--- read_when: - Анализ состояния безопасности или сценариев угроз - Работа над функциями безопасности или ответами на аудит summary: Модель угроз OpenClaw, сопоставленная с фреймворком MITRE ATLAS title: Модель угроз (MITRE ATLAS) x-i18n: generated_at: "2026-06-28T23:46:51Z" model: gpt-5.5 postprocess_version: locale-links-v1 provider: openai source_hash: e7371231e9795cd899d727b87dfba7a5cae963f1fd1e50226e3fbb7488ef7381 source_path: security/THREAT-MODEL-ATLAS.md workflow: 16 --- ## Фреймворк MITRE ATLAS **Версия:** 1.0-draft **Последнее обновление:** 2026-02-04 **Методология:** MITRE ATLAS + диаграммы потоков данных **Фреймворк:** [MITRE ATLAS](https://atlas.mitre.org/) (ландшафт состязательных угроз для ИИ-систем) ### Атрибуция фреймворка Эта модель угроз построена на основе [MITRE ATLAS](https://atlas.mitre.org/), отраслевого стандартного фреймворка для документирования состязательных угроз ИИ/ML-системам. ATLAS поддерживается [MITRE](https://www.mitre.org/) совместно с сообществом безопасности ИИ. **Ключевые ресурсы ATLAS:** - [Техники ATLAS](https://atlas.mitre.org/techniques/) - [Тактики ATLAS](https://atlas.mitre.org/tactics/) - [Примеры ATLAS](https://atlas.mitre.org/studies/) - [ATLAS GitHub](https://github.com/mitre-atlas/atlas-data) - [Участие в ATLAS](https://atlas.mitre.org/resources/contribute) ### Участие в этой модели угроз Это живой документ, поддерживаемый сообществом OpenClaw. Рекомендации по участию см. в [CONTRIBUTING-THREAT-MODEL.md](/ru/security/CONTRIBUTING-THREAT-MODEL): - Сообщение о новых угрозах - Обновление существующих угроз - Предложение цепочек атак - Предложение мер снижения риска --- ## 1. Введение ### 1.1 Назначение Эта модель угроз документирует состязательные угрозы платформе ИИ-агентов OpenClaw и маркетплейсу навыков ClawHub с использованием фреймворка MITRE ATLAS, специально разработанного для ИИ/ML-систем. ### 1.2 Область охвата | Компонент | Включено | Примечания | | ---------------------- | -------- | ----------------------------------------------- | | Среда выполнения агентов OpenClaw | Да | Основное выполнение агентов, вызовы инструментов, сеансы | | Gateway | Да | Аутентификация, маршрутизация, интеграция каналов | | Интеграции каналов | Да | WhatsApp, Telegram, Discord, Signal, Slack и т. д. | | Маркетплейс ClawHub | Да | Публикация навыков, модерация, распространение | | Серверы MCP | Да | Внешние поставщики инструментов | | Устройства пользователей | Частично | Мобильные приложения, настольные клиенты | ### 1.3 Вне области охвата Для этой модели угроз ничто явно не исключено из области охвата. --- ## 2. Архитектура системы ### 2.1 Границы доверия ``` ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ ``` ### 2.2 Потоки данных | Поток | Источник | Назначение | Данные | Защита | | ---- | ------- | ----------- | ------------------ | -------------------- | | F1 | Канал | Gateway | Сообщения пользователя | TLS, AllowFrom | | F2 | Gateway | Агент | Маршрутизированные сообщения | Изоляция сеансов | | F3 | Агент | Инструменты | Вызовы инструментов | Применение политик | | F4 | Агент | Внешние системы | запросы web_fetch | Блокировка SSRF | | F5 | ClawHub | Агент | Код навыка | Модерация, сканирование | | F6 | Агент | Канал | Ответы | Фильтрация вывода | --- ## 3. Анализ угроз по тактикам ATLAS ### 3.1 Разведка (AML.TA0002) #### T-RECON-001: Обнаружение конечных точек агента | Атрибут | Значение | | ----------------------- | -------------------------------------------------------------------- | | **ID ATLAS** | AML.T0006 - активное сканирование | | **Описание** | Атакующий сканирует открытые конечные точки Gateway OpenClaw | | **Вектор атаки** | Сетевое сканирование, запросы Shodan, перечисление DNS | | **Затронутые компоненты** | Gateway, открытые конечные