Security

نموذج التهديدات (MITRE ATLAS)

الإصدار: 1.0-مسودة | إطار العمل: MITRE ATLAS (مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي) + مخططات تدفق البيانات

يوثّق نموذج التهديدات هذا التهديدات العدائية لمنصة وكيل الذكاء الاصطناعي OpenClaw وسوق Skills في ClawHub. وهو مستند حيّ يتولى مجتمع OpenClaw صيانته. راجع المساهمة في نموذج التهديدات لمعرفة كيفية الإبلاغ عن تهديدات جديدة، أو اقتراح سلاسل هجوم، أو اقتراح إجراءات تخفيف.

موارد ATLAS الرئيسية: التقنيات | التكتيكات | دراسات الحالة | ATLAS على GitHub | المساهمة في ATLAS


1. النطاق

المكوّن مشمول ملاحظات
وقت تشغيل وكيل OpenClaw نعم تنفيذ الوكيل الأساسي، واستدعاءات الأدوات، والجلسات
Gateway نعم المصادقة، والتوجيه، وتكامل القنوات
تكاملات القنوات نعم WhatsApp، وTelegram، وDiscord، وSignal، وSlack، وغيرها
سوق ClawHub نعم نشر Skills والإشراف عليها وتوزيعها
خوادم MCP نعم موفرو الأدوات الخارجيون
أجهزة المستخدمين جزئيًا تطبيقات الأجهزة المحمولة، وعملاء سطح المكتب

ترد التقارير الخارجة عن النطاق وأنماط النتائج الإيجابية الكاذبة (التعرّض للإنترنت العام، وسلاسل حقن الموجّهات فقط من دون تجاوز حدود، والمشغّلون الذين لا يثق بعضهم ببعض ويتشاركون مضيف Gateway واحدًا، وغيرها) في SECURITY.md؛ وهذا الملف هو المصدر الحالي المعتمد لنطاق الإبلاغ عن الثغرات، وليس هذه الصفحة.

2. بنية النظام

2.1 حدود الثقة

text
┌─────────────────────────────────────────────────────────────────┐│                    المنطقة غير الموثوقة                         ││  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              ││  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         ││  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              ││         │                │                │                      │└─────────┼────────────────┼────────────────┼──────────────────────┘          │                │                │          ▼                ▼                ▼┌─────────────────────────────────────────────────────────────────┐│                 حد الثقة 1: الوصول إلى القناة                   ││  ┌──────────────────────────────────────────────────────────┐   ││  │                      GATEWAY                              │   ││  │  • إقران الجهاز (إقران الرسائل المباشرة لمدة ساعة / مدة  │   ││    صلاحية إقران Node تبلغ 5 دقائق)                           │   ││  │  • التحقق من AllowFrom / قائمة السماح                    │   ││  │  • مصادقة الرمز المميز / كلمة المرور / Tailscale         │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 حد الثقة 2: عزل الجلسات                         ││  ┌──────────────────────────────────────────────────────────┐   ││  │                   جلسات الوكيل                           │   ││  │  • مفتاح الجلسة = agent:channel:peer                    │   ││  │  • سياسات الأدوات لكل وكيل                              │   ││  │  • تسجيل النصوص المنقولة                                │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 حد الثقة 3: تنفيذ الأدوات                       ││  ┌──────────────────────────────────────────────────────────┐   ││  │                  بيئة التنفيذ المعزولة                  │   ││  │  • بيئة Docker معزولة (افتراضيًا) أو المضيف (موافقات    │   ││    التنفيذ)                                                  │   ││  │  • التنفيذ عن بُعد على Node                              │   ││  │  • الحماية من SSRF (تثبيت DNS + حظر عناوين IP)          │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 حد الثقة 4: المحتوى الخارجي                     ││  ┌──────────────────────────────────────────────────────────┐   ││  │       عناوين URL / رسائل البريد / Webhook المستجلَبة     │   ││  │  • تغليف المحتوى الخارجي (وسوم XML ذات حدود عشوائية)    │   ││  │  • حقن إشعار أمني                                       │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 حد الثقة 5: سلسلة التوريد                       ││  ┌──────────────────────────────────────────────────────────┐   ││  │                      CLAWHUB                              │   ││  │  • نشر Skills (باستخدام semver، مع اشتراط SKILL.md)      │   ││  │  • فحص إشرافي للأنماط الثابتة وما يجاور AST             │   ││  │  • مراجعة مخاطر وكيلية قائمة على LLM + فحص VirusTotal   │   ││  │  • التحقق من عمر حساب GitHub (14 يومًا)                 │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘

