Skip to main content

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

OpenClaw 威胁模型 v1.0

MITRE ATLAS 框架

版本: 1.0-draft 最后更新: 2026-02-04 方法论: MITRE ATLAS + 数据流图 框架: MITRE ATLAS(面向 AI 系统的对抗性威胁态势,Adversarial Threat Landscape for AI Systems)

框架归属说明

本威胁模型基于 MITRE ATLAS,这是用于记录 AI / ML 系统对抗性威胁的行业标准框架。ATLAS 由 MITRE 与 AI 安全社区协作维护。 ATLAS 关键资源:

为本威胁模型做贡献

这是一份由 OpenClaw 社区维护的持续演进文档。有关贡献指南,请参阅 CONTRIBUTING-THREAT-MODEL.md
  • 报告新威胁
  • 更新现有威胁
  • 提出攻击链
  • 建议缓解措施

1. 引言

1.1 目的

本威胁模型使用专为 AI / ML 系统设计的 MITRE ATLAS 框架,记录 OpenClaw AI 智能体平台和 ClawHub Skills 市场面临的对抗性威胁。

1.2 范围

组件包含说明
OpenClaw Agent Runtime核心智能体执行、工具调用、会话
Gateway 网关认证、路由、渠道集成
渠道集成WhatsApp、Telegram、Discord、Signal、Slack 等
ClawHub 市场Skills 发布、审核、分发
MCP 服务器外部工具提供商
用户设备部分移动应用、桌面客户端

1.3 不在范围内的内容

本威胁模型没有明确排除任何内容。

2. 系统架构

2.1 信任边界

┌─────────────────────────────────────────────────────────────────┐
│                    不可信区域                                    │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 信任边界 1:渠道访问                              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY 网关                         │   │
│  │  • 设备配对(私信 1 小时 / 节点 5 分钟宽限期)              │   │
│  │  • AllowFrom / AllowList 校验                            │   │
│  │  • Token / Password / Tailscale 认证                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信任边界 2:会话隔离                              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   智能体会话                               │   │
│  │  • 会话键 = agent:channel:peer                           │   │
│  │  • 按智能体划分的工具策略                                 │   │
│  │  • 转录日志记录                                           │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信任边界 3:工具执行                              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  执行沙箱                                 │   │
│  │  • Docker 沙箱或主机(exec-approvals)                    │   │
│  │  • Node 远程执行                                          │   │
│  │  • SSRF 保护(DNS 固定 + IP 阻止)                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信任边界 4:外部内容                              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              抓取的 URL / 邮件 / Webhooks                │   │
│  │  • 外部内容包装(XML 标签)                               │   │
│  │  • 安全提示注入                                           │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信任边界 5:供应链                                │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skills 发布(需要 semver 和 SKILL.md)                 │   │
│  │  • 基于模式的审核标记                                      │   │
│  │  • VirusTotal 扫描(即将推出)                             │   │
│  │  • GitHub 账号年龄验证                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 数据流

流程来源目标数据保护措施
F1渠道Gateway 网关用户消息TLS、AllowFrom
F2Gateway 网关智能体路由消息会话隔离
F3智能体工具工具调用策略强制执行
F4智能体外部web_fetch 请求SSRF 阻止
F5ClawHub智能体Skills 代码审核、扫描
F6智能体渠道响应输出过滤

3. 按 ATLAS 战术划分的威胁分析

3.1 侦察(AML.TA0002)

T-RECON-001:智能体端点发现

属性
ATLAS IDAML.T0006 - 主动扫描
描述攻击者扫描暴露的 OpenClaw Gateway 网关端点
攻击向量网络扫描、Shodan 查询、DNS 枚举
受影响组件Gateway 网关、暴露的 API 端点
当前缓解措施Tailscale 认证选项、默认绑定到 loopback
残余风险中等——公网 Gateway 网关可被发现
建议记录安全部署方式,并在发现类端点上增加速率限制

T-RECON-002:渠道集成探测

属性
ATLAS IDAML.T0006 - 主动扫描
描述攻击者探测消息渠道,以识别由 AI 管理的账号
攻击向量发送测试消息,观察响应模式
受影响组件所有渠道集成
当前缓解措施无特定措施
残余风险低——仅凭发现本身价值有限
建议可考虑对响应时间进行随机化

3.2 初始访问(AML.TA0004)

T-ACCESS-001:配对码拦截

属性
ATLAS IDAML.T0040 - AI 模型推理 API 访问
描述攻击者在配对宽限期内拦截配对码(私信渠道配对为 1 小时,节点配对为 5 分钟)
攻击向量肩窥、网络嗅探、社会工程
受影响组件设备配对系统
当前缓解措施1 小时过期时间(私信配对)/ 5 分钟过期时间(节点配对),验证码通过现有渠道发送
残余风险中等——宽限期存在可利用空间
建议缩短宽限期,增加确认步骤