точки API | | **Текущие меры снижения риска** | Вариант аутентификации Tailscale, привязка к loopback по умолчанию | | **Остаточный риск** | Средний - публичные Gateway можно обнаружить | | **Рекомендации** | Задокументировать безопасное развертывание, добавить ограничение частоты запросов на конечных точках обнаружения | #### T-RECON-002: Зондирование интеграции каналов | Атрибут | Значение | | ---------------------- | ------------------------------------------------------------------ | | **ATLAS ID** | AML.T0006 - Активное сканирование | | **Описание** | Злоумышленник зондирует каналы обмена сообщениями, чтобы выявить аккаунты, управляемые ИИ | | **Вектор атаки** | Отправка тестовых сообщений, наблюдение за шаблонами ответов | | **Затронутые компоненты** | Все интеграции каналов | | **Текущие меры снижения риска** | Специальные отсутствуют | | **Остаточный риск** | Низкий - Обнаружение само по себе имеет ограниченную ценность | | **Рекомендации** | Рассмотреть рандомизацию времени ответа | --- ### 3.2 Первоначальный доступ (AML.TA0004) #### T-ACCESS-001: Перехват кода сопряжения | Атрибут | Значение | | ---------------------- | ------------------------------------------------------------------------------------------------------------- | | **ATLAS ID** | AML.T0040 - Доступ к API инференса модели ИИ | | **Описание** | Злоумышленник перехватывает код сопряжения во время льготного периода сопряжения (1 ч для сопряжения канала DM, 5 мин для сопряжения node) | | **Вектор атаки** | Подглядывание через плечо, перехват сетевого трафика, социальная инженерия | | **Затронутые компоненты** | Система сопряжения устройств | | **Текущие меры снижения риска** | Истечение срока через 1 ч (сопряжение DM) / через 5 мин (сопряжение node), коды отправляются через существующий канал | | **Остаточный риск** | Средний - Льготный период можно эксплуатировать | | **Рекомендации** | Сократить льготный период, добавить шаг подтверждения | #### T-ACCESS-002: Подмена AllowFrom | Атрибут | Значение | | ---------------------- | ------------------------------------------------------------------------------ | | **ATLAS ID** | AML.T0040 - Доступ к API инференса модели ИИ | | **Описание** | Злоумышленник подменяет разрешенную идентичность отправителя в канале | | **Вектор атаки** | Зависит от канала - подмена телефонного номера, имитация имени пользователя | | **Затронутые компоненты** | Проверка AllowFrom для каждого канала | | **Текущие меры снижения риска** | Проверка идентичности с учетом особенностей канала | | **Остаточный риск** | Средний - Некоторые каналы уязвимы к подмене | | **Рекомендации** | Документировать риски для отдельных каналов, добавить криптографическую проверку там, где возможно | #### T-ACCESS-003: Кража токенов | Атрибут | Значение | | ---------------------- | ----------------------------------------------------------- | | **ATLAS ID** | AML.T0040 - Доступ к API инференса модели ИИ | | **Описание** | Злоумышленник крадет токены аутентификации из файлов конфигурации | | **Вектор атаки** | Вредоносное ПО, несанкционированный доступ к устройству, раскрытие резервной копии конфигурации | | **Затронутые компоненты** | ~/.openclaw/credentials/, хранилище конфигурации | | **Текущие меры снижения риска** | Права доступа к файлам | | **Остаточный риск** | Высокий - Токены хранятся в открытом виде | | **Рекомендации** | Реализовать шифрование токенов в состоянии покоя, добавить ротацию токенов | --- ### 3.3 Выполнение (AML.TA0005) #### T-EXEC-001: Прямая инъекция промпта | Атрибут | Значение | | ---------------------- | ----------------------------------------------------------------------------------------- | | **ATLAS ID** | AML.T0051.000 - Инъекция промпта LLM: прямая | | **Описание** | Злоумышленник отправляет