OpenClaw 威脅模型 v1.0

MITRE ATLAS 框架

版本： 1.0-draft 最後更新： 2026-02-04 方法論： MITRE ATLAS + 資料流程圖 框架： MITRE ATLAS（AI 系統的對抗性威脅態勢）

框架歸屬

此威脅模型建立於 MITRE ATLAS 之上，這是用於記錄 AI/ML 系統對抗性威脅的業界標準框架。ATLAS 由 MITRE 與 AI 安全社群共同維護。 主要 ATLAS 資源：

為此威脅模型做出貢獻

這是由 OpenClaw 社群維護的持續更新文件。請參閱 CONTRIBUTING-THREAT-MODEL.md，了解貢獻指南：

回報新威脅
更新現有威脅
提出攻擊鏈
建議緩解措施

1. 簡介

1.1 目的

此威脅模型使用專為 AI/ML 系統設計的 MITRE ATLAS 框架，記錄 OpenClaw AI 代理平台與 ClawHub skill marketplace 的對抗性威脅。

1.2 範圍

元件	納入	備註
OpenClaw Agent Runtime	是	核心代理執行、工具呼叫、工作階段
Gateway	是	驗證、路由、頻道整合
頻道整合	是	WhatsApp、Telegram、Discord、Signal、Slack 等
ClawHub Marketplace	是	技能發布、審核、發佈
MCP 伺服器	是	外部工具提供者
使用者裝置	部分	行動應用程式、桌面用戶端

1.3 範圍外

此威脅模型沒有明確排除任何內容。

2. 系統架構

2.1 信任邊界

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 資料流程

流程	來源	目的地	資料	保護措施
F1	頻道	Gateway	使用者訊息	TLS、AllowFrom
F2	Gateway	代理	路由後的訊息	工作階段隔離
F3	代理	工具	工具叫用	政策執行
F4	代理	外部	web_fetch 請求	SSRF 封鎖
F5	ClawHub	代理	Skill 程式碼	審核、掃描
F6	代理	頻道	回應	輸出過濾

3. 依 ATLAS 戰術進行威脅分析

3.1 偵察 (AML.TA0002)

T-RECON-001：代理端點探索

屬性	值
ATLAS ID	AML.T0006 - 主動掃描
描述	攻擊者掃描暴露的 OpenClaw gateway 端點
攻擊向量	網路掃描、shodan 查詢、DNS 列舉
受影響元件	Gateway、暴露的 API 端點
目前緩解措施	Tailscale 驗證選項、預設繫結到 loopback
殘餘風險	中等 - 公開 gateways 可被發現
建議	記錄安全部署方式，對探索端點新增速率限制

T-RECON-002：頻道整合探測

屬性	值
ATLAS ID	AML.T0006 - 主動掃描
描述	攻擊者探測訊息通道以識別由 AI 管理的帳號
攻擊向量	傳送測試訊息、觀察回應模式
受影響元件	所有通道整合
目前緩解措施	無特定措施
殘餘風險	低 - 僅靠探索本身價值有限
建議	考慮將回應時間隨機化

3.2 初始存取 (AML.TA0004)

T-ACCESS-001：配對碼攔截

屬性	值
ATLAS ID	AML.T0040 - AI 模型推論 API 存取
描述	攻擊者在配對寬限期內攔截配對碼（DM 通道配對為 1 小時，節點配對為 5 分鐘）
攻擊向量	肩窺、網路嗅探、社交工程
受影響元件	裝置配對系統
目前緩解措施	1 小時到期（DM 配對）/ 5 分鐘到期（節點配對），代碼透過既有通道傳送
殘餘風險	中 - 寬限期可被利用
建議	縮短寬限期，新增確認步驟

T-ACCESS-002：AllowFrom 偽造

屬性	值
ATLAS ID	AML.T0040 - AI 模型推論 API 存取
描述	攻擊者在通道中偽造被允許的寄件者身分
攻擊向量	取決於通道 - 電話號碼偽造、使用者名稱冒充
受影響元件	各通道的 AllowFrom 驗證
目前緩解措施	通道特定的身分驗證
殘餘風險	中 - 某些通道容易遭到偽造
建議	記錄通道特定風險，盡可能新增密碼學驗證

