействие (AML.TA0011)
T-IMPACT-001: Несанкционированное выполнение команд
Атрибут
Значение
ATLAS ID AML.T0031 - Подрыв целостности ИИ-модели
Описание Злоумышленник выполняет произвольные команды в системе пользователя
Вектор атаки Инъекция промпта в сочетании с обходом подтверждения exec
Затронутые компоненты Инструмент Bash, выполнение команд
Текущие меры защиты Подтверждения exec, опция песочницы Docker
Остаточный риск Критический - Выполнение на хосте без песочницы
Рекомендации Использовать песочницу по умолчанию, улучшить UX подтверждений
T-IMPACT-002: Исчерпание ресурсов (DoS)
Атрибут
Значение
ATLAS ID AML.T0031 - Подрыв целостности ИИ-модели
Описание Злоумышленник исчерпывает кредиты API или вычислительные ресурсы
Вектор атаки Автоматизированная лавина сообщений, дорогостоящие вызовы инструментов
Затронутые компоненты Gateway, сеансы агента, API-провайдер
Текущие меры защиты Нет
Остаточный риск Высокий - Нет ограничения частоты
Рекомендации Реализовать ограничения частоты для каждого отправителя, бюджеты затрат
T-IMPACT-003: Репутационный ущерб
Атрибут
Значение
ATLAS ID AML.T0031 - Подрыв целостности ИИ-модели
Описание Злоумышленник заставляет агента отправлять вредоносный/оскорбительный контент
Вектор атаки Инъекция промпта, вызывающая неуместные ответы
Затронутые компоненты Генерация вывода, обмен сообщениями в каналах
Текущие меры защиты Политики контента провайдера LLM
Остаточный риск Средний - Фильтры провайдера несовершенны
Рекомендации Слой фильтрации вывода, пользовательские элементы управления
4. Анализ цепочки поставок ClawHub
4.1 Текущие средства контроля безопасности
Средство контроля
Реализация
Эффективность
Возраст аккаунта GitHub
requireGitHubAccountAge()Средняя - Повышает порог для новых злоумышленников
Санитизация пути
sanitizePath()Высокая - Предотвращает обход пути
Проверка типа файла
isTextFile()Средняя - Только текстовые файлы, но они все равно могут быть вредоносными
Ограничения размера
Общий размер пакета 50 МБ
Высокая - Предотвращает исчерпание ресурсов
Обязательный SKILL.md
Обязательный readme
Низкая ценность для безопасности - Только информационная
Модерация по шаблонам
FLAG_RULES в moderation.ts
Низкая - Легко обходится
Статус модерации
Поле moderationStatus
Средняя - Возможна ручная проверка
4.2 Шаблоны флагов модерации
Текущие шаблоны в moderation.ts:
javascript Copy code /(keepcold131\/ClawdAuthenticatorTool |ClawdAuthenticatorTool )/i /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg |webhook|hooks\.slack )/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly |tinyurl\.com |t\.co |goo\.gl |is\.gd )/i Ограничения:
Проверяет только slug, displayName, summary, frontmatter, metadata, пути файлов
Не анализирует фактическое содержимое кода навыка
Простые регулярные выражения легко обходятся с помощью обфускации
Нет поведенческого анализа
4.3 Запланированные улучшения
Улучшение
Статус
Влияние
Интеграция VirusTotal
В процессе
Высокое - Поведенческий анализ Code Insight
Сообщения сообщества
Частично (таблица skillReports существует)
Среднее
Журналирование аудита
Частично (таблица auditLogs существует)
Среднее
Система бейджей
Реализовано
Среднее - highlighted, official, deprecated, redactionApproved
5. Матрица рисков
5.1 Вероятность и воздействие
ID угрозы
Вероятность
Воздействие
Уровень риска
Приоритет
T-EXEC-001
Высокая
Критическое
Критический P0
T-PERSIST-001
Высокая
Критическое