специально составленные промпты для манипулирования поведением агента | | **Вектор атаки** | Сообщения в каналах, содержащие состязательные инструкции | | **Затронутые компоненты** | LLM агента, все поверхности ввода | | **Текущие меры снижения риска** | Обнаружение шаблонов, обертывание внешнего содержимого | | **Остаточный риск** | Критический - Только обнаружение, без блокировки; сложные атаки обходят его | | **Рекомендации** | Реализовать многоуровневую защиту, проверку вывода, подтверждение пользователем для чувствительных действий | #### T-EXEC-002: Непрямая инъекция промпта | Атрибут | Значение | | ---------------------- | ----------------------------------------------------------- | | **ATLAS ID** | AML.T0051.001 - Инъекция промпта LLM: непрямая | | **Описание** | Злоумышленник встраивает вредоносные инструкции в получаемое содержимое | | **Вектор атаки** | Вредоносные URL, отравленные электронные письма, скомпрометированные Webhook | | **Затронутые компоненты** | web_fetch, прием электронной почты, внешние источники данных | | **Текущие меры снижения риска** | Обертывание содержимого XML-тегами и уведомлением о безопасности | | **Остаточный риск** | Высокий - LLM может игнорировать инструкции обертки | | **Рекомендации** | Реализовать очистку содержимого, отдельные контексты выполнения | #### T-EXEC-003: Инъекция аргументов инструмента | Атрибут | Значение | | ---------------------- | ------------------------------------------------------------ | | **ATLAS ID** | AML.T0051.000 - Инъекция промпта LLM: прямая | | **Описание** | Злоумышленник манипулирует аргументами инструмента через инъекцию промпта | | **Вектор атаки** | Специально составленные промпты, влияющие на значения параметров инструмента | | **Затронутые компоненты** | Все вызовы инструментов | | **Текущие меры снижения риска** | Утверждения exec для опасных команд | | **Остаточный риск** | Высокий - Зависит от суждения пользователя | | **Рекомендации** | Реализовать проверку аргументов, параметризованные вызовы инструментов | #### T-EXEC-004: Обход утверждения Exec | Атрибут | Значение | | ---------------------- | ---------------------------------------------------------- | | **ATLAS ID** | AML.T0043 - Создание состязательных данных | | **Описание** | Злоумышленник составляет команды, которые обходят список разрешений утверждения | | **Вектор атаки** | Обфускация команд, эксплуатация псевдонимов, манипуляция путями | | **Затронутые компоненты** | exec-approvals.ts, список разрешенных команд | | **Текущие меры снижения риска** | Список разрешений + режим запроса | | **Остаточный риск** | Высокий - Нет очистки команд | | **Рекомендации** | Реализовать нормализацию команд, расширить список блокировок | --- ### 3.4 Закрепление (AML.TA0006) #### T-PERSIST-001: Установка вредоносного Skill | Атрибут | Значение | | ---------------------- | ------------------------------------------------------------------------ | | **ATLAS ID** | AML.T0010.001 - Компрометация цепочки поставок: ПО ИИ | | **Описание** | Злоумышленник публикует вредоносный skill в ClawHub | | **Вектор атаки** | Создание аккаунта, публикация skill со скрытым вредоносным кодом | | **Затронутые компоненты** | ClawHub, загрузка skill, выполнение агентом | | **Текущие меры снижения риска** | Проверка возраста аккаунта GitHub, флаги модерации на основе шаблонов | | **Остаточный риск** | Критический - Нет песочницы, ограниченная проверка | | **Рекомендации** | Интеграция VirusTotal (в процессе), песочница для skill, проверка сообществом | #### T-PERSIST-002: Отравление обновления Skill | Атрибут | Значение | | ---------------------- | -------------------------------------------------------------- | | **ATLAS ID** | AML.T0010.001 - Компрометация цепочки поставок: ПО ИИ | | **Описание** | Злоумышленник компрометирует популярный skill и отправляет вредоносное обновление | | **Вектор атаки** | Компрометация аккаунта, социальная инженерия владельца skill | | **Затронутые компоненты** | Версионирование ClawHub, потоки автоматического обновления | | **Текущие меры снижения риска** | Отпечатки версий | | **Остаточный риск** | Высокий - Автообновления могут получить вредоносные версии | | **Рекомендации** | Реализовать подпись обновлений, возможность отката, закрепление версий | #### T-PERSIST-003: Подмена конфигурации агента | Атрибут | Значение | | ---------------------- | --------------------------------------------------------------- | | **ATLAS ID** | AML.T0010.002 - Компрометация цепочки поставок: данные | | **Описание** | Злоумышленник изменяет конфигурацию агента, чтобы сохранить доступ | | **Вектор атаки** | Изменение файла конфигурации, инъекция настроек | | **Затронутые компоненты** | Конфигурация агента, политики инструментов | | **Текущие меры снижения риска** | Права доступа к файлам | | **Остаточный риск** | Средний - Требуется локальный доступ | | **Рекомендации** | Проверка целостности конфигурации, аудит изменений конфигурации | --- ### 3.5 Обход защиты (AML.TA0007) #### T-EVADE-001: Обход шаблонов модерации | Атрибут | Значение | | ---------------------- | ---------------------------------------------------------------------- | | **ATLAS ID** | AML.T0043 - Создание состязательных данных | | **Описание** | Злоумышленник составляет содержимое skill так, чтобы обойти шаблоны модерации | | **Вектор атаки** | Unicode-омоглифы, приемы с кодировками, динамическая загрузка | | **Затронутые компоненты** | Модерация ClawHub moderation.ts | | **Текущие меры снижения риска** | FLAG_RULES на основе шаблонов | | **Остаточный риск** | Высокий - Простое регулярное выражение легко обходится | | **Рекомендации** | Добавить поведенческий анализ (VirusTotal Code Insight), обнаружение на основе AST | #### T-EVADE-002: Выход из обертки содержимого | Атрибут | Значение | | ---------------------- | --------------------------------------------------------- | | **ATLAS ID** | AML.T0043 - Создание состязательных данных | | **Описание** | Злоумышленник создает содержимое, выходящее из контекста XML-обертки | | **Вектор атаки** | Манипуляция тегами, путаница контекста, переопределение инструкций | | **Затронутые компоненты** | Оборачивание внешнего содержимого | | **Текущие меры защиты** | XML-теги + уведомление о безопасности | | **Остаточный риск** | Средний - Новые способы обхода обнаруживаются регулярно | | **Рекомендации** | Несколько слоев обертки, проверка на стороне вывода | --- ### 3.6 Обнаружение (AML.TA0008) #### T-DISC-001: Перечисление инструментов | Атрибут | Значение | | ---------------------- | ----------------------------------------------------- | | **ATLAS ID** | AML.T0040 - Доступ к API инференса ИИ-модели | | **Описание** | Злоумышленник перечисляет доступные инструменты через промптинг | | **Вектор атаки** | Запросы в стиле "Какие инструменты у тебя есть?" | | **Затронутые компоненты** | Реестр инструментов агента | | **Текущие меры защиты** | Нет специальных | | **Остаточный риск** | Низкий - Инструменты обычно задокументированы | | **Рекомендации** | Рассмотреть средства управления видимостью инструментов | #### T-DISC-002: Извлечение данных сеанса | Атрибут | Значение | | ---------------------- | ----------------------------------------------------- | | **ATLAS ID** | AML.T0040 - Доступ к API инференса ИИ-модели | | **Описание** | Злоумышленник извлекает конфиденциальные данные из контекста сеанса | | **Вектор атаки** | Запросы "Что мы обсуждали?", зондирование контекста | | **Затронутые компоненты** | Транскрипты сеансов, окно контекста | | **Текущие меры