---
read_when:
    - مراجعة الوضع الأمني أو سيناريوهات التهديدات
    - العمل على ميزات الأمان أو الاستجابات لعمليات التدقيق
summary: نموذج تهديدات OpenClaw المُطابَق مع إطار MITRE ATLAS
title: نموذج التهديدات (MITRE ATLAS)
x-i18n:
    generated_at: "2026-07-12T06:35:02Z"
    model: gpt-5.6
    postprocess_version: locale-links-v1
    provider: openai
    source_hash: c88ffdef850bd2afaf835baab2555304c914a0be1df6b6b9109e0f55d1448392
    source_path: security/THREAT-MODEL-ATLAS.md
    workflow: 16
---

**الإصدار:** 1.0-مسودة | **إطار العمل:** [MITRE ATLAS](https://atlas.mitre.org/) (مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي) + مخططات تدفق البيانات

يوثّق نموذج التهديدات هذا التهديدات العدائية لمنصة وكيل الذكاء الاصطناعي OpenClaw وسوق Skills في ClawHub. وهو مستند حيّ يتولى مجتمع OpenClaw صيانته. راجع [المساهمة في نموذج التهديدات](/ar/security/CONTRIBUTING-THREAT-MODEL) لمعرفة كيفية الإبلاغ عن تهديدات جديدة، أو اقتراح سلاسل هجوم، أو اقتراح إجراءات تخفيف.

**موارد ATLAS الرئيسية:** [التقنيات](https://atlas.mitre.org/techniques/) | [التكتيكات](https://atlas.mitre.org/tactics/) | [دراسات الحالة](https://atlas.mitre.org/studies/) | [ATLAS على GitHub](https://github.com/mitre-atlas/atlas-data) | [المساهمة في ATLAS](https://atlas.mitre.org/resources/contribute)

---

## 1. النطاق

| المكوّن                    | مشمول  | ملاحظات                                              |
| ------------------------- | ------ | ---------------------------------------------------- |
| وقت تشغيل وكيل OpenClaw   | نعم    | تنفيذ الوكيل الأساسي، واستدعاءات الأدوات، والجلسات   |
| Gateway                   | نعم    | المصادقة، والتوجيه، وتكامل القنوات                   |
| تكاملات القنوات           | نعم    | WhatsApp، وTelegram، وDiscord، وSignal، وSlack، وغيرها |
| سوق ClawHub               | نعم    | نشر Skills والإشراف عليها وتوزيعها                   |
| خوادم MCP                 | نعم    | موفرو الأدوات الخارجيون                              |
| أجهزة المستخدمين         | جزئيًا | تطبيقات الأجهزة المحمولة، وعملاء سطح المكتب          |

ترد التقارير الخارجة عن النطاق وأنماط النتائج الإيجابية الكاذبة (التعرّض للإنترنت العام، وسلاسل حقن الموجّهات فقط من دون تجاوز حدود، والمشغّلون الذين لا يثق بعضهم ببعض ويتشاركون مضيف Gateway واحدًا، وغيرها) في [`SECURITY.md`](https://github.com/openclaw/openclaw/blob/main/SECURITY.md)؛ وهذا الملف هو المصدر الحالي المعتمد لنطاق الإبلاغ عن الثغرات، وليس هذه الصفحة.

