Модель загроз (MITRE ATLAS)

Фреймворк MITRE ATLAS

Версія: 1.0-draft Останнє оновлення: 2026-02-04 Методологія: MITRE ATLAS + діаграми потоків даних Фреймворк: MITRE ATLAS (ландшафт змагальних загроз для AI-систем)

Атрибуція фреймворку

Ця модель загроз побудована на MITRE ATLAS, галузевому стандартному фреймворку для документування змагальних загроз для AI/ML-систем. ATLAS підтримує MITRE у співпраці зі спільнотою безпеки AI. Ключові ресурси ATLAS:

Участь у цій моделі загроз

Це живий документ, який підтримує спільнота OpenClaw. Перегляньте CONTRIBUTING-THREAT-MODEL.md, щоб ознайомитися з настановами щодо участі:

Повідомлення про нові загрози
Оновлення наявних загроз
Пропонування ланцюжків атак
Пропонування заходів пом’якшення

1. Вступ

1.1 Призначення

Ця модель загроз документує змагальні загрози для платформи AI-агентів OpenClaw і маркетплейсу Skills ClawHub, використовуючи фреймворк MITRE ATLAS, спеціально розроблений для AI/ML-систем.

1.2 Обсяг

Компонент	Включено	Примітки
Середовище виконання агента OpenClaw	Так	Основне виконання агента, виклики інструментів, сеанси
Gateway	Так	Автентифікація, маршрутизація, інтеграція каналів
Інтеграції каналів	Так	WhatsApp, Telegram, Discord, Signal, Slack тощо
Маркетплейс ClawHub	Так	Публікація Skills, модерація, розповсюдження
MCP-сервери	Так	Зовнішні постачальники інструментів
Пристрої користувачів	Частково	Мобільні застосунки, настільні клієнти

1.3 Поза обсягом

Нічого явно не виключено з обсягу цієї моделі загроз.

2. Архітектура системи

2.1 Межі довіри

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Потоки даних

Потік	Джерело	Призначення	Дані	Захист
F1	Канал	Gateway	Повідомлення користувача	TLS, AllowFrom
F2	Gateway	Агент	Маршрутизовані повідомлення	Ізоляція сеансів
F3	Агент	Інструменти	Виклики інструментів	Застосування політик
F4	Агент	Зовнішній ресурс	запити web_fetch	Блокування SSRF
F5	ClawHub	Агент	Код Skills	Модерація, сканування
F6	Агент	Канал	Відповіді	Фільтрація виводу

3. Аналіз загроз за тактикою ATLAS

3.1 Розвідка (AML.TA0002)

T-RECON-001: Виявлення кінцевих точок агента

Атрибут	Значення
ATLAS ID	AML.T0006 - Активне сканування
Опис	Зловмисник сканує відкриті кінцеві точки OpenClaw Gateway
Вектор атаки	Мережеве сканування, запити shodan, перебирання DNS
Уражені компоненти	Gateway, відкриті кінцеві точки API
Поточні заходи пом’якшення	Опція автентифікації Tailscale, прив’язування до loopback за замовчуванням
Залишковий ризик	Середній - публічні Gateway можна виявити
Рекомендації	Задокументувати безпечне розгортання, додати обмеження частоти для кінцевих точок виявлення

T-RECON-002: Зондування інтеграції каналів

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0006 - Активне сканування
Опис	Зловмисник зондує канали обміну повідомленнями, щоб виявити облікові записи, керовані ШІ
Вектор атаки	Надсилання тестових повідомлень, спостереження за шаблонами відповідей
Уражені компоненти	Усі інтеграції каналів
Поточні пом’якшення	Немає специфічних
Залишковий ризик	Низький - обмежена цінність самого лише виявлення
Рекомендації	Розглянути рандомізацію часу відповіді

3.2 Початковий доступ (AML.TA0004)