T-ACCESS-002:AllowFrom 伪造

属性
ATLAS IDAML.T0040 - AI 模型推理 API 访问
描述攻击者在渠道中伪造允许的发送方身份
攻击向量取决于渠道——电话号码伪造、用户名冒充
受影响组件各渠道的 AllowFrom 校验
当前缓解措施渠道特定的身份验证
残余风险中等——某些渠道容易受到伪造攻击
建议记录各渠道的特定风险,并在可能时加入密码学验证

T-ACCESS-003:令牌窃取

属性
ATLAS IDAML.T0040 - AI 模型推理 API 访问
描述攻击者从配置文件中窃取认证令牌
攻击向量恶意软件、未授权设备访问、配置备份泄露
受影响组件~/.openclaw/credentials/、配置存储
当前缓解措施文件权限
残余风险高——令牌以明文存储
建议实现静态令牌加密,并增加令牌轮换机制

3.3 执行(AML.TA0005)

T-EXEC-001:直接提示注入

属性
ATLAS IDAML.T0051.000 - LLM 提示注入:直接
描述攻击者发送精心构造的提示,以操纵智能体行为
攻击向量包含对抗性指令的渠道消息
受影响组件智能体 LLM、所有输入面
当前缓解措施模式检测、外部内容包装
残余风险严重——仅检测、不阻止;复杂攻击可绕过
建议实现多层防御、输出校验,以及对敏感操作的用户确认

T-EXEC-002:间接提示注入

属性
ATLAS IDAML.T0051.001 - LLM 提示注入:间接
描述攻击者在抓取的内容中嵌入恶意指令
攻击向量恶意 URL、被投毒的电子邮件、被攻陷的 Webhooks
受影响组件web_fetch、邮件摄取、外部数据源
当前缓解措施使用 XML 标签进行内容包装并注入安全提示
残余风险高——LLM 可能忽略包装指令
建议实现内容净化,并分离执行上下文

T-EXEC-003:工具参数注入

属性
ATLAS IDAML.T0051.000 - LLM 提示注入:直接
描述攻击者通过提示注入操纵工具参数
攻击向量影响工具参数值的精心构造提示
受影响组件所有工具调用
当前缓解措施对危险命令使用执行审批
残余风险高——依赖用户判断
建议实现参数校验和参数化工具调用

T-EXEC-004:绕过执行审批

属性
ATLAS IDAML.T0043 - 构造对抗性数据
描述攻击者构造可绕过审批允许列表的命令
攻击向量命令混淆、别名利用、路径操纵
受影响组件exec-approvals.ts、命令允许列表
当前缓解措施允许列表 + 询问模式
残余风险高——没有命令净化
建议实现命令规范化,并扩展阻止列表

3.4 持久化(AML.TA0006)

T-PERSIST-001:恶意 Skills 安装

属性
ATLAS IDAML.T0010.001 - 供应链破坏:AI 软件
描述攻击者向 ClawHub 发布恶意 Skills
攻击向量创建账号并发布带有隐藏恶意代码的 Skills
受影响组件ClawHub、Skills 加载、智能体执行
当前缓解措施GitHub 账号年龄验证、基于模式的审核标记
残余风险严重——没有沙箱隔离,审核有限
建议VirusTotal 集成(进行中)、Skills 沙箱隔离、社区审核

T-PERSIST-002:Skills 更新投毒

属性
ATLAS IDAML.T0010.001 - 供应链破坏:AI 软件
描述攻击者攻陷热门 Skills 并推送恶意更新
攻击向量账号被攻陷、对 Skills 所有者的社会工程
受影响组件ClawHub 版本管理、自动更新流程
当前缓解措施版本指纹校验
残余风险高——自动更新可能拉取恶意版本
建议实现更新签名、回滚能力和版本固定

T-PERSIST-003:智能体配置篡改

属性
ATLAS IDAML.T0010.002 - 供应链破坏:数据
描述攻击者修改智能体配置以维持持久访问
攻击向量配置文件修改、设置注入
受影响组件智能体配置、工具策略
当前缓解措施文件权限
残余风险中等——需要本地访问权限
建议配置完整性校验,并为配置更改增加审计日志

3.5 防御规避(AML.TA0007)

