الإصدار: 1.0-مسودة | إطار العمل:MITRE ATLAS (مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي) + مخططات تدفق البيانات
يوثّق نموذج التهديدات هذا التهديدات العدائية لمنصة وكيل الذكاء الاصطناعي OpenClaw وسوق Skills في ClawHub. وهو مستند حيّ يتولى مجتمع OpenClaw صيانته. راجع المساهمة في نموذج التهديدات لمعرفة كيفية الإبلاغ عن تهديدات جديدة، أو اقتراح سلاسل هجوم، أو اقتراح إجراءات تخفيف.
تنفيذ الوكيل الأساسي، واستدعاءات الأدوات، والجلسات
Gateway
نعم
المصادقة، والتوجيه، وتكامل القنوات
تكاملات القنوات
نعم
WhatsApp، وTelegram، وDiscord، وSignal، وSlack، وغيرها
سوق ClawHub
نعم
نشر Skills والإشراف عليها وتوزيعها
خوادم MCP
نعم
موفرو الأدوات الخارجيون
أجهزة المستخدمين
جزئيًا
تطبيقات الأجهزة المحمولة، وعملاء سطح المكتب
ترد التقارير الخارجة عن النطاق وأنماط النتائج الإيجابية الكاذبة (التعرّض للإنترنت العام، وسلاسل حقن الموجّهات فقط من دون تجاوز حدود، والمشغّلون الذين لا يثق بعضهم ببعض ويتشاركون مضيف Gateway واحدًا، وغيرها) في SECURITY.md؛ وهذا الملف هو المصدر الحالي المعتمد لنطاق الإبلاغ عن الثغرات، وليس هذه الصفحة.
2. بنية النظام
2.1 حدود الثقة
text
┌─────────────────────────────────────────────────────────────────┐│ المنطقة غير الموثوقة ││ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ││ │ WhatsApp │ │ Telegram │ │ Discord │ ... ││ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ ││ │ │ │ │└─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼┌─────────────────────────────────────────────────────────────────┐│ حد الثقة 1: الوصول إلى القناة ││ ┌──────────────────────────────────────────────────────────┐ ││ │ GATEWAY │ ││ │ • إقران الجهاز (إقران الرسائل المباشرة لمدة ساعة / مدة │ ││ صلاحية إقران Node تبلغ 5 دقائق) │ ││ │ • التحقق من AllowFrom / قائمة السماح │ ││ │ • مصادقة الرمز المميز / كلمة المرور / Tailscale │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ حد الثقة 2: عزل الجلسات ││ ┌──────────────────────────────────────────────────────────┐ ││ │ جلسات الوكيل │ ││ │ • مفتاح الجلسة = agent:channel:peer │ ││ │ • سياسات الأدوات لكل وكيل │ ││ │ • تسجيل النصوص المنقولة │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ حد الثقة 3: تنفيذ الأدوات ││ ┌──────────────────────────────────────────────────────────┐ ││ │ بيئة التنفيذ المعزولة │ ││ │ • بيئة Docker معزولة (افتراضيًا) أو المضيف (موافقات │ ││ التنفيذ) │ ││ │ • التنفيذ عن بُعد على Node │ ││ │ • الحماية من SSRF (تثبيت DNS + حظر عناوين IP) │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ حد الثقة 4: المحتوى الخارجي ││ ┌──────────────────────────────────────────────────────────┐ ││ │ عناوين URL / رسائل البريد / Webhook المستجلَبة │ ││ │ • تغليف المحتوى الخارجي (وسوم XML ذات حدود عشوائية) │ ││ │ • حقن إشعار أمني │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ حد الثقة 5: سلسلة التوريد ││ ┌──────────────────────────────────────────────────────────┐ ││ │ CLAWHUB │ ││ │ • نشر Skills (باستخدام semver، مع اشتراط SKILL.md) │ ││ │ • فحص إشرافي للأنماط الثابتة وما يجاور AST │ ││ │ • مراجعة مخاطر وكيلية قائمة على LLM + فحص VirusTotal │ ││ │ • التحقق من عمر حساب GitHub (14 يومًا) │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘
2.2 تدفقات البيانات
التدفق
المصدر
الوجهة
البيانات
الحماية
F1
القناة
Gateway
رسائل المستخدم
TLS، وAllowFrom
F2
Gateway
الوكيل
الرسائل الموجّهة
عزل الجلسات
F3
الوكيل
الأدوات
استدعاءات الأدوات
إنفاذ السياسات
F4
الوكيل
خارجي
طلبات web_fetch
حظر SSRF
F5
ClawHub
الوكيل
شيفرة Skills
الإشراف والفحص
F6
الوكيل
القناة
الاستجابات
ترشيح المخرجات
3. تحليل التهديدات حسب تكتيك ATLAS
3.1 الاستطلاع (AML.TA0002)
T-RECON-001: اكتشاف نقطة نهاية الوكيل
السمة
القيمة
معرّف ATLAS
AML.T0006 - المسح النشط
الوصف
يمسح المهاجم بحثًا عن نقاط نهاية Gateway المكشوفة في OpenClaw
متجه الهجوم
مسح الشبكة، واستعلامات Shodan، وتعداد DNS
المكوّنات المتأثرة
Gateway، ونقاط نهاية API المكشوفة
إجراءات التخفيف الحالية
خيار مصادقة Tailscale، والربط بـ local loopback افتراضيًا
المخاطر المتبقية
متوسطة - يمكن اكتشاف بوابات Gateway العامة
التوصيات
توثيق النشر الآمن، وإضافة تحديد لمعدل الطلبات على نقاط نهاية الاكتشاف
T-RECON-002: فحص تكامل القنوات
السمة
القيمة
معرّف ATLAS
AML.T0006 - المسح النشط
الوصف
يفحص المهاجم قنوات المراسلة لتحديد الحسابات التي يديرها الذكاء الاصطناعي
متجه الهجوم
إرسال رسائل اختبارية، ومراقبة أنماط الاستجابة
المكوّنات المتأثرة
جميع تكاملات القنوات
إجراءات التخفيف الحالية
لا توجد إجراءات محددة
المخاطر المتبقية
منخفضة - قيمة محدودة للاكتشاف وحده
التوصيات
النظر في إضافة عشوائية إلى توقيت الاستجابة
3.2 الوصول الأولي (AML.TA0004)
T-ACCESS-001: اعتراض رمز الإقران
السمة
القيمة
معرّف ATLAS
AML.T0040 - الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي
الوصف
يعترض المهاجم رمز إقران خلال نافذة الإقران (ساعة واحدة لإقران الرسائل المباشرة/العام، و5 دقائق لإقران Node)
متجه الهجوم
التلصص البصري، والتنصت على الشبكة، والهندسة الاجتماعية
المكونات المتأثرة
نظام إقران الأجهزة
إجراءات التخفيف الحالية
مدة صلاحية ساعة واحدة (لإقران الرسائل المباشرة/العام)، و5 دقائق (لإقران Node)؛ تُرسل الرموز عبر القناة الحالية
المخاطر المتبقية
متوسطة - يمكن استغلال نافذة الإقران
التوصيات
تقليص نافذة الإقران، وإضافة خطوة تأكيد
T-ACCESS-002: انتحال AllowFrom
السمة
القيمة
معرّف ATLAS
AML.T0040 - الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي
الوصف
ينتحل المهاجم هوية مُرسِل مسموح به على إحدى القنوات
متجه الهجوم
يعتمد على القناة - انتحال رقم الهاتف أو اسم المستخدم
المكونات المتأثرة
التحقق من AllowFrom لكل قناة
إجراءات التخفيف الحالية