T-ACCESS-001: Перехоплення коду сполучення

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0040 - Доступ до API інференсу моделі ШІ
Опис	Зловмисник перехоплює код сполучення під час пільгового періоду сполучення (1 год для сполучення каналу DM, 5 хв для сполучення Node)
Вектор атаки	Підглядання через плече, перехоплення мережевого трафіку, соціальна інженерія
Уражені компоненти	Система сполучення пристроїв
Поточні пом’якшення	Закінчення строку дії через 1 год (сполучення DM) / 5 хв (сполучення Node), коди надсилаються через наявний канал
Залишковий ризик	Середній - пільговий період можна використати
Рекомендації	Скоротити пільговий період, додати крок підтвердження

T-ACCESS-002: Підміна AllowFrom

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0040 - Доступ до API інференсу моделі ШІ
Опис	Зловмисник підміняє ідентичність дозволеного відправника в каналі
Вектор атаки	Залежить від каналу - підміна номера телефону, видавання себе за користувача
Уражені компоненти	Перевірка AllowFrom для кожного каналу
Поточні пом’якшення	Специфічна для каналу перевірка ідентичності
Залишковий ризик	Середній - деякі канали вразливі до підміни
Рекомендації	Задокументувати специфічні для каналів ризики, додати криптографічну перевірку, де це можливо

T-ACCESS-003: Викрадення токенів

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0040 - Доступ до API інференсу моделі ШІ
Опис	Зловмисник викрадає токени автентифікації з файлів конфігурації
Вектор атаки	Шкідливе ПЗ, несанкціонований доступ до пристрою, розкриття резервної копії конфігурації
Уражені компоненти	~/.openclaw/credentials/, сховище конфігурації
Поточні пом’якшення	Дозволи файлів
Залишковий ризик	Високий - токени зберігаються у відкритому тексті
Рекомендації	Реалізувати шифрування токенів у стані спокою, додати ротацію токенів

3.3 Виконання (AML.TA0005)

T-EXEC-001: Пряма ін’єкція промпта

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0051.000 - Ін’єкція промпта LLM: пряма
Опис	Зловмисник надсилає спеціально сформовані промпти, щоб маніпулювати поведінкою агента
Вектор атаки	Повідомлення каналів, що містять ворожі інструкції
Уражені компоненти	LLM агента, усі поверхні введення
Поточні пом’якшення	Виявлення шаблонів, обгортання зовнішнього вмісту
Залишковий ризик	Критичний - лише виявлення, без блокування; складні атаки обходять захист
Рекомендації	Реалізувати багаторівневий захист, валідацію виводу, підтвердження користувача для чутливих дій

T-EXEC-002: Непряма ін’єкція промпта

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0051.001 - Ін’єкція промпта LLM: непряма
Опис	Зловмисник вбудовує шкідливі інструкції в отриманий вміст
Вектор атаки	Шкідливі URL-адреси, отруєні електронні листи, скомпрометовані Webhook
Уражені компоненти	web_fetch, поглинання електронної пошти, зовнішні джерела даних
Поточні пом’якшення	Обгортання вмісту XML-тегами та повідомленням про безпеку
Залишковий ризик	Високий - LLM може ігнорувати інструкції обгортки
Рекомендації	Реалізувати санітизацію вмісту, окремі контексти виконання

T-EXEC-003: Ін’єкція аргументів інструмента

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0051.000 - Ін’єкція промпта LLM: пряма
Опис	Зловмисник маніпулює аргументами інструмента через ін’єкцію промпта
Вектор атаки	Спеціально сформовані промпти, що впливають на значення параметрів інструмента
Уражені компоненти	Усі виклики інструментів
Поточні пом’якшення	Схвалення exec для небезпечних команд
Залишковий ризик	Високий - покладається на судження користувача
Рекомендації	Реалізувати валідацію аргументів, параметризовані виклики інструментів

T-EXEC-004: Обхід схвалення Exec

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0043 - Створення ворожих даних
Опис	Зловмисник створює команди, що обходять allowlist схвалень
Вектор атаки	Обфускація команд, експлуатація псевдонімів, маніпуляція шляхами
Уражені компоненти	exec-approvals.ts, allowlist команд
Поточні пом’якшення	Allowlist + режим запиту
Залишковий ризик	Високий - немає санітизації команд
Рекомендації	Реалізувати нормалізацію команд, розширити blocklist