## 2. بنية النظام

### 2.1 حدود الثقة

```text
┌─────────────────────────────────────────────────────────────────┐
│                    المنطقة غير الموثوقة                         │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 حد الثقة 1: الوصول إلى القناة                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • إقران الجهاز (إقران الرسائل المباشرة لمدة ساعة / مدة  │   │
│    صلاحية إقران Node تبلغ 5 دقائق)                           │   │
│  │  • التحقق من AllowFrom / قائمة السماح                    │   │
│  │  • مصادقة الرمز المميز / كلمة المرور / Tailscale         │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 حد الثقة 2: عزل الجلسات                         │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   جلسات الوكيل                           │   │
│  │  • مفتاح الجلسة = agent:channel:peer                    │   │
│  │  • سياسات الأدوات لكل وكيل                              │   │
│  │  • تسجيل النصوص المنقولة                                │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 حد الثقة 3: تنفيذ الأدوات                       │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  بيئة التنفيذ المعزولة                  │   │
│  │  • بيئة Docker معزولة (افتراضيًا) أو المضيف (موافقات    │   │
│    التنفيذ)                                                  │   │
│  │  • التنفيذ عن بُعد على Node                              │   │
│  │  • الحماية من SSRF (تثبيت DNS + حظر عناوين IP)          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 حد الثقة 4: المحتوى الخارجي                     │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │       عناوين URL / رسائل البريد / Webhook المستجلَبة     │   │
│  │  • تغليف المحتوى الخارجي (وسوم XML ذات حدود عشوائية)    │   │
│  │  • حقن إشعار أمني                                       │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 حد الثقة 5: سلسلة التوريد                       │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • نشر Skills (باستخدام semver، مع اشتراط SKILL.md)      │   │
│  │  • فحص إشرافي للأنماط الثابتة وما يجاور AST             │   │
│  │  • مراجعة مخاطر وكيلية قائمة على LLM + فحص VirusTotal   │   │
│  │  • التحقق من عمر حساب GitHub (14 يومًا)                 │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
```

### 2.2 تدفقات البيانات

| التدفق | المصدر  | الوجهة   | البيانات              | الحماية              |
| ------ | ------- | -------- | --------------------- | -------------------- |
| F1     | القناة  | Gateway  | رسائل المستخدم        | TLS، وAllowFrom      |
| F2     | Gateway | الوكيل   | الرسائل الموجّهة      | عزل الجلسات          |
| F3     | الوكيل  | الأدوات  | استدعاءات الأدوات     | إنفاذ السياسات       |
| F4     | الوكيل  | خارجي    | طلبات `web_fetch`     | حظر SSRF             |
| F5     | ClawHub | الوكيل   | شيفرة Skills          | الإشراف والفحص       |
| F6     | الوكيل  | القناة   | الاستجابات            | ترشيح المخرجات       |

---

## 3. تحليل التهديدات حسب تكتيك ATLAS

### 3.1 الاستطلاع (AML.TA0002)

#### T-RECON-001: اكتشاف نقطة نهاية الوكيل

| السمة                   | القيمة                                                               |
| ----------------------- | -------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0006 - المسح النشط                                              |
| **الوصف**               | يمسح المهاجم بحثًا عن نقاط نهاية Gateway المكشوفة في OpenClaw       |
| **متجه الهجوم**         | مسح الشبكة، واستعلامات Shodan، وتعداد DNS                            |
| **المكوّنات المتأثرة**  | Gateway، ونقاط نهاية API المكشوفة                                    |
| **إجراءات التخفيف الحالية** | خيار مصادقة Tailscale، والربط بـ local loopback افتراضيًا        |
| **المخاطر المتبقية**    | متوسطة - يمكن اكتشاف بوابات Gateway العامة                           |
| **التوصيات**            | توثيق النشر الآمن، وإضافة تحديد لمعدل الطلبات على نقاط نهاية الاكتشاف |

#### T-RECON-002: فحص تكامل القنوات

| السمة                   | القيمة                                                               |
| ----------------------- | -------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0006 - المسح النشط                                              |
| **الوصف**               | يفحص المهاجم قنوات المراسلة لتحديد الحسابات التي يديرها الذكاء الاصطناعي |
| **متجه الهجوم**         | إرسال رسائل اختبارية، ومراقبة أنماط الاستجابة                        |
| **المكوّنات المتأثرة**  | جميع تكاملات القنوات                                                 |
| **إجراءات التخفيف الحالية** | لا توجد إجراءات محددة                                            |
| **المخاطر المتبقية**    | منخفضة - قيمة محدودة للاكتشاف وحده                                   |
| **التوصيات**            | النظر في إضافة عشوائية إلى توقيت الاستجابة                           |