التحقق من الهوية حسب القناة
المخاطر المتبقية
متوسطة - تظل بعض القنوات عرضة للانتحال
التوصيات
توثيق المخاطر الخاصة بكل قناة، وإضافة تحقق تشفيري حيثما أمكن
T-ACCESS-003: سرقة الرموز المميزة
السمة
القيمة
معرّف ATLAS
AML.T0040 - الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي
الوصف
يسرق المهاجم رموز المصادقة من ملفات الإعدادات/بيانات الاعتماد
متجه الهجوم
البرمجيات الضارة، والوصول غير المصرح به إلى الجهاز، وانكشاف النسخ الاحتياطية للإعدادات
المكونات المتأثرة
تخزين بيانات اعتماد القنوات/المزوّدين، وتخزين الإعدادات
إجراءات التخفيف الحالية
أذونات الملفات
المخاطر المتبقية
مرتفعة - تُخزَّن الرموز المميزة بنص صريح على القرص
التوصيات
تنفيذ تشفير الرموز المميزة أثناء التخزين، وإضافة تدوير للرموز المميزة
3.3 التنفيذ (AML.TA0005)
T-EXEC-001: الحقن المباشر للموجّه
السمة
القيمة
معرّف ATLAS
AML.T0051.000 - حقن موجّه LLM: مباشر
الوصف
يرسل المهاجم موجّهات مصممة للتلاعب بسلوك الوكيل
متجه الهجوم
رسائل القنوات التي تحتوي على تعليمات عدائية
المكونات المتأثرة
نموذج LLM الخاص بالوكيل، وجميع أسطح الإدخال
إجراءات التخفيف الحالية
اكتشاف الأنماط، وتغليف المحتوى الخارجي؛ ويُعامل على أنه خارج نطاق تقارير الثغرات ما لم يحدث تجاوز للحدود (راجع SECURITY.md)
المخاطر المتبقية
حرجة - يقتصر الأمر على الاكتشاف دون الحظر؛ ويمكن للهجمات المتطورة تجاوزه
التوصيات
التحقق من المخرجات وطلب تأكيد المستخدم للإجراءات الحساسة، كطبقة إضافية فوق آليات الاكتشاف الحالية
قائمة السماح + وضع السؤال، إلى جانب تطبيع الأوامر (إزالة أغلفة الإرسال، واكتشاف التقييم المضمّن، وتحليل سلاسل أوامر الصدفة)
المخاطر المتبقية
مرتفعة - يحدّ التطبيع من تجاوزات التمويه لكنه لا يلغيها؛ وتُعامل النتائج المتعلقة فقط بالتكافؤ بين مسارات التنفيذ على أنها تعزيز أمني، لا ثغرات (راجع SECURITY.md)
التوصيات
مواصلة توسيع نطاق تغطية تطبيع الأوامر لمواجهة تقنيات التمويه الجديدة
3.4 الاستمرارية (AML.TA0006)
T-PERSIST-001: تثبيت Skill ضارة
السمة
القيمة
معرّف ATLAS
AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي
الوصف
ينشر المهاجم Skill ضارة على ClawHub
متجه الهجوم
إنشاء حساب، ونشر Skill تحتوي على تعليمات برمجية ضارة مخفية
المكونات المتأثرة
ClawHub، وتحميل Skills، وتنفيذ الوكيل
إجراءات التخفيف الحالية
التحقق من عمر حساب GitHub، والفحص الثابت للأنماط/الفحص القريب من AST، ومراجعة المخاطر الوكيلية المستندة إلى LLM، وفحص VirusTotal
المخاطر المتبقية
مرتفعة - توجد طبقات اكتشاف، لكن Skills تظل تعمل بصلاحيات الوكيل ودون عزل للتنفيذ
التوصيات
عزل تنفيذ Skills، وتوسيع نطاق مراجعة المجتمع
T-PERSIST-002: تسميم تحديث Skill
السمة
القيمة
معرّف ATLAS
AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي
الوصف
يخترق المهاجم Skill شائعة ويدفع تحديثًا ضارًا
متجه الهجوم
اختراق الحساب، والهندسة الاجتماعية لمالك Skill
المكونات المتأثرة
إدارة إصدارات ClawHub، ومسارات التحديث التلقائي
إجراءات التخفيف الحالية