2.2 تدفقات البيانات

التدفق المصدر الوجهة البيانات الحماية
F1 القناة Gateway رسائل المستخدم TLS، وAllowFrom
F2 Gateway الوكيل الرسائل الموجّهة عزل الجلسات
F3 الوكيل الأدوات استدعاءات الأدوات إنفاذ السياسات
F4 الوكيل خارجي طلبات web_fetch حظر SSRF
F5 ClawHub الوكيل شيفرة Skills الإشراف والفحص
F6 الوكيل القناة الاستجابات ترشيح المخرجات

3. تحليل التهديدات حسب تكتيك ATLAS

3.1 الاستطلاع (AML.TA0002)

T-RECON-001: اكتشاف نقطة نهاية الوكيل

السمة القيمة
معرّف ATLAS AML.T0006 - المسح النشط
الوصف يمسح المهاجم بحثًا عن نقاط نهاية Gateway المكشوفة في OpenClaw
متجه الهجوم مسح الشبكة، واستعلامات Shodan، وتعداد DNS
المكوّنات المتأثرة Gateway، ونقاط نهاية API المكشوفة
إجراءات التخفيف الحالية خيار مصادقة Tailscale، والربط بـ local loopback افتراضيًا
المخاطر المتبقية متوسطة - يمكن اكتشاف بوابات Gateway العامة
التوصيات توثيق النشر الآمن، وإضافة تحديد لمعدل الطلبات على نقاط نهاية الاكتشاف

T-RECON-002: فحص تكامل القنوات

السمة القيمة
معرّف ATLAS AML.T0006 - المسح النشط
الوصف يفحص المهاجم قنوات المراسلة لتحديد الحسابات التي يديرها الذكاء الاصطناعي
متجه الهجوم إرسال رسائل اختبارية، ومراقبة أنماط الاستجابة
المكوّنات المتأثرة جميع تكاملات القنوات
إجراءات التخفيف الحالية لا توجد إجراءات محددة
المخاطر المتبقية منخفضة - قيمة محدودة للاكتشاف وحده
التوصيات النظر في إضافة عشوائية إلى توقيت الاستجابة

3.2 الوصول الأولي (AML.TA0004)

T-ACCESS-001: اعتراض رمز الإقران

السمة القيمة
معرّف ATLAS AML.T0040 - الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي
الوصف يعترض المهاجم رمز إقران خلال نافذة الإقران (ساعة واحدة لإقران الرسائل المباشرة/العام، و5 دقائق لإقران Node)
متجه الهجوم التلصص البصري، والتنصت على الشبكة، والهندسة الاجتماعية
المكونات المتأثرة نظام إقران الأجهزة
إجراءات التخفيف الحالية مدة صلاحية ساعة واحدة (لإقران الرسائل المباشرة/العام)، و5 دقائق (لإقران Node)؛ تُرسل الرموز عبر القناة الحالية
المخاطر المتبقية متوسطة - يمكن استغلال نافذة الإقران
التوصيات تقليص نافذة الإقران، وإضافة خطوة تأكيد