защиты** | Изоляция сеанса для каждого отправителя | | **Остаточный риск** | Средний - Данные внутри сеанса доступны | | **Рекомендации** | Реализовать редактирование конфиденциальных данных в контексте | --- ### 3.7 Сбор и эксфильтрация (AML.TA0009, AML.TA0010) #### T-EXFIL-001: Кража данных через web_fetch | Атрибут | Значение | | ---------------------- | ---------------------------------------------------------------------- | | **ATLAS ID** | AML.T0009 - Сбор | | **Описание** | Злоумышленник эксфильтрирует данные, инструктируя агента отправить их на внешний URL | | **Вектор атаки** | Инъекция промпта, из-за которой агент отправляет данные POST-запросом на сервер злоумышленника | | **Затронутые компоненты** | Инструмент web_fetch | | **Текущие меры защиты** | Блокировка SSRF для внутренних сетей | | **Остаточный риск** | Высокий - Внешние URL разрешены | | **Рекомендации** | Реализовать список разрешенных URL, учитывать классификацию данных | #### T-EXFIL-002: Несанкционированная отправка сообщений | Атрибут | Значение | | ---------------------- | ---------------------------------------------------------------- | | **ATLAS ID** | AML.T0009 - Сбор | | **Описание** | Злоумышленник заставляет агента отправлять сообщения с конфиденциальными данными | | **Вектор атаки** | Инъекция промпта, из-за которой агент отправляет сообщение злоумышленнику | | **Затронутые компоненты** | Инструмент сообщений, интеграции каналов | | **Текущие меры защиты** | Контроль исходящих сообщений | | **Остаточный риск** | Средний - Контроль может быть обойден | | **Рекомендации** | Требовать явное подтверждение для новых получателей | #### T-EXFIL-003: Сбор учетных данных | Атрибут | Значение | | ---------------------- | ------------------------------------------------------- | | **ATLAS ID** | AML.T0009 - Сбор | | **Описание** | Вредоносный навык собирает учетные данные из контекста агента | | **Вектор атаки** | Код навыка читает переменные окружения, файлы конфигурации | | **Затронутые компоненты** | Среда выполнения навыков | | **Текущие меры защиты** | Нет специальных для навыков | | **Остаточный риск** | Критический - Skills выполняются с привилегиями агента | | **Рекомендации** | Песочница для Skills, изоляция учетных данных | --- ### 3.8 Воздействие (AML.TA0011) #### T-IMPACT-001: Несанкционированное выполнение команд | Атрибут | Значение | | ---------------------- | --------------------------------------------------- | | **ATLAS ID** | AML.T0031 - Подрыв целостности ИИ-модели | | **Описание** | Злоумышленник выполняет произвольные команды в системе пользователя | | **Вектор атаки** | Инъекция промпта в сочетании с обходом подтверждения exec | | **Затронутые компоненты** | Инструмент Bash, выполнение команд | | **Текущие меры защиты** | Подтверждения exec, опция песочницы Docker | | **Остаточный риск** | Критический - Выполнение на хосте без песочницы | | **Рекомендации** | Использовать песочницу по умолчанию, улучшить UX подтверждений | #### T-IMPACT-002: Исчерпание ресурсов (DoS) | Атрибут | Значение | | ---------------------- | -------------------------------------------------- | | **ATLAS ID** | AML.T0031 - Подрыв целостности ИИ-модели | | **Описание** | Злоумышленник исчерпывает кредиты API или вычислительные ресурсы | | **Вектор атаки** | Автоматизированная лавина сообщений, дорогостоящие вызовы инструментов | | **Затронутые компоненты** | Gateway, сеансы агента, API-провайдер | | **Текущие меры защиты** | Нет | | **Остаточный риск** | Высокий - Нет ограничения частоты | | **Рекомендации** | Реализовать ограничения частоты для каждого отправителя, бюджеты затрат | #### T-IMPACT-003: Репутационный ущерб | Атрибут | Значение | | ---------------------- | ------------------------------------------------------- | | **ATLAS