T-ACCESS-003：權杖竊取

屬性	值
ATLAS ID	AML.T0040 - AI 模型推論 API 存取
描述	攻擊者從設定檔竊取驗證權杖
攻擊向量	惡意軟體、未授權裝置存取、設定備份曝光
受影響元件	~/.openclaw/credentials/、設定儲存
目前緩解措施	檔案權限
殘餘風險	高 - 權杖以明文儲存
建議	實作靜態權杖加密，新增權杖輪替

3.3 執行 (AML.TA0005)

T-EXEC-001：直接提示注入

屬性	值
ATLAS ID	AML.T0051.000 - LLM 提示注入：直接
描述	攻擊者傳送精心設計的提示以操縱代理行為
攻擊向量	包含對抗性指令的通道訊息
受影響元件	代理 LLM、所有輸入介面
目前緩解措施	模式偵測、外部內容包裝
殘餘風險	嚴重 - 僅偵測、不阻擋；精密攻擊可繞過
建議	實作多層防禦、輸出驗證，以及敏感操作的使用者確認

T-EXEC-002：間接提示注入

屬性	值
ATLAS ID	AML.T0051.001 - LLM 提示注入：間接
描述	攻擊者在擷取的內容中嵌入惡意指令
攻擊向量	惡意 URL、受污染的電子郵件、遭入侵的 Webhook
受影響元件	web_fetch、電子郵件擷取、外部資料來源
目前緩解措施	使用 XML 標籤和安全通知進行內容包裝
殘餘風險	高 - LLM 可能忽略包裝指令
建議	實作內容清理，分離執行脈絡

T-EXEC-003：工具引數注入

屬性	值
ATLAS ID	AML.T0051.000 - LLM 提示注入：直接
描述	攻擊者透過提示注入操縱工具引數
攻擊向量	會影響工具參數值的精心設計提示
受影響元件	所有工具叫用
目前緩解措施	危險命令的執行核准
殘餘風險	高 - 依賴使用者判斷
建議	實作引數驗證、參數化工具呼叫

T-EXEC-004：執行核准繞過

屬性	值
ATLAS ID	AML.T0043 - 製作對抗性資料
描述	攻擊者製作可繞過核准允許清單的命令
攻擊向量	命令混淆、別名利用、路徑操縱
受影響元件	exec-approvals.ts、命令允許清單
目前緩解措施	允許清單 + 詢問模式
殘餘風險	高 - 沒有命令清理
建議	實作命令正規化，擴充封鎖清單

3.4 持續存取 (AML.TA0006)

T-PERSIST-001：惡意 Skill 安裝

屬性	值
ATLAS ID	AML.T0010.001 - 供應鏈入侵：AI 軟體
描述	攻擊者將惡意 Skill 發布到 ClawHub
攻擊向量	建立帳號，發布含有隱藏惡意程式碼的 Skill
受影響元件	ClawHub、Skill 載入、代理執行
目前緩解措施	GitHub 帳號年齡驗證、基於模式的審核標記
殘餘風險	嚴重 - 沒有沙盒，審查有限
建議	VirusTotal 整合（進行中）、Skill 沙盒、社群審查

T-PERSIST-002：Skill 更新投毒

屬性	值
ATLAS ID	AML.T0010.001 - 供應鏈入侵：AI 軟體
描述	攻擊者入侵熱門 Skill 並推送惡意更新
攻擊向量	帳號入侵、對 Skill 擁有者的社交工程
受影響元件	ClawHub 版本管理、自動更新流程
目前緩解措施	版本指紋
殘餘風險	高 - 自動更新可能拉取惡意版本
建議	實作更新簽章、回復能力、版本釘選

T-PERSIST-003：代理設定竄改

屬性	值
ATLAS ID	AML.T0010.002 - 供應鏈入侵：資料
描述	攻擊者修改代理設定以持續存取
攻擊向量	設定檔修改、設定注入
受影響元件	代理設定、工具政策
目前緩解措施	檔案權限
殘餘風險	中 - 需要本機存取
建議	設定完整性驗證、設定變更的稽核記錄