T-ACCESS-002: انتحال AllowFrom

السمة القيمة
معرّف ATLAS AML.T0040 - الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي
الوصف ينتحل المهاجم هوية مُرسِل مسموح به على إحدى القنوات
متجه الهجوم يعتمد على القناة - انتحال رقم الهاتف أو اسم المستخدم
المكونات المتأثرة التحقق من AllowFrom لكل قناة
إجراءات التخفيف الحالية التحقق من الهوية حسب القناة
المخاطر المتبقية متوسطة - تظل بعض القنوات عرضة للانتحال
التوصيات توثيق المخاطر الخاصة بكل قناة، وإضافة تحقق تشفيري حيثما أمكن

T-ACCESS-003: سرقة الرموز المميزة

السمة القيمة
معرّف ATLAS AML.T0040 - الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي
الوصف يسرق المهاجم رموز المصادقة من ملفات الإعدادات/بيانات الاعتماد
متجه الهجوم البرمجيات الضارة، والوصول غير المصرح به إلى الجهاز، وانكشاف النسخ الاحتياطية للإعدادات
المكونات المتأثرة تخزين بيانات اعتماد القنوات/المزوّدين، وتخزين الإعدادات
إجراءات التخفيف الحالية أذونات الملفات
المخاطر المتبقية مرتفعة - تُخزَّن الرموز المميزة بنص صريح على القرص
التوصيات تنفيذ تشفير الرموز المميزة أثناء التخزين، وإضافة تدوير للرموز المميزة

3.3 التنفيذ (AML.TA0005)

T-EXEC-001: الحقن المباشر للموجّه

السمة القيمة
معرّف ATLAS AML.T0051.000 - حقن موجّه LLM: مباشر
الوصف يرسل المهاجم موجّهات مصممة للتلاعب بسلوك الوكيل
متجه الهجوم رسائل القنوات التي تحتوي على تعليمات عدائية
المكونات المتأثرة نموذج LLM الخاص بالوكيل، وجميع أسطح الإدخال
إجراءات التخفيف الحالية اكتشاف الأنماط، وتغليف المحتوى الخارجي؛ ويُعامل على أنه خارج نطاق تقارير الثغرات ما لم يحدث تجاوز للحدود (راجع SECURITY.md)
المخاطر المتبقية حرجة - يقتصر الأمر على الاكتشاف دون الحظر؛ ويمكن للهجمات المتطورة تجاوزه
التوصيات التحقق من المخرجات وطلب تأكيد المستخدم للإجراءات الحساسة، كطبقة إضافية فوق آليات الاكتشاف الحالية

T-EXEC-002: الحقن غير المباشر للموجّه

السمة القيمة
معرّف ATLAS AML.T0051.001 - حقن موجّه LLM: غير مباشر
الوصف يضمّن المهاجم تعليمات ضارة في المحتوى المُجلَب
متجه الهجوم عناوين URL ضارة، ورسائل بريد إلكتروني مسمومة، وWebhooks مخترقة
المكونات المتأثرة web_fetch، واستيعاب البريد الإلكتروني، ومصادر البيانات الخارجية
إجراءات التخفيف الحالية تغليف المحتوى بعلامات على نمط XML ذات حدود عشوائية، وتطبيع المحارف المتشابهة بصريًا/الرموز الخاصة، وإشعار أمني
المخاطر المتبقية مرتفعة - قد يظل نموذج LLM يتجاهل تعليمات التغليف
التوصيات فصل سياقات التنفيذ للمحتوى المغلّف

T-EXEC-003: حقن وسائط الأدوات

السمة القيمة
معرّف ATLAS AML.T0051.000 - حقن موجّه LLM: مباشر
الوصف يتلاعب المهاجم بوسائط الأدوات من خلال حقن الموجّه
متجه الهجوم موجّهات مصممة للتأثير في قيم معاملات الأدوات
المكونات المتأثرة جميع عمليات استدعاء الأدوات
إجراءات التخفيف الحالية موافقات التنفيذ للأوامر الخطرة
المخاطر المتبقية مرتفعة - تعتمد على تقدير المستخدم
التوصيات التحقق من الوسائط، واستدعاءات الأدوات ذات المعاملات المعلَّمة