ID** | AML.T0031 - Подрыв целостности ИИ-модели | | **Описание** | Злоумышленник заставляет агента отправлять вредоносный/оскорбительный контент | | **Вектор атаки** | Инъекция промпта, вызывающая неуместные ответы | | **Затронутые компоненты** | Генерация вывода, обмен сообщениями в каналах | | **Текущие меры защиты** | Политики контента провайдера LLM | | **Остаточный риск** | Средний - Фильтры провайдера несовершенны | | **Рекомендации** | Слой фильтрации вывода, пользовательские элементы управления | --- ## 4. Анализ цепочки поставок ClawHub ### 4.1 Текущие средства контроля безопасности | Средство контроля | Реализация | Эффективность | | -------------------------- | --------------------------- | ---------------------------------------------------- | | Возраст аккаунта GitHub | `requireGitHubAccountAge()` | Средняя - Повышает порог для новых злоумышленников | | Санитизация пути | `sanitizePath()` | Высокая - Предотвращает обход пути | | Проверка типа файла | `isTextFile()` | Средняя - Только текстовые файлы, но они все равно могут быть вредоносными | | Ограничения размера | Общий размер пакета 50 МБ | Высокая - Предотвращает исчерпание ресурсов | | Обязательный SKILL.md | Обязательный readme | Низкая ценность для безопасности - Только информационная | | Модерация по шаблонам | FLAG_RULES в moderation.ts | Низкая - Легко обходится | | Статус модерации | Поле `moderationStatus` | Средняя - Возможна ручная проверка | ### 4.2 Шаблоны флагов модерации Текущие шаблоны в `moderation.ts`: ```javascript // Known-bad identifiers /(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i // Suspicious keywords /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg|webhook|hooks\.slack)/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i ``` **Ограничения:** - Проверяет только slug, displayName, summary, frontmatter, metadata, пути файлов - Не анализирует фактическое содержимое кода навыка - Простые регулярные выражения легко обходятся с помощью обфускации - Нет поведенческого анализа ### 4.3 Запланированные улучшения | Улучшение | Статус | Влияние | | ---------------------- | ------------------------------------- | -------------------------------------------------------------------- | | Интеграция VirusTotal | В процессе | Высокое - Поведенческий анализ Code Insight | | Сообщения сообщества | Частично (таблица `skillReports` существует) | Среднее | | Журналирование аудита | Частично (таблица `auditLogs` существует) | Среднее | | Система бейджей | Реализовано | Среднее - `highlighted`, `official`, `deprecated`, `redactionApproved` | --- ## 5. Матрица рисков ### 5.1 Вероятность и воздействие | ID угрозы | Вероятность | Воздействие | Уровень риска | Приоритет | | ------------- | ----------- | ----------- | ------------- | --------- | | T-EXEC-001 | Высокая | Критическое | **Критический** | P0 | | T-PERSIST-001 | Высокая | Критическое | **Критический** | P0 | | T-EXFIL-003 | Средняя | Критическое | **Критический** | P0 | | T-IMPACT-001 | Средняя | Критическое | **Высокий** | P1 | | T-EXEC-002 | Высокая | Высокое | **Высокий** | P1 | | T-EXEC-004 | Средняя | Высокое | **Высокий** | P1 | | T-ACCESS-003 | Средняя | Высокое | **Высокий** | P1 | | T-EXFIL-001 | Средняя | Высокое | **Высокий** | P1 | | T-IMPACT-002 | Высокая | Среднее | **Высокий** | P1 | | T-EVADE-001 | Высокая | Среднее | **Средний** | P2 | | T-ACCESS-001 | Низкая | Высокое | **Средний** | P2 | | T-ACCESS-002 | Низкая | Высокое | **Средний** | P2 | | T-PERSIST-002 | Низкая | Высокое | **Средний** | P2 | ### 5.2 Критические цепочки атак **Цепочка атаки 1: Кража данных через Skills** ``` T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) ``` **Цепочка атаки 2: Инъекция промпта до RCE** ``` T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) ``` **Цепочка