بصمات الإصدارات، وإعادة تشغيل الإشراف/الفحص عند صدور إصدارات جديدة
المخاطر المتبقية
مرتفعة - قد تجلب التحديثات التلقائية إصدارات ضارة قبل اكتمال المراجعة
التوصيات
توقيع التحديثات، وإمكانية التراجع، وتثبيت الإصدار
T-PERSIST-003: العبث بإعدادات الوكيل
السمة
القيمة
معرّف ATLAS
AML.T0010.002 - اختراق سلسلة التوريد: البيانات
الوصف
يعدّل المهاجم إعدادات الوكيل للحفاظ على استمرارية الوصول
متجه الهجوم
تعديل ملف الإعدادات، حقن الإعدادات
المكوّنات المتأثرة
إعدادات الوكيل، سياسات الأدوات
إجراءات التخفيف الحالية
أذونات الملفات
المخاطر المتبقية
متوسطة - تتطلب وصولًا محليًا
التوصيات
التحقق من سلامة الإعدادات، وتسجيل تدقيق تغييرات الإعدادات
3.5 التهرب من الدفاعات (AML.TA0007)
T-EVADE-001: تجاوز أنماط الإشراف
السمة
القيمة
معرّف ATLAS
AML.T0043 - صياغة بيانات خصومية
الوصف
يصوغ المهاجم محتوى Skill للتحايل على فحوصات الإشراف في ClawHub
متجه الهجوم
المحارف المتشابهة بصريًا في Unicode، حيل الترميز، التحميل الديناميكي
المكوّنات المتأثرة
مسار الإشراف/الفحص في ClawHub
إجراءات التخفيف الحالية
قواعد أنماط ثابتة، وفحص الشيفرة المرتبط بشجرة البنية المجردة، ومراجعة المخاطر الوكيلة باستخدام LLM، وVirusTotal
المخاطر المتبقية
متوسطة - لا يزال بإمكان أساليب التمويه الجديدة تجاوز الاستدلالات متعددة الطبقات
التوصيات
مواصلة توسيع مجموعة الأنماط والسلوكيات مع اكتشاف أساليب تهرب جديدة
T-EVADE-002: الإفلات من مغلّف المحتوى
السمة
القيمة
معرّف ATLAS
AML.T0043 - صياغة بيانات خصومية
الوصف
يصوغ المهاجم محتوى يفلت من سياق مغلّف المحتوى الخارجي
متجه الهجوم
التلاعب بالوسوم، إرباك السياق، تجاوز التعليمات
المكوّنات المتأثرة
تغليف المحتوى الخارجي
إجراءات التخفيف الحالية
علامات بنمط XML ذات حدود عشوائية مع إشعار أمني، بالإضافة إلى كشف انتحال العلامات باستخدام المحارف المتشابهة بصريًا ومتغيرات المسافات البيضاء
المخاطر المتبقية
متوسطة - تُكتشف أساليب إفلات جديدة بانتظام
التوصيات
التحقق من جهة المخرجات بالإضافة إلى التغليف من جهة المدخلات
3.6 الاستطلاع (AML.TA0008)
T-DISC-001: تعداد الأدوات
السمة
القيمة
معرّف ATLAS
AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف
يحصي المهاجم الأدوات المتاحة عبر الموجّهات
متجه الهجوم
استعلامات من نمط «ما الأدوات المتوفرة لديك؟»
المكوّنات المتأثرة
سجل أدوات الوكيل
إجراءات التخفيف الحالية
لا توجد إجراءات محددة
المخاطر المتبقية
منخفضة - الأدوات موثّقة عمومًا
التوصيات
النظر في ضوابط إظهار الأدوات
T-DISC-002: استخراج بيانات الجلسة
السمة
القيمة
معرّف ATLAS
AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف
يستخرج المهاجم بيانات حساسة من سياق الجلسة
متجه الهجوم
استعلامات «ما الذي ناقشناه؟»، واستكشاف السياق
المكوّنات المتأثرة
نصوص الجلسات، نافذة السياق
إجراءات التخفيف الحالية
عزل الجلسة لكل مرسل (المفتاح agent:channel:peer)
المخاطر المتبقية
متوسطة - يمكن الوصول إلى البيانات داخل الجلسة بحكم التصميم
التوصيات