T-EXEC-004: تجاوز موافقة التنفيذ

السمة القيمة
معرّف ATLAS AML.T0043 - صياغة بيانات عدائية
الوصف يصوغ المهاجم أوامر تتجاوز قائمة السماح الخاصة بالموافقة
متجه الهجوم تمويه الأوامر، واستغلال الأسماء المستعارة، والتلاعب بالمسارات
المكونات المتأثرة src/infra/exec-approvals*.ts، وقائمة السماح للأوامر
إجراءات التخفيف الحالية قائمة السماح + وضع السؤال، إلى جانب تطبيع الأوامر (إزالة أغلفة الإرسال، واكتشاف التقييم المضمّن، وتحليل سلاسل أوامر الصدفة)
المخاطر المتبقية مرتفعة - يحدّ التطبيع من تجاوزات التمويه لكنه لا يلغيها؛ وتُعامل النتائج المتعلقة فقط بالتكافؤ بين مسارات التنفيذ على أنها تعزيز أمني، لا ثغرات (راجع SECURITY.md)
التوصيات مواصلة توسيع نطاق تغطية تطبيع الأوامر لمواجهة تقنيات التمويه الجديدة

3.4 الاستمرارية (AML.TA0006)

T-PERSIST-001: تثبيت Skill ضارة

السمة القيمة
معرّف ATLAS AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي
الوصف ينشر المهاجم Skill ضارة على ClawHub
متجه الهجوم إنشاء حساب، ونشر Skill تحتوي على تعليمات برمجية ضارة مخفية
المكونات المتأثرة ClawHub، وتحميل Skills، وتنفيذ الوكيل
إجراءات التخفيف الحالية التحقق من عمر حساب GitHub، والفحص الثابت للأنماط/الفحص القريب من AST، ومراجعة المخاطر الوكيلية المستندة إلى LLM، وفحص VirusTotal
المخاطر المتبقية مرتفعة - توجد طبقات اكتشاف، لكن Skills تظل تعمل بصلاحيات الوكيل ودون عزل للتنفيذ
التوصيات عزل تنفيذ Skills، وتوسيع نطاق مراجعة المجتمع

T-PERSIST-002: تسميم تحديث Skill

السمة القيمة
معرّف ATLAS AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي
الوصف يخترق المهاجم Skill شائعة ويدفع تحديثًا ضارًا
متجه الهجوم اختراق الحساب، والهندسة الاجتماعية لمالك Skill
المكونات المتأثرة إدارة إصدارات ClawHub، ومسارات التحديث التلقائي
إجراءات التخفيف الحالية بصمات الإصدارات، وإعادة تشغيل الإشراف/الفحص عند صدور إصدارات جديدة
المخاطر المتبقية مرتفعة - قد تجلب التحديثات التلقائية إصدارات ضارة قبل اكتمال المراجعة
التوصيات توقيع التحديثات، وإمكانية التراجع، وتثبيت الإصدار

T-PERSIST-003: العبث بإعدادات الوكيل

السمة القيمة
معرّف ATLAS AML.T0010.002 - اختراق سلسلة التوريد: البيانات
الوصف يعدّل المهاجم إعدادات الوكيل للحفاظ على استمرارية الوصول
متجه الهجوم تعديل ملف الإعدادات، حقن الإعدادات
المكوّنات المتأثرة إعدادات الوكيل، سياسات الأدوات
إجراءات التخفيف الحالية أذونات الملفات
المخاطر المتبقية متوسطة - تتطلب وصولًا محليًا
التوصيات التحقق من سلامة الإعدادات، وتسجيل تدقيق تغييرات الإعدادات

3.5 التهرب من الدفاعات (AML.TA0007)