атаки 3: Косвенная инъекция через полученное содержимое** ``` T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) ``` --- ## 6. Сводка рекомендаций ### 6.1 Немедленно (P0) | ID | Рекомендация | Устраняет | | ----- | ------------------------------------------- | -------------------------- | | R-001 | Завершить интеграцию VirusTotal | T-PERSIST-001, T-EVADE-001 | | R-002 | Реализовать изоляцию навыков | T-PERSIST-001, T-EXFIL-003 | | R-003 | Добавить проверку вывода для чувствительных действий | T-EXEC-001, T-EXEC-002 | ### 6.2 Краткосрочные (P1) | ID | Рекомендация | Устраняет | | ----- | ---------------------------------------- | ------------ | | R-004 | Реализовать ограничение частоты запросов | T-IMPACT-002 | | R-005 | Добавить шифрование токенов при хранении | T-ACCESS-003 | | R-006 | Улучшить UX подтверждения exec и проверку | T-EXEC-004 | | R-007 | Реализовать список разрешенных URL для web_fetch | T-EXFIL-001 | ### 6.3 Среднесрочные (P2) | ID | Рекомендация | Устраняет | | ----- | ----------------------------------------------------- | ------------- | | R-008 | Добавить криптографическую проверку каналов там, где это возможно | T-ACCESS-002 | | R-009 | Реализовать проверку целостности конфигурации | T-PERSIST-003 | | R-010 | Добавить подпись обновлений и фиксацию версий | T-PERSIST-002 | --- ## 7. Приложения ### 7.1 Сопоставление техник ATLAS | ID ATLAS | Название техники | Угрозы OpenClaw | | ------------- | ------------------------------ | ---------------------------------------------------------------- | | AML.T0006 | Активное сканирование | T-RECON-001, T-RECON-002 | | AML.T0009 | Сбор данных | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 | | AML.T0010.001 | Цепочка поставок: ПО для ИИ | T-PERSIST-001, T-PERSIST-002 | | AML.T0010.002 | Цепочка поставок: данные | T-PERSIST-003 | | AML.T0031 | Подрыв целостности модели ИИ | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 | | AML.T0040 | Доступ к API вывода модели ИИ | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 | | AML.T0043 | Создание состязательных данных | T-EXEC-004, T-EVADE-001, T-EVADE-002 | | AML.T0051.000 | Prompt Injection LLM: прямой | T-EXEC-001, T-EXEC-003 | | AML.T0051.001 | Prompt Injection LLM: непрямой | T-EXEC-002 | ### 7.2 Ключевые файлы безопасности | Путь | Назначение | Уровень риска | | ----------------------------------- | --------------------------- | ------------ | | `src/infra/exec-approvals.ts` | Логика подтверждения команд | **Критический** | | `src/gateway/auth.ts` | Аутентификация Gateway | **Критический** | | `src/infra/net/ssrf.ts` | Защита от SSRF | **Критический** | | `src/security/external-content.ts` | Снижение риска prompt injection | **Критический** | | `src/agents/sandbox/tool-policy.ts` | Применение политики инструментов | **Критический** | | `src/routing/resolve-route.ts` | Изоляция сеансов | **Средний** | ### 7.3 Глоссарий | Термин | Определение | | -------------------- | --------------------------------------------------------- | | **ATLAS** | MITRE Adversarial Threat Landscape for AI Systems | | **ClawHub** | Маркетплейс навыков OpenClaw | | **Gateway** | Уровень маршрутизации сообщений и аутентификации OpenClaw | | **MCP** | Model Context Protocol - интерфейс поставщика инструментов | | **Prompt Injection** | Атака, при которой вредоносные инструкции встраиваются во входные данные | | **Skill** | Загружаемое расширение для агентов OpenClaw | | **SSRF** | Server-Side Request Forgery | --- _Эта модель угроз является живым документом. Сообщайте о проблемах безопасности на security@openclaw.ai_ ## Связанные материалы - [Формальная верификация](/ru/security/formal-verification) - [Участие в работе над моделью угроз](/ru/security/CONTRIBUTING-THREAT-MODEL)