3.4 Закріплення (AML.TA0006)

T-PERSIST-001: Встановлення шкідливого Skill

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0010.001 - Компрометація ланцюга постачання: програмне забезпечення ШІ
Опис	Зловмисник публікує шкідливий Skill у ClawHub
Вектор атаки	Створення облікового запису, публікація Skill із прихованим шкідливим кодом
Уражені компоненти	ClawHub, завантаження Skill, виконання агента
Поточні пом’якшення	Перевірка віку облікового запису GitHub, прапорці модерації на основі шаблонів
Залишковий ризик	Критичний - немає ізоляції, обмежена перевірка
Рекомендації	Інтеграція VirusTotal (у процесі), ізоляція Skill, перевірка спільнотою

T-PERSIST-002: Отруєння оновлення Skill

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0010.001 - Компрометація ланцюга постачання: програмне забезпечення ШІ
Опис	Зловмисник компрометує популярний Skill і надсилає шкідливе оновлення
Вектор атаки	Компрометація облікового запису, соціальна інженерія власника Skill
Уражені компоненти	Версіонування ClawHub, потоки автооновлення
Поточні пом’якшення	Фінгерпринтинг версій
Залишковий ризик	Високий - автооновлення можуть підтягнути шкідливі версії
Рекомендації	Реалізувати підписування оновлень, можливість відкату, закріплення версій

T-PERSIST-003: Підробка конфігурації агента

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0010.002 - Компрометація ланцюга постачання: дані
Опис	Зловмисник змінює конфігурацію агента, щоб зберегти доступ
Вектор атаки	Зміна файлу конфігурації, ін’єкція налаштувань
Уражені компоненти	Конфігурація агента, політики інструментів
Поточні пом’якшення	Дозволи файлів
Залишковий ризик	Середній - потребує локального доступу
Рекомендації	Перевірка цілісності конфігурації, журналювання аудиту змін конфігурації

3.5 Ухилення від захисту (AML.TA0007)

T-EVADE-001: Обхід шаблонів модерації

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0043 - Створення ворожих даних
Опис	Зловмисник створює вміст Skill, щоб уникнути шаблонів модерації
Вектор атаки	Unicode-омогліфи, прийоми кодування, динамічне завантаження
Уражені компоненти	moderation.ts ClawHub
Поточні пом’якшення	FLAG_RULES на основі шаблонів
Залишковий ризик	Високий - простий regex легко обходиться
Рекомендації	Додати поведінковий аналіз (VirusTotal Code Insight), виявлення на основі AST

T-EVADE-002: Вихід за межі обгортки вмісту

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0043 - Створення змагальних даних
Опис	Зловмисник створює вміст, що виходить із контексту XML-обгортки
Вектор атаки	Маніпуляція тегами, плутанина контексту, перевизначення інструкцій
Уражені компоненти	Обгортання зовнішнього вмісту
Поточні засоби пом’якшення	XML-теги + повідомлення безпеки
Залишковий ризик	Середній - Нові способи виходу виявляють регулярно
Рекомендації	Кілька шарів обгортки, перевірка на боці виводу

3.6 Виявлення (AML.TA0008)

T-DISC-001: Перелічення інструментів

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0040 - Доступ до API інференсу моделі ШІ
Опис	Зловмисник перелічує доступні інструменти через промпти
Вектор атаки	Запити на кшталт “Які інструменти у вас є?”
Уражені компоненти	Реєстр інструментів агента
Поточні засоби пом’якшення	Немає специфічних
Залишковий ризик	Низький - Інструменти зазвичай задокументовані
Рекомендації	Розглянути засоби керування видимістю інструментів

T-DISC-002: Витягування даних сеансу

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0040 - Доступ до API інференсу моделі ШІ
Опис	Зловмисник витягує чутливі дані з контексту сеансу
Вектор атаки	Запити “Що ми обговорювали?”, зондування контексту
Уражені компоненти	Транскрипти сеансів, контекстне вікно
Поточні засоби пом’якшення	Ізоляція сеансу для кожного відправника
Залишковий ризик	Середній - Дані в межах сеансу доступні
Рекомендації	Реалізувати редагування чутливих даних у контексті