3.5 防禦規避 (AML.TA0007)

T-EVADE-001：審核模式繞過

屬性	值
ATLAS ID	AML.T0043 - 製作對抗性資料
描述	攻擊者製作 Skill 內容以規避審核模式
攻擊向量	Unicode 同形異義字、編碼技巧、動態載入
受影響元件	ClawHub moderation.ts
目前緩解措施	基於模式的 FLAG_RULES
殘餘風險	高 - 簡單正規表示式容易被繞過
建議	新增行為分析（VirusTotal Code Insight）、基於 AST 的偵測

T-EVADE-002：內容包裝跳脫

屬性	值
ATLAS ID	AML.T0043 - 製作對抗性資料
Description	攻擊者製作會逃逸 XML 包裝器脈絡的內容
Attack Vector	標籤操縱、脈絡混淆、指令覆寫
Affected Components	外部內容包裝
Current Mitigations	XML 標籤 + 安全通知
Residual Risk	中 - 經常發現新的逃逸方式
Recommendations	多層包裝器、輸出端驗證

3.6 探索 (AML.TA0008)

T-DISC-001: 工具列舉

屬性	值
ATLAS ID	AML.T0040 - AI 模型推論 API 存取
Description	攻擊者透過提示列舉可用工具
Attack Vector	「你有哪些工具？」風格的查詢
Affected Components	Agent 工具登錄
Current Mitigations	無特定措施
Residual Risk	低 - 工具通常已有文件記載
Recommendations	考慮工具可見性控制

T-DISC-002: 工作階段資料擷取

屬性	值
ATLAS ID	AML.T0040 - AI 模型推論 API 存取
Description	攻擊者從工作階段脈絡中擷取敏感資料
Attack Vector	「我們討論了什麼？」查詢、脈絡探測
Affected Components	工作階段逐字稿、脈絡視窗
Current Mitigations	每個傳送者的工作階段隔離
Residual Risk	中 - 工作階段內資料可被存取
Recommendations	在脈絡中實作敏感資料遮蔽

3.7 收集與外洩 (AML.TA0009, AML.TA0010)

T-EXFIL-001: 透過 web_fetch 竊取資料

屬性	值
ATLAS ID	AML.T0009 - 收集
Description	攻擊者透過指示 Agent 傳送到外部 URL 來外洩資料
Attack Vector	提示注入導致 Agent 將資料 POST 到攻擊者伺服器
Affected Components	web_fetch 工具
Current Mitigations	針對內部網路的 SSRF 阻擋
Residual Risk	高 - 允許外部 URL
Recommendations	實作 URL 允許清單、資料分類感知

T-EXFIL-002: 未授權訊息傳送

屬性	值
ATLAS ID	AML.T0009 - 收集
Description	攻擊者導致 Agent 傳送含有敏感資料的訊息
Attack Vector	提示注入導致 Agent 向攻擊者傳送訊息
Affected Components	訊息工具、頻道整合
Current Mitigations	外送訊息閘控
Residual Risk	中 - 閘控可能遭到繞過
Recommendations	對新收件者要求明確確認

T-EXFIL-003: 憑證蒐集

屬性	值
ATLAS ID	AML.T0009 - 收集
Description	惡意技能從 Agent 脈絡中蒐集憑證
Attack Vector	技能程式碼讀取環境變數、設定檔
Affected Components	技能執行環境
Current Mitigations	無針對技能的特定措施
Residual Risk	關鍵 - Skills 以 Agent 權限執行
Recommendations	技能沙箱化、憑證隔離

3.8 影響 (AML.TA0011)

T-IMPACT-001: 未授權命令執行

屬性	值
ATLAS ID	AML.T0031 - 侵蝕 AI 模型完整性
Description	攻擊者在使用者系統上執行任意命令
Attack Vector	提示注入結合 exec 核准繞過
Affected Components	Bash 工具、命令執行
Current Mitigations	Exec 核准、Docker 沙箱選項
Residual Risk	關鍵 - 未使用沙箱的主機執行
Recommendations	預設使用沙箱、改善核准 UX