T-EVADE-001: تجاوز أنماط الإشراف

السمة القيمة
معرّف ATLAS AML.T0043 - صياغة بيانات خصومية
الوصف يصوغ المهاجم محتوى Skill للتحايل على فحوصات الإشراف في ClawHub
متجه الهجوم المحارف المتشابهة بصريًا في Unicode، حيل الترميز، التحميل الديناميكي
المكوّنات المتأثرة مسار الإشراف/الفحص في ClawHub
إجراءات التخفيف الحالية قواعد أنماط ثابتة، وفحص الشيفرة المرتبط بشجرة البنية المجردة، ومراجعة المخاطر الوكيلة باستخدام LLM، وVirusTotal
المخاطر المتبقية متوسطة - لا يزال بإمكان أساليب التمويه الجديدة تجاوز الاستدلالات متعددة الطبقات
التوصيات مواصلة توسيع مجموعة الأنماط والسلوكيات مع اكتشاف أساليب تهرب جديدة

T-EVADE-002: الإفلات من مغلّف المحتوى

السمة القيمة
معرّف ATLAS AML.T0043 - صياغة بيانات خصومية
الوصف يصوغ المهاجم محتوى يفلت من سياق مغلّف المحتوى الخارجي
متجه الهجوم التلاعب بالوسوم، إرباك السياق، تجاوز التعليمات
المكوّنات المتأثرة تغليف المحتوى الخارجي
إجراءات التخفيف الحالية علامات بنمط XML ذات حدود عشوائية مع إشعار أمني، بالإضافة إلى كشف انتحال العلامات باستخدام المحارف المتشابهة بصريًا ومتغيرات المسافات البيضاء
المخاطر المتبقية متوسطة - تُكتشف أساليب إفلات جديدة بانتظام
التوصيات التحقق من جهة المخرجات بالإضافة إلى التغليف من جهة المدخلات

3.6 الاستطلاع (AML.TA0008)

T-DISC-001: تعداد الأدوات

السمة القيمة
معرّف ATLAS AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف يحصي المهاجم الأدوات المتاحة عبر الموجّهات
متجه الهجوم استعلامات من نمط «ما الأدوات المتوفرة لديك؟»
المكوّنات المتأثرة سجل أدوات الوكيل
إجراءات التخفيف الحالية لا توجد إجراءات محددة
المخاطر المتبقية منخفضة - الأدوات موثّقة عمومًا
التوصيات النظر في ضوابط إظهار الأدوات

T-DISC-002: استخراج بيانات الجلسة

السمة القيمة
معرّف ATLAS AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف يستخرج المهاجم بيانات حساسة من سياق الجلسة
متجه الهجوم استعلامات «ما الذي ناقشناه؟»، واستكشاف السياق
المكوّنات المتأثرة نصوص الجلسات، نافذة السياق
إجراءات التخفيف الحالية عزل الجلسة لكل مرسل (المفتاح agent:channel:peer)
المخاطر المتبقية متوسطة - يمكن الوصول إلى البيانات داخل الجلسة بحكم التصميم
التوصيات تنقيح البيانات الحساسة من السياق

3.7 الجمع وتسريب البيانات (AML.TA0009، AML.TA0010)

T-EXFIL-001: سرقة البيانات عبر web_fetch

السمة القيمة
معرّف ATLAS AML.T0009 - الجمع
الوصف يسرّب المهاجم البيانات عبر توجيه الوكيل لإرسالها إلى عنوان URL خارجي
متجه الهجوم حقن موجّه يتسبب في إرسال الوكيل البيانات باستخدام POST إلى خادم المهاجم
المكوّنات المتأثرة أداة web_fetch
إجراءات التخفيف الحالية حظر SSRF للشبكات الداخلية/الخاصة (تثبيت DNS مع حظر عناوين IP)
المخاطر المتبقية مرتفعة - تظل عناوين URL الخارجية العشوائية مسموحًا بها
التوصيات قائمة سماح لعناوين URL، ومراعاة تصنيف البيانات