3.7 Збирання та ексфільтрація (AML.TA0009, AML.TA0010)

T-EXFIL-001: Крадіжка даних через web_fetch

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0009 - Збирання
Опис	Зловмисник ексфільтрує дані, інструктуючи агента надсилати їх на зовнішню URL-адресу
Вектор атаки	Ін’єкція промпта, що змушує агента виконати POST даних на сервер зловмисника
Уражені компоненти	Інструмент web_fetch
Поточні засоби пом’якшення	Блокування SSRF для внутрішніх мереж
Залишковий ризик	Високий - Зовнішні URL-адреси дозволені
Рекомендації	Реалізувати список дозволених URL-адрес, обізнаність про класифікацію даних

T-EXFIL-002: Несанкціоноване надсилання повідомлень

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0009 - Збирання
Опис	Зловмисник змушує агента надсилати повідомлення, що містять чутливі дані
Вектор атаки	Ін’єкція промпта, що змушує агента надіслати повідомлення зловмиснику
Уражені компоненти	Інструмент повідомлень, інтеграції каналів
Поточні засоби пом’якшення	Контроль вихідних повідомлень
Залишковий ризик	Середній - Контроль може бути обійдений
Рекомендації	Вимагати явного підтвердження для нових отримувачів

T-EXFIL-003: Збирання облікових даних

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0009 - Збирання
Опис	Шкідлива Skills збирає облікові дані з контексту агента
Вектор атаки	Код Skills читає змінні середовища, конфігураційні файли
Уражені компоненти	Середовище виконання Skills
Поточні засоби пом’якшення	Немає специфічних для Skills
Залишковий ризик	Критичний - Skills виконуються з привілеями агента
Рекомендації	Ізоляція Skills у пісочниці, ізоляція облікових даних

3.8 Вплив (AML.TA0011)

T-IMPACT-001: Несанкціоноване виконання команд

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0031 - Підрив цілісності моделі ШІ
Опис	Зловмисник виконує довільні команди в системі користувача
Вектор атаки	Ін’єкція промпта в поєднанні з обходом підтвердження exec
Уражені компоненти	Інструмент Bash, виконання команд
Поточні засоби пом’якшення	Підтвердження exec, опція пісочниці Docker
Залишковий ризик	Критичний - Виконання на хості без пісочниці
Рекомендації	Використовувати пісочницю за замовчуванням, покращити UX підтвердження

T-IMPACT-002: Вичерпання ресурсів (DoS)

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0031 - Підрив цілісності моделі ШІ
Опис	Зловмисник вичерпує API-кредити або обчислювальні ресурси
Вектор атаки	Автоматизоване надсилання великої кількості повідомлень, дорогі виклики інструментів
Уражені компоненти	Gateway, сеанси агента, постачальник API
Поточні засоби пом’якшення	Немає
Залишковий ризик	Високий - Немає обмеження частоти
Рекомендації	Реалізувати обмеження частоти для кожного відправника, бюджети витрат

T-IMPACT-003: Репутаційна шкода

Атрибут	Значення
Ідентифікатор ATLAS	AML.T0031 - Підрив цілісності моделі ШІ
Опис	Зловмисник змушує агента надсилати шкідливий/образливий вміст
Вектор атаки	Ін’єкція промпта, що спричиняє неприйнятні відповіді
Уражені компоненти	Генерація виводу, повідомлення в каналах
Поточні засоби пом’якшення	Політики вмісту постачальника LLM
Залишковий ризик	Середній - Фільтри постачальника недосконалі
Рекомендації	Шар фільтрації виводу, засоби керування для користувача

4. Аналіз ланцюга постачання ClawHub

4.1 Поточні засоби контролю безпеки

Засіб контролю	Реалізація	Ефективність
Вік облікового запису GitHub	`requireGitHubAccountAge()`	Середня - Підвищує поріг для нових зловмисників
Санітизація шляху	`sanitizePath()`	Висока - Запобігає обходу шляху
Перевірка типу файлу	`isTextFile()`	Середня - Лише текстові файли, але вони все ще можуть бути шкідливими
Обмеження розміру	Загальний пакет 50 МБ	Висока - Запобігає вичерпанню ресурсів
Обов’язковий SKILL.md	Обов’язковий файл readme	Низька цінність для безпеки - Лише інформаційно
Модерація за шаблонами	FLAG_RULES у moderation.ts	Низька - Легко обходиться
Статус модерації	Поле `moderationStatus`	Середня - Можливий ручний перегляд