T-IMPACT-002: 資源耗盡 (DoS)

屬性	值
ATLAS ID	AML.T0031 - 侵蝕 AI 模型完整性
Description	攻擊者耗盡 API 點數或運算資源
Attack Vector	自動化訊息灌流、昂貴的工具呼叫
Affected Components	Gateway、Agent 工作階段、API 提供者
Current Mitigations	無
Residual Risk	高 - 沒有限速
Recommendations	實作每位傳送者的速率限制、成本預算

T-IMPACT-003: 聲譽損害

屬性	值
ATLAS ID	AML.T0031 - 侵蝕 AI 模型完整性
Description	攻擊者導致 Agent 傳送有害或冒犯性內容
Attack Vector	提示注入導致不適當回應
Affected Components	輸出產生、頻道訊息傳送
Current Mitigations	LLM 提供者內容政策
Residual Risk	中 - 提供者篩選器並不完美
Recommendations	輸出篩選層、使用者控制

4. ClawHub 供應鏈分析

4.1 目前的安全控制

控制	實作	有效性
GitHub 帳號年齡	`requireGitHubAccountAge()`	中 - 提高新攻擊者門檻
路徑清理	`sanitizePath()`	高 - 防止路徑遍歷
檔案類型驗證	`isTextFile()`	中 - 僅限文字檔，但仍可能具有惡意
大小限制	50MB 總套件	高 - 防止資源耗盡
必要的 SKILL.md	強制 readme	低安全價值 - 僅供資訊用途
模式審核	FLAG_RULES in moderation.ts	低 - 容易繞過
審核狀態	`moderationStatus` 欄位	中 - 可進行人工審查

4.2 審核旗標模式

moderation.ts 中的目前模式：

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

限制：

只檢查 slug、displayName、summary、frontmatter、metadata、檔案路徑
不分析實際技能程式碼內容
簡單 regex 容易以混淆方式繞過
沒有行為分析

4.3 規劃中的改善

改善項目	狀態	影響
VirusTotal 整合	進行中	高 - Code Insight 行為分析
社群通報	部分完成（`skillReports` 表已存在）	中
稽核記錄	部分完成（`auditLogs` 表已存在）	中
徽章系統	已實作	中 - `highlighted`、`official`、`deprecated`、`redactionApproved`

5. 風險矩陣

5.1 可能性與影響

威脅 ID	可能性	影響	風險等級	優先順序
T-EXEC-001	高	關鍵	關鍵	P0
T-PERSIST-001	高	關鍵	關鍵	P0
T-EXFIL-003	中	關鍵	關鍵	P0
T-IMPACT-001	中	關鍵	高	P1
T-EXEC-002	高	高	高	P1
T-EXEC-004	中	高	高	P1
T-ACCESS-003	中	高	高	P1
T-EXFIL-001	中	高	高	P1
T-IMPACT-002	高	中	高	P1
T-EVADE-001	高	中	中	P2
T-ACCESS-001	低	高	中	P2
T-ACCESS-002	低	高	中	P2
T-PERSIST-002	低	高	中	P2

5.2 關鍵路徑攻擊鏈

攻擊鏈 1：基於技能的資料竊取

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

攻擊鏈 2：提示注入到 RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

攻擊鏈 3：透過擷取內容進行間接注入

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. 建議摘要

6.1 立即 (P0)

ID	建議	處理項目
R-001	完成 VirusTotal 整合	T-PERSIST-001, T-EVADE-001
R-002	實作技能沙箱化	T-PERSIST-001, T-EXFIL-003
R-003	為敏感動作新增輸出驗證	T-EXEC-001, T-EXEC-002

6.2 短期 (P1)

ID	建議	處理項目
R-004	實作速率限制	T-IMPACT-002
R-005	新增靜態權杖加密	T-ACCESS-003
R-006	改善 exec 核准 UX 與驗證	T-EXEC-004
R-007	為 web_fetch 實作 URL 允許清單	T-EXFIL-001

6.3 中期 (P2)

ID	建議	處理項目
R-008	在可行處新增加密通道驗證	T-ACCESS-002
R-009	實作設定完整性驗證	T-PERSIST-003
R-010	新增更新簽署與版本釘選	T-PERSIST-002