T-EVADE-001:绕过审核模式

属性
ATLAS IDAML.T0043 - 构造对抗性数据
描述攻击者构造 Skills 内容以绕过审核模式
攻击向量Unicode 同形异义字符、编码技巧、动态加载
受影响组件ClawHub moderation.ts
当前缓解措施基于模式的 FLAG_RULES
残余风险高——简单正则很容易被绕过
建议增加行为分析(VirusTotal Code Insight)、基于 AST 的检测

T-EVADE-002:内容包装逃逸

属性
ATLAS IDAML.T0043 - 构造对抗性数据
描述攻击者构造可逃逸 XML 包装上下文的内容
攻击向量标签操纵、上下文混淆、指令覆盖
受影响组件外部内容包装
当前缓解措施XML 标签 + 安全提示
残余风险中等——新的逃逸方式会被持续发现
建议使用多层包装,并加入输出侧校验

3.6 发现(AML.TA0008)

T-DISC-001:工具枚举

属性
ATLAS IDAML.T0040 - AI 模型推理 API 访问
描述攻击者通过提示枚举可用工具
攻击向量类似 “What tools do you have?” 的查询
受影响组件智能体工具注册表
当前缓解措施无特定措施
残余风险低——工具通常已有文档说明
建议可考虑增加工具可见性控制

T-DISC-002:会话数据提取

属性
ATLAS IDAML.T0040 - AI 模型推理 API 访问
描述攻击者从会话上下文中提取敏感数据
攻击向量类似 “What did we discuss?” 的查询、上下文探测
受影响组件会话转录、上下文窗口
当前缓解措施按发送方进行会话隔离
残余风险中等——会话内数据可被访问
建议在上下文中实现敏感数据脱敏

3.7 收集与外泄(AML.TA0009、AML.TA0010)

T-EXFIL-001:通过 web_fetch 窃取数据

属性
ATLAS IDAML.T0009 - 收集
描述攻击者指示智能体将数据发送到外部 URL,从而实现数据外泄
攻击向量通过提示注入使智能体向攻击者服务器 POST 数据
受影响组件web_fetch 工具
当前缓解措施对内部网络进行 SSRF 阻止
残余风险高——外部 URL 仍被允许
建议实现 URL 允许列表,并增强数据分类感知

T-EXFIL-002:未授权消息发送

属性
ATLAS IDAML.T0009 - 收集
描述攻击者使智能体发送包含敏感数据的消息
攻击向量通过提示注入让智能体向攻击者发送消息
受影响组件消息工具、渠道集成
当前缓解措施出站消息门控
残余风险中等——门控机制可能被绕过
建议对新收件人强制要求显式确认

T-EXFIL-003:凭证收集

属性
ATLAS IDAML.T0009 - 收集
描述恶意 Skills 从智能体上下文中收集凭证
攻击向量Skills 代码读取环境变量和配置文件
受影响组件Skills 执行环境
当前缓解措施没有专门针对 Skills 的措施
残余风险严重——Skills 以智能体权限运行
建议Skills 沙箱隔离、凭证隔离

3.8 影响(AML.TA0011)

T-IMPACT-001:未授权命令执行

属性
ATLAS IDAML.T0031 - 削弱 AI 模型完整性
描述攻击者在用户系统上执行任意命令
攻击向量提示注入结合执行审批绕过
受影响组件Bash 工具、命令执行
当前缓解措施执行审批、Docker 沙箱选项
残余风险严重——未启用沙箱时会在主机上执行
建议默认启用沙箱,并改进审批 UX

T-IMPACT-002:资源耗尽(DoS)

属性
ATLAS IDAML.T0031 - 削弱 AI 模型完整性
描述攻击者耗尽 API 额度或计算资源
攻击向量自动化消息洪泛、高成本工具调用
受影响组件Gateway 网关、智能体会话、API 提供商
当前缓解措施
残余风险高——没有速率限制
建议实现按发送方的速率限制和成本预算

T-IMPACT-003:声誉损害

属性
ATLAS IDAML.T0031 - 削弱 AI 模型完整性
描述攻击者使智能体发送有害或冒犯性内容
攻击向量通过提示注入诱导不当回复
受影响组件输出生成、渠道消息发送
当前缓解措施LLM 提供商的内容策略
残余风险中等——提供商过滤并不完美
建议增加输出过滤层和用户控制

4. ClawHub 供应链分析

4.1 当前安全控制

控制项实现方式有效性
GitHub 账号年龄requireGitHubAccountAge()中等——提高了新攻击者的门槛
路径净化sanitizePath()高——防止路径遍历
文件类型校验isTextFile()中等——仅允许文本文件,但仍可能包含恶意内容
大小限制50 MB 总 bundle高——防止资源耗尽
必需的 SKILL.md必填 readme安全价值低——仅提供信息说明
模式审核moderation.ts 中的 FLAG_RULES低——容易被绕过
审核状态moderationStatus 字段中等——可进行人工审核