4.2 Шаблони прапорців модерації

Поточні шаблони в moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Обмеження:

Перевіряє лише slug, displayName, summary, frontmatter, metadata, шляхи файлів
Не аналізує фактичний вміст коду Skills
Простий regex легко обходиться за допомогою обфускації
Немає поведінкового аналізу

4.3 Заплановані покращення

Покращення	Статус	Вплив
Інтеграція VirusTotal	У роботі	Високий - Поведінковий аналіз Code Insight
Звітування спільноти	Частково (таблиця `skillReports` існує)	Середній
Журналювання аудиту	Частково (таблиця `auditLogs` існує)	Середній
Система бейджів	Реалізовано	Середній - `highlighted`, `official`, `deprecated`, `redactionApproved`

5. Матриця ризиків

5.1 Ймовірність проти впливу

Ідентифікатор загрози	Ймовірність	Вплив	Рівень ризику	Пріоритет
T-EXEC-001	Висока	Критичний	Критичний	P0
T-PERSIST-001	Висока	Критичний	Критичний	P0
T-EXFIL-003	Середня	Критичний	Критичний	P0
T-IMPACT-001	Середня	Критичний	Високий	P1
T-EXEC-002	Висока	Високий	Високий	P1
T-EXEC-004	Середня	Високий	Високий	P1
T-ACCESS-003	Середня	Високий	Високий	P1
T-EXFIL-001	Середня	Високий	Високий	P1
T-IMPACT-002	Висока	Середній	Високий	P1
T-EVADE-001	Висока	Середній	Середній	P2
T-ACCESS-001	Низька	Високий	Середній	P2
T-ACCESS-002	Низька	Високий	Середній	P2
T-PERSIST-002	Низька	Високий	Середній	P2

5.2 Критичні ланцюги атак

Ланцюг атаки 1: Крадіжка даних на основі Skills

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Ланцюг атаки 2: Ін’єкція промпта до RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Ланцюг атаки 3: Непряма ін’єкція через отриманий вміст

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Підсумок рекомендацій

6.1 Негайні (P0)

ID	Рекомендація	Усуває
R-001	Завершити інтеграцію VirusTotal	T-PERSIST-001, T-EVADE-001
R-002	Реалізувати ізоляцію навичок	T-PERSIST-001, T-EXFIL-003
R-003	Додати перевірку виводу для чутливих дій	T-EXEC-001, T-EXEC-002

6.2 Короткостроково (P1)

ID	Рекомендація	Усуває
R-004	Реалізувати обмеження частоти	T-IMPACT-002
R-005	Додати шифрування токенів у стані спокою	T-ACCESS-003
R-006	Покращити UX схвалення exec і перевірку	T-EXEC-004
R-007	Реалізувати список дозволених URL для web_fetch	T-EXFIL-001

6.3 Середньостроково (P2)

ID	Рекомендація	Усуває
R-008	Додати криптографічну перевірку каналів, де можливо	T-ACCESS-002
R-009	Реалізувати перевірку цілісності конфігурації	T-PERSIST-003
R-010	Додати підписування оновлень і закріплення версій	T-PERSIST-002

7. Додатки

7.1 Зіставлення технік ATLAS

ID ATLAS	Назва техніки	Загрози OpenClaw
AML.T0006	Активне сканування	T-RECON-001, T-RECON-002
AML.T0009	Збирання	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	Ланцюг постачання: ПЗ AI	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	Ланцюг постачання: дані	T-PERSIST-003
AML.T0031	Порушення цілісності моделі AI	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	Доступ до API виведення моделі AI	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	Створення змагальних даних	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	Ін’єкція підказки LLM: пряма	T-EXEC-001, T-EXEC-003
AML.T0051.001	Ін’єкція підказки LLM: непряма	T-EXEC-002