7. 附錄

7.1 ATLAS 技術對應

ATLAS ID	技術名稱	OpenClaw 威脅
AML.T0006	主動掃描	T-RECON-001, T-RECON-002
AML.T0009	收集	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	供應鏈：AI 軟體	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	供應鏈：資料	T-PERSIST-003
AML.T0031	削弱 AI 模型完整性	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	AI 模型推論 API 存取	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	製作對抗性資料	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	LLM 提示注入：直接	T-EXEC-001, T-EXEC-003
AML.T0051.001	LLM 提示注入：間接	T-EXEC-002

7.2 關鍵安全檔案

路徑	用途	風險等級
`src/infra/exec-approvals.ts`	命令核准邏輯	重大
`src/gateway/auth.ts`	Gateway 驗證	重大
`src/infra/net/ssrf.ts`	SSRF 防護	重大
`src/security/external-content.ts`	提示注入緩解	重大
`src/agents/sandbox/tool-policy.ts`	工具政策強制執行	重大
`src/routing/resolve-route.ts`	工作階段隔離	中等

7.3 詞彙表

術語	定義
ATLAS	MITRE 的 AI 系統對抗性威脅情勢
ClawHub	OpenClaw 的技能市集
Gateway	OpenClaw 的訊息路由與驗證層
MCP	Model Context Protocol - 工具供應者介面
提示注入	將惡意指令嵌入輸入中的攻擊
技能	可下載的 OpenClaw agent 擴充功能
SSRF	伺服器端請求偽造

此威脅模型是一份持續更新的文件。請將安全問題回報至 security@openclaw.ai

Gateway

Remote access

Security

Nodes and media

Web interfaces

Documentation Index

​OpenClaw 威脅模型 v1.0

​MITRE ATLAS 框架

​框架歸屬

​為此威脅模型做出貢獻

​1. 簡介

​1.1 目的

​1.2 範圍

​1.3 範圍外

​2. 系統架構

​2.1 信任邊界

​2.2 資料流程

​3. 依 ATLAS 戰術進行威脅分析

​3.1 偵察 (AML.TA0002)

​T-RECON-001：代理端點探索

​T-RECON-002：頻道整合探測

​3.2 初始存取 (AML.TA0004)

​T-ACCESS-001：配對碼攔截

​T-ACCESS-002：AllowFrom 偽造

​T-ACCESS-003：權杖竊取

​3.3 執行 (AML.TA0005)

​T-EXEC-001：直接提示注入

​T-EXEC-002：間接提示注入

​T-EXEC-003：工具引數注入

​T-EXEC-004：執行核准繞過

​3.4 持續存取 (AML.TA0006)

​T-PERSIST-001：惡意 Skill 安裝

​T-PERSIST-002：Skill 更新投毒

​T-PERSIST-003：代理設定竄改

​3.5 防禦規避 (AML.TA0007)

​T-EVADE-001：審核模式繞過

​T-EVADE-002：內容包裝跳脫

​3.6 探索 (AML.TA0008)

​T-DISC-001: 工具列舉

​T-DISC-002: 工作階段資料擷取

​3.7 收集與外洩 (AML.TA0009, AML.TA0010)

​T-EXFIL-001: 透過 web_fetch 竊取資料

​T-EXFIL-002: 未授權訊息傳送

​T-EXFIL-003: 憑證蒐集

​3.8 影響 (AML.TA0011)

​T-IMPACT-001: 未授權命令執行

​T-IMPACT-002: 資源耗盡 (DoS)

​T-IMPACT-003: 聲譽損害

​4. ClawHub 供應鏈分析

​4.1 目前的安全控制

​4.2 審核旗標模式

​4.3 規劃中的改善

​5. 風險矩陣

​5.1 可能性與影響

​5.2 關鍵路徑攻擊鏈

​6. 建議摘要

​6.1 立即 (P0)

​6.2 短期 (P1)

​6.3 中期 (P2)

​7. 附錄

​7.1 ATLAS 技術對應

​7.2 關鍵安全檔案

​7.3 詞彙表

​相關內容