---

### 3.2 الوصول الأولي (AML.TA0004)

#### T-ACCESS-001: اعتراض رمز الإقران

| السمة                   | القيمة                                                                                                             |
| ----------------------- | ----------------------------------------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0040 - الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي                                                  |
| **الوصف**               | يعترض المهاجم رمز إقران خلال نافذة الإقران (ساعة واحدة لإقران الرسائل المباشرة/العام، و5 دقائق لإقران Node)        |
| **متجه الهجوم**         | التلصص البصري، والتنصت على الشبكة، والهندسة الاجتماعية                                                            |
| **المكونات المتأثرة**   | نظام إقران الأجهزة                                                                                                 |
| **إجراءات التخفيف الحالية** | مدة صلاحية ساعة واحدة (لإقران الرسائل المباشرة/العام)، و5 دقائق (لإقران Node)؛ تُرسل الرموز عبر القناة الحالية |
| **المخاطر المتبقية**    | متوسطة - يمكن استغلال نافذة الإقران                                                                               |
| **التوصيات**            | تقليص نافذة الإقران، وإضافة خطوة تأكيد                                                                            |

#### T-ACCESS-002: انتحال AllowFrom

| السمة                   | القيمة                                                                                   |
| ----------------------- | --------------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0040 - الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي                        |
| **الوصف**               | ينتحل المهاجم هوية مُرسِل مسموح به على إحدى القنوات                                     |
| **متجه الهجوم**         | يعتمد على القناة - انتحال رقم الهاتف أو اسم المستخدم                                    |
| **المكونات المتأثرة**   | التحقق من AllowFrom لكل قناة                                                            |
| **إجراءات التخفيف الحالية** | التحقق من الهوية حسب القناة                                                          |
| **المخاطر المتبقية**    | متوسطة - تظل بعض القنوات عرضة للانتحال                                                  |
| **التوصيات**            | توثيق المخاطر الخاصة بكل قناة، وإضافة تحقق تشفيري حيثما أمكن                            |

#### T-ACCESS-003: سرقة الرموز المميزة

| السمة                   | القيمة                                                                             |
| ----------------------- | --------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0040 - الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي                  |
| **الوصف**               | يسرق المهاجم رموز المصادقة من ملفات الإعدادات/بيانات الاعتماد                     |
| **متجه الهجوم**         | البرمجيات الضارة، والوصول غير المصرح به إلى الجهاز، وانكشاف النسخ الاحتياطية للإعدادات |
| **المكونات المتأثرة**   | تخزين بيانات اعتماد القنوات/المزوّدين، وتخزين الإعدادات                           |
| **إجراءات التخفيف الحالية** | أذونات الملفات                                                               |
| **المخاطر المتبقية**    | مرتفعة - تُخزَّن الرموز المميزة بنص صريح على القرص                                |
| **التوصيات**            | تنفيذ تشفير الرموز المميزة أثناء التخزين، وإضافة تدوير للرموز المميزة             |

---

### 3.3 التنفيذ (AML.TA0005)

#### T-EXEC-001: الحقن المباشر للموجّه

| السمة                   | القيمة                                                                                                                                                 |
| ----------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **معرّف ATLAS**         | AML.T0051.000 - حقن موجّه LLM: مباشر                                                                                                                    |
| **الوصف**               | يرسل المهاجم موجّهات مصممة للتلاعب بسلوك الوكيل                                                                                                       |
| **متجه الهجوم**         | رسائل القنوات التي تحتوي على تعليمات عدائية                                                                                                            |
| **المكونات المتأثرة**   | نموذج LLM الخاص بالوكيل، وجميع أسطح الإدخال                                                                                                            |
| **إجراءات التخفيف الحالية** | اكتشاف الأنماط، وتغليف المحتوى الخارجي؛ ويُعامل على أنه خارج نطاق تقارير الثغرات ما لم يحدث تجاوز للحدود (راجع `SECURITY.md`)                      |
| **المخاطر المتبقية**    | حرجة - يقتصر الأمر على الاكتشاف دون الحظر؛ ويمكن للهجمات المتطورة تجاوزه                                                                                |
| **التوصيات**            | التحقق من المخرجات وطلب تأكيد المستخدم للإجراءات الحساسة، كطبقة إضافية فوق آليات الاكتشاف الحالية                                                       |

#### T-EXEC-002: الحقن غير المباشر للموجّه

| السمة                   | القيمة                                                                                                                              |
| ----------------------- | ----------------------------------------------------------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0051.001 - حقن موجّه LLM: غير مباشر                                                                                            |
| **الوصف**               | يضمّن المهاجم تعليمات ضارة في المحتوى المُجلَب                                                                                      |
| **متجه الهجوم**         