7.2 Ключові файли безпеки

Шлях	Призначення	Рівень ризику
`src/infra/exec-approvals.ts`	Логіка схвалення команд	Критичний
`src/gateway/auth.ts`	Автентифікація Gateway	Критичний
`src/infra/net/ssrf.ts`	Захист від SSRF	Критичний
`src/security/external-content.ts`	Пом’якшення ін’єкцій підказок	Критичний
`src/agents/sandbox/tool-policy.ts`	Застосування політики інструментів	Критичний
`src/routing/resolve-route.ts`	Ізоляція сеансів	Середній

7.3 Глосарій

Термін	Визначення
ATLAS	Ландшафт змагальних загроз MITRE для систем AI
ClawHub	Маркетплейс навичок OpenClaw
Gateway	Шар маршрутизації повідомлень і автентифікації OpenClaw
MCP	Model Context Protocol - інтерфейс постачальника інструментів
Ін’єкція підказки	Атака, під час якої шкідливі інструкції вбудовуються у вхідні дані
Skill	Завантажуване розширення для агентів OpenClaw
SSRF	Server-Side Request Forgery

Ця модель загроз є живим документом. Повідомляйте про проблеми безпеки на security@openclaw.ai

Gateway

Remote access

Security

Nodes and media

Web interfaces

Documentation Index

​Фреймворк MITRE ATLAS

​Атрибуція фреймворку

​Участь у цій моделі загроз

​1. Вступ

​1.1 Призначення

​1.2 Обсяг

​1.3 Поза обсягом

​2. Архітектура системи

​2.1 Межі довіри

​2.2 Потоки даних

​3. Аналіз загроз за тактикою ATLAS

​3.1 Розвідка (AML.TA0002)

​T-RECON-001: Виявлення кінцевих точок агента

​T-RECON-002: Зондування інтеграції каналів

​3.2 Початковий доступ (AML.TA0004)

​T-ACCESS-001: Перехоплення коду сполучення

​T-ACCESS-002: Підміна AllowFrom

​T-ACCESS-003: Викрадення токенів

​3.3 Виконання (AML.TA0005)

​T-EXEC-001: Пряма ін’єкція промпта

​T-EXEC-002: Непряма ін’єкція промпта

​T-EXEC-003: Ін’єкція аргументів інструмента

​T-EXEC-004: Обхід схвалення Exec

​3.4 Закріплення (AML.TA0006)

​T-PERSIST-001: Встановлення шкідливого Skill

​T-PERSIST-002: Отруєння оновлення Skill

​T-PERSIST-003: Підробка конфігурації агента

​3.5 Ухилення від захисту (AML.TA0007)

​T-EVADE-001: Обхід шаблонів модерації

​T-EVADE-002: Вихід за межі обгортки вмісту

​3.6 Виявлення (AML.TA0008)

​T-DISC-001: Перелічення інструментів

​T-DISC-002: Витягування даних сеансу

​3.7 Збирання та ексфільтрація (AML.TA0009, AML.TA0010)

​T-EXFIL-001: Крадіжка даних через web_fetch

​T-EXFIL-002: Несанкціоноване надсилання повідомлень

​T-EXFIL-003: Збирання облікових даних

​3.8 Вплив (AML.TA0011)

​T-IMPACT-001: Несанкціоноване виконання команд

​T-IMPACT-002: Вичерпання ресурсів (DoS)

​T-IMPACT-003: Репутаційна шкода

​4. Аналіз ланцюга постачання ClawHub

​4.1 Поточні засоби контролю безпеки

​4.2 Шаблони прапорців модерації

​4.3 Заплановані покращення

​5. Матриця ризиків

​5.1 Ймовірність проти впливу

​5.2 Критичні ланцюги атак

​6. Підсумок рекомендацій

​6.1 Негайні (P0)

​6.2 Короткостроково (P1)

​6.3 Середньостроково (P2)

​7. Додатки

​7.1 Зіставлення технік ATLAS

​7.2 Ключові файли безпеки

​7.3 Глосарій

​Пов’язане