Критический P0
T-EXFIL-003
Средняя
Критическое
Критический P0
T-IMPACT-001
Средняя
Критическое
Высокий P1
T-EXEC-002
Высокая
Высокое
Высокий P1
T-EXEC-004
Средняя
Высокое
Высокий P1
T-ACCESS-003
Средняя
Высокое
Высокий P1
T-EXFIL-001
Средняя
Высокое
Высокий P1
T-IMPACT-002
Высокая
Среднее
Высокий P1
T-EVADE-001
Высокая
Среднее
Средний P2
T-ACCESS-001
Низкая
Высокое
Средний P2
T-ACCESS-002
Низкая
Высокое
Средний P2
T-PERSIST-002
Низкая
Высокое
Средний P2
5.2 Критические цепочки атак
Цепочка атаки 1: Кража данных через Skills
Code Copy code T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) Цепочка атаки 2: Инъекция промпта до RCE
Code Copy code T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) Цепочка атаки 3: Косвенная инъекция через полученное содержимое
Code Copy code T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) 6. Сводка рекомендаций
6.1 Немедленно (P0)
ID
Рекомендация
Устраняет
R-001
Завершить интеграцию VirusTotal
T-PERSIST-001, T-EVADE-001
R-002
Реализовать изоляцию навыков
T-PERSIST-001, T-EXFIL-003
R-003
Добавить проверку вывода для чувствительных действий
T-EXEC-001, T-EXEC-002
6.2 Краткосрочные (P1)
ID
Рекомендация
Устраняет
R-004
Реализовать ограничение частоты запросов
T-IMPACT-002
R-005
Добавить шифрование токенов при хранении
T-ACCESS-003
R-006
Улучшить UX подтверждения exec и проверку
T-EXEC-004
R-007
Реализовать список разрешенных URL для web_fetch
T-EXFIL-001
6.3 Среднесрочные (P2)
ID
Рекомендация
Устраняет
R-008
Добавить криптографическую проверку каналов там, где это возможно
T-ACCESS-002
R-009
Реализовать проверку целостности конфигурации
T-PERSIST-003
R-010
Добавить подпись обновлений и фиксацию версий
T-PERSIST-002
7. Приложения
7.1 Сопоставление техник ATLAS
ID ATLAS
Название техники
Угрозы OpenClaw
AML.T0006
Активное сканирование
T-RECON-001, T-RECON-002
AML.T0009
Сбор данных
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001
Цепочка поставок: ПО для ИИ
T-PERSIST-001, T-PERSIST-002
AML.T0010.002
Цепочка поставок: данные
T-PERSIST-003
AML.T0031
Подрыв целостности модели ИИ
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040
Доступ к API вывода модели ИИ
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043
Создание состязательных данных
T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000
Prompt Injection LLM: прямой
T-EXEC-001, T-EXEC-003
AML.T0051.001
Prompt Injection LLM: непрямой
T-EXEC-002
7.2 Ключевые файлы безопасности
Путь
Назначение
Уровень риска
src/infra/exec-approvals.tsЛогика подтверждения команд
Критический
src/gateway/auth.tsАутентификация Gateway
Критический
src/infra/net/ssrf.tsЗащита от SSRF
Критический
src/security/external-content.tsСнижение риска prompt injection
Критический
src/agents/sandbox/tool-policy.tsПрименение политики инструментов
Критический
src/routing/resolve-route.tsИзоляция сеансов
Средний
7.3 Глоссарий
Термин
Определение
ATLAS MITRE Adversarial Threat Landscape for AI Systems
ClawHub Маркетплейс навыков OpenClaw
Gateway Уровень маршрутизации сообщений и аутентификации OpenClaw
MCP Model Context Protocol - интерфейс поставщика инструментов
Prompt Injection Атака, при которой вредоносные инструкции встраиваются во входные данные
Skill Загружаемое расширение для агентов OpenClaw
SSRF Server-Side Request Forgery
Эта модель угроз является живым документом. Сообщайте о проблемах безопасности на security@openclaw.ai
Связанные материалы