T-EXFIL-002: إرسال رسائل غير مصرّح به

السمة القيمة
معرّف ATLAS AML.T0009 - الجمع
الوصف يدفع المهاجم الوكيل إلى إرسال رسائل تحتوي على بيانات حساسة
متجه الهجوم حقن موجّه يتسبب في مراسلة الوكيل للمهاجم
المكوّنات المتأثرة أداة الرسائل، عمليات تكامل القنوات
إجراءات التخفيف الحالية تقييد الرسائل الصادرة
المخاطر المتبقية متوسطة - قد يجري تجاوز التقييد
التوصيات تأكيد صريح للمستلمين الجدد

T-EXFIL-003: جمع بيانات الاعتماد

السمة القيمة
معرّف ATLAS AML.T0009 - الجمع
الوصف تجمع Skill ضارة بيانات الاعتماد من سياق الوكيل
متجه الهجوم تقرأ شيفرة Skill متغيرات البيئة وملفات الإعدادات
المكوّنات المتأثرة بيئة تنفيذ Skill
إجراءات التخفيف الحالية فحص أنماط بيانات الاعتماد في ClawHub (الأسرار المضمّنة في الشيفرة، والوصول إلى متغيرات بيئة بيانات الاعتماد المقترن بعمليات إرسال عبر الشبكة)؛ لا يوجد عزل لتنفيذ Skills في وقت التشغيل
المخاطر المتبقية حرجة - تعمل Skills بصلاحيات الوكيل
التوصيات عزل تنفيذ Skills، وعزل بيانات الاعتماد

3.8 الأثر (AML.TA0011)

T-IMPACT-001: تنفيذ أوامر غير مصرّح به

السمة القيمة
معرّف ATLAS AML.T0031 - تقويض سلامة نموذج الذكاء الاصطناعي
الوصف ينفّذ المهاجم أوامر عشوائية على نظام المستخدم
متجه الهجوم حقن موجّه مقترن بتجاوز الموافقة على التنفيذ
المكوّنات المتأثرة أداة Bash، تنفيذ الأوامر
إجراءات التخفيف الحالية موافقات التنفيذ، وخيار عزل Docker (الواجهة الخلفية الافتراضية لوقت التشغيل)
المخاطر المتبقية حرجة - يمكن التنفيذ على المضيف عند تعطيل العزل
التوصيات تحسين تجربة مستخدم الموافقة؛ تظل عمليات النشر دون عزل خيارًا متعمدًا للمشغّل، وموثّقًا على هذا الأساس

T-IMPACT-002: استنفاد الموارد (حجب الخدمة)

السمة القيمة
معرّف ATLAS AML.T0031 - تقويض سلامة نموذج الذكاء الاصطناعي
الوصف يستنفد المهاجم أرصدة API أو موارد الحوسبة
متجه الهجوم إغراق آلي بالرسائل، واستدعاءات أدوات مرتفعة التكلفة
المكوّنات المتأثرة Gateway، جلسات الوكيل، موفّر API
إجراءات التخفيف الحالية لا توجد
المخاطر المتبقية مرتفعة - لا يوجد تحديد لمعدل الطلبات لكل مرسل
التوصيات حدود لمعدل الطلبات لكل مرسل، وميزانيات للتكلفة

T-IMPACT-003: الإضرار بالسمعة

السمة القيمة
معرّف ATLAS AML.T0031 - تقويض سلامة نموذج الذكاء الاصطناعي
الوصف يدفع المهاجم الوكيل إلى إرسال محتوى ضار أو مسيء
متجه الهجوم حقن موجّه يتسبب في استجابات غير لائقة
المكوّنات المتأثرة توليد المخرجات، مراسلة القنوات
إجراءات التخفيف الحالية سياسات محتوى موفّر LLM
المخاطر المتبقية متوسطة - مرشحات الموفّر غير مثالية
التوصيات طبقة لترشيح المخرجات، وضوابط للمستخدم