تنقيح البيانات الحساسة من السياق
3.7 الجمع وتسريب البيانات (AML.TA0009، AML.TA0010)
T-EXFIL-001: سرقة البيانات عبر web_fetch
السمة
القيمة
معرّف ATLAS
AML.T0009 - الجمع
الوصف
يسرّب المهاجم البيانات عبر توجيه الوكيل لإرسالها إلى عنوان URL خارجي
متجه الهجوم
حقن موجّه يتسبب في إرسال الوكيل البيانات باستخدام POST إلى خادم المهاجم
المكوّنات المتأثرة
أداة web_fetch
إجراءات التخفيف الحالية
حظر SSRF للشبكات الداخلية/الخاصة (تثبيت DNS مع حظر عناوين IP)
المخاطر المتبقية
مرتفعة - تظل عناوين URL الخارجية العشوائية مسموحًا بها
التوصيات
قائمة سماح لعناوين URL، ومراعاة تصنيف البيانات
T-EXFIL-002: إرسال رسائل غير مصرّح به
السمة
القيمة
معرّف ATLAS
AML.T0009 - الجمع
الوصف
يدفع المهاجم الوكيل إلى إرسال رسائل تحتوي على بيانات حساسة
متجه الهجوم
حقن موجّه يتسبب في مراسلة الوكيل للمهاجم
المكوّنات المتأثرة
أداة الرسائل، عمليات تكامل القنوات
إجراءات التخفيف الحالية
تقييد الرسائل الصادرة
المخاطر المتبقية
متوسطة - قد يجري تجاوز التقييد
التوصيات
تأكيد صريح للمستلمين الجدد
T-EXFIL-003: جمع بيانات الاعتماد
السمة
القيمة
معرّف ATLAS
AML.T0009 - الجمع
الوصف
تجمع Skill ضارة بيانات الاعتماد من سياق الوكيل
متجه الهجوم
تقرأ شيفرة Skill متغيرات البيئة وملفات الإعدادات
المكوّنات المتأثرة
بيئة تنفيذ Skill
إجراءات التخفيف الحالية
فحص أنماط بيانات الاعتماد في ClawHub (الأسرار المضمّنة في الشيفرة، والوصول إلى متغيرات بيئة بيانات الاعتماد المقترن بعمليات إرسال عبر الشبكة)؛ لا يوجد عزل لتنفيذ Skills في وقت التشغيل
محرك أنماط يغطي التنفيذ، والتسريب، وحصاد بيانات الاعتماد، والتعمية، وغير ذلك
متوسطة إلى عالية - يغطي العديد من أنماط الإساءة المعروفة، لكنه يظل قائمًا على الأنماط
مراجعة المخاطر الوكيلة القائمة على LLM
حكم عند النشر موجّه بموجّه أمني
متوسطة إلى عالية - تكتشف سلوكيات تفوتها الأنماط الثابتة
فحص VirusTotal
مدمج في تدفقات نشر وإعادة فحص Skills وإصدارات الحزم، ومشروط بمفتاح API الخاص بالمشغّل
عالية عند تمكينه - اكتشاف بواسطة محرك ثابت
حالة الإشراف
حقل moderationStatus
متوسطة - تتيح المراجعة اليدوية
4.2 قيود الإشراف
يفحص الفحص الثابت في ClawHub محتوى شيفرة Skills مباشرةً (وليس فقط الاسم المختصر أو البيانات الوصفية أو البيانات التمهيدية)، ويغطي استدعاءات التنفيذ الخطرة، والتنفيذ الديناميكي للشيفرة، وحصاد بيانات الاعتماد، وأنماط التسريب، والحمولات المُعمّاة، وغير ذلك. تشمل الثغرات المعروفة:
لا يزال من الممكن تجاوز الاكتشاف القائم على الأنماط باستخدام تعمية مبتكرة بما يكفي.
تعتمد المراجعة القائمة على LLM وفحص VirusTotal على تمكين مفاتيح API أو إعدادات جهة المشغّل.
لا توجد بيئة تنفيذ معزولة تعزل Skill عن صلاحيات الوكيل نفسه بعد تثبيتها.
4.3 الشارات
تحمل Skills والحزم شارات يعيّنها المشرفون: highlighted وofficial وdeprecated وredactionApproved (لـ Skills فقط). وتدعم بلاغات المجتمع (skillReports) وسجلات التدقيق (auditLogs) سير عمل الإشراف.