4.2 审核标记模式

moderation.ts 中当前的模式: 
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
局限性:
  • 仅检查 slug、displayName、summary、frontmatter、metadata、文件路径
  • 不分析实际的 Skills 代码内容
  • 简单正则很容易通过混淆绕过
  • 没有行为分析

4.3 计划中的改进

改进项状态影响
VirusTotal 集成进行中高——提供 Code Insight 行为分析
社区举报部分实现(已存在 skillReports 表)中等
审计日志部分实现(已存在 auditLogs 表)中等
徽章系统已实现中等——highlightedofficialdeprecatedredactionApproved

5. 风险矩阵

5.1 可能性与影响

威胁 ID可能性影响风险等级优先级
T-EXEC-001严重严重P0
T-PERSIST-001严重严重P0
T-EXFIL-003中等严重严重P0
T-IMPACT-001中等严重P1
T-EXEC-002P1
T-EXEC-004中等P1
T-ACCESS-003中等P1
T-EXFIL-001中等P1
T-IMPACT-002中等P1
T-EVADE-001中等中等P2
T-ACCESS-001中等P2
T-ACCESS-002中等P2
T-PERSIST-002中等P2

5.2 关键路径攻击链

攻击链 1:基于 Skills 的数据窃取 
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(发布恶意 Skills)→(绕过审核)→(收集凭证)
攻击链 2:提示注入到远程代码执行 
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(注入提示)→(绕过执行审批)→(执行命令)
攻击链 3:通过抓取内容进行间接注入 
T-EXEC-002 → T-EXFIL-001 → 外部数据外泄
(投毒 URL 内容)→(智能体抓取并遵循指令)→(数据发送给攻击者)

6. 建议摘要

6.1 立即执行(P0)

ID建议解决的问题
R-001完成 VirusTotal 集成T-PERSIST-001、T-EVADE-001
R-002实现 Skills 沙箱隔离T-PERSIST-001、T-EXFIL-003
R-003为敏感操作增加输出校验T-EXEC-001、T-EXEC-002

6.2 短期(P1)

ID建议解决的问题
R-004实现速率限制T-IMPACT-002
R-005增加静态令牌加密T-ACCESS-003
R-006改进执行审批 UX 和校验T-EXEC-004
R-007web_fetch 实现 URL 允许列表T-EXFIL-001

6.3 中期(P2)

ID建议解决的问题
R-008在可能的情况下增加密码学渠道验证T-ACCESS-002
R-009实现配置完整性校验T-PERSIST-003
R-010增加更新签名和版本固定T-PERSIST-002

7. 附录

7.1 ATLAS 技术映射

ATLAS ID技术名称OpenClaw 威胁
AML.T0006主动扫描T-RECON-001、T-RECON-002
AML.T0009收集T-EXFIL-001、T-EXFIL-002、T-EXFIL-003
AML.T0010.001供应链:AI 软件T-PERSIST-001、T-PERSIST-002
AML.T0010.002供应链:数据T-PERSIST-003
AML.T0031削弱 AI 模型完整性T-IMPACT-001、T-IMPACT-002、T-IMPACT-003
AML.T0040AI 模型推理 API 访问T-ACCESS-001、T-ACCESS-002、T-ACCESS-003、T-DISC-001、T-DISC-002
AML.T0043构造对抗性数据T-EXEC-004、T-EVADE-001、T-EVADE-002
AML.T0051.000LLM 提示注入:直接T-EXEC-001、T-EXEC-003
AML.T0051.001LLM 提示注入:间接T-EXEC-002

7.2 关键安全文件

路径用途风险等级
src/infra/exec-approvals.ts命令审批逻辑严重
src/gateway/auth.tsGateway 网关认证严重
src/infra/net/ssrf.tsSSRF 保护严重
src/security/external-content.ts提示注入缓解严重
src/agents/sandbox/tool-policy.ts工具策略强制执行严重
src/routing/resolve-route.ts会话隔离中等

7.3 术语表

术语定义
ATLASMITRE 的面向 AI 系统的对抗性威胁态势框架
ClawHubOpenClaw 的 Skills 市场
Gateway 网关OpenClaw 的消息路由与认证层
MCPModel Context Protocol——工具提供商接口
Prompt Injection将恶意指令嵌入输入中的攻击
SkillOpenClaw 智能体可下载的扩展
SSRF服务器端请求伪造
本威胁模型是一份持续演进的文档。如发现安全问题,请发送至 security@openclaw.ai

相关内容