4. تحليل سلسلة توريد ClawHub

4.1 ضوابط الأمان الحالية

عنصر التحكم التنفيذ الفعالية
عمر حساب GitHub requireGitHubAccountAge() (حد أدنى 14 يومًا) متوسطة - ترفع مستوى الصعوبة أمام المهاجمين الجدد
تنقية المسار sanitizePath() عالية - تمنع اجتياز المسار
التحقق من نوع الملف isTextFile() متوسطة - تُفحص الملفات النصية فقط، لكنها تظل قابلة للاستغلال
حدود الحجم حزمة إجمالية بحجم 50 ميغابايت (MAX_PUBLISH_TOTAL_BYTES) عالية - تمنع استنزاف الموارد
ملف SKILL.md المطلوب ملف تمهيدي إلزامي عند النشر قيمة أمنية منخفضة - للمعلومات فقط
الفحص الثابت والمجاور لـ AST محرك أنماط يغطي التنفيذ، والتسريب، وحصاد بيانات الاعتماد، والتعمية، وغير ذلك متوسطة إلى عالية - يغطي العديد من أنماط الإساءة المعروفة، لكنه يظل قائمًا على الأنماط
مراجعة المخاطر الوكيلة القائمة على LLM حكم عند النشر موجّه بموجّه أمني متوسطة إلى عالية - تكتشف سلوكيات تفوتها الأنماط الثابتة
فحص VirusTotal مدمج في تدفقات نشر وإعادة فحص Skills وإصدارات الحزم، ومشروط بمفتاح API الخاص بالمشغّل عالية عند تمكينه - اكتشاف بواسطة محرك ثابت
حالة الإشراف حقل moderationStatus متوسطة - تتيح المراجعة اليدوية

4.2 قيود الإشراف

يفحص الفحص الثابت في ClawHub محتوى شيفرة Skills مباشرةً (وليس فقط الاسم المختصر أو البيانات الوصفية أو البيانات التمهيدية)، ويغطي استدعاءات التنفيذ الخطرة، والتنفيذ الديناميكي للشيفرة، وحصاد بيانات الاعتماد، وأنماط التسريب، والحمولات المُعمّاة، وغير ذلك. تشمل الثغرات المعروفة:

  • لا يزال من الممكن تجاوز الاكتشاف القائم على الأنماط باستخدام تعمية مبتكرة بما يكفي.
  • تعتمد المراجعة القائمة على LLM وفحص VirusTotal على تمكين مفاتيح API أو إعدادات جهة المشغّل.
  • لا توجد بيئة تنفيذ معزولة تعزل Skill عن صلاحيات الوكيل نفسه بعد تثبيتها.

4.3 الشارات

تحمل Skills والحزم شارات يعيّنها المشرفون: highlighted وofficial وdeprecated وredactionApproved (لـ Skills فقط). وتدعم بلاغات المجتمع (skillReports) وسجلات التدقيق (auditLogs) سير عمل الإشراف.


5. مصفوفة المخاطر

5.1 الاحتمالية مقابل التأثير

معرّف التهديد الاحتمالية التأثير مستوى المخاطر الأولوية
T-EXEC-001 عالية حرج حرج P0
T-PERSIST-001 عالية حرج حرج P0
T-EXFIL-003 متوسطة حرج حرج P0
T-IMPACT-001 متوسطة حرج عالٍ P1
T-EXEC-002 عالية عالٍ عالٍ P1
T-EXEC-004 متوسطة عالٍ عالٍ P1
T-ACCESS-003 متوسطة عالٍ عالٍ P1
T-EXFIL-001 متوسطة عالٍ عالٍ P1
T-IMPACT-002 عالية متوسط عالٍ P1
T-EVADE-001 عالية متوسط متوسط P2
T-ACCESS-001 منخفضة عالٍ متوسط P2
T-ACCESS-002 منخفضة عالٍ متوسط P2
T-PERSIST-002 منخفضة عالٍ متوسط P2

5.2 سلاسل هجوم المسار الحرج

السلسلة 1: سرقة البيانات عبر Skill

text
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003(نشر Skill ضارة) → (تجاوز الإشراف) → (حصاد بيانات الاعتماد)

السلسلة 2: حقن الموجّه وصولًا إلى تنفيذ الشيفرة عن بُعد

text
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001(حقن موجّه) → (تجاوز الموافقة على التنفيذ) → (تنفيذ الأوامر)

السلسلة 3: الحقن غير المباشر عبر المحتوى المسترجع

text
T-EXEC-002 → T-EXFIL-001 → تسريب خارجي(تسميم محتوى عنوان URL) → (يجلب الوكيل التعليمات ويتبعها) → (إرسال البيانات إلى المهاجم)

6. ملخص التوصيات

6.1 فورية (P0)

المعرّف التوصية التهديدات المعالَجة
R-002 تنفيذ عزل لتشغيل Skills T-PERSIST-001, T-EXFIL-003
R-003 إضافة تحقق من المخرجات للإجراءات الحساسة T-EXEC-001, T-EXEC-002

6.2 قصيرة الأجل (P1)

المعرّف التوصية التهديدات المعالَجة
R-004 تنفيذ تحديد معدل الطلبات لكل مُرسِل T-IMPACT-002
R-005 إضافة تشفير الرموز المميزة في حالة السكون T-ACCESS-003
R-006 تحسين تجربة المستخدم للموافقة على التنفيذ ومواصلة توسيع تسوية الأوامر T-EXEC-004
R-007 تنفيذ قائمة سماح لعناوين URL لـ web_fetch T-EXFIL-001

6.3 متوسطة الأجل (P2)

المعرّف التوصية التهديدات المعالَجة
R-008 إضافة تحقق تشفيري من القنوات حيثما أمكن T-ACCESS-002
R-009 تنفيذ التحقق من سلامة الإعدادات T-PERSIST-003
R-010 إضافة توقيع التحديثات وتثبيت الإصدارات T-PERSIST-002

7. الملاحق

7.1 مطابقة تقنيات ATLAS

معرّف ATLAS اسم التقنية تهديدات OpenClaw
AML.T0006 المسح النشط T-RECON-001, T-RECON-002
AML.T0009 الجمع T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001 سلسلة التوريد: برمجيات الذكاء الاصطناعي T-PERSIST-001, T-PERSIST-002
AML.T0010.002 سلسلة التوريد: البيانات T-PERSIST-003
AML.T0031 تقويض سلامة نموذج الذكاء الاصطناعي T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040 الوصول إلى API استدلال نموذج الذكاء الاصطناعي T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043 صياغة بيانات خصومية T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000 حقن موجّه LLM: مباشر T-EXEC-001, T-EXEC-003
AML.T0051.001 حقن موجّه LLM: غير مباشر T-EXEC-002

7.2 ملفات الأمان الرئيسية

المسار الغرض مستوى المخاطر
src/infra/exec-approvals.ts منطق الموافقة على الأوامر حرج
src/gateway/auth.ts مصادقة Gateway حرج
src/infra/net/ssrf.ts الحماية من SSRF حرج
src/security/external-content.ts الحد من حقن الموجّهات حرج
src/agents/sandbox/tool-policy.ts سياسة السماح بأدوات البيئة المعزولة أو حظرها حرج
src/routing/resolve-route.ts عزل الجلسة / التوجيه متوسط

7.3 مسرد المصطلحات

المصطلح التعريف
ATLAS مشهد التهديدات الخصومية لأنظمة الذكاء الاصطناعي من MITRE
ClawHub سوق Skills الخاص بـ OpenClaw
Gateway طبقة توجيه الرسائل والمصادقة في OpenClaw
MCP بروتوكول سياق النموذج - واجهة موفّر الأدوات
حقن الموجّه هجوم تُضمَّن فيه تعليمات ضارة داخل المدخلات
Skill امتداد قابل للتنزيل لوكلاء OpenClaw
SSRF تزوير الطلبات من جانب الخادم

نموذج التهديدات هذا مستند متجدد. أبلغ عن المشكلات الأمنية عبر security@openclaw.ai أو راجع صفحة الثقة.

ذو صلة

Was this useful?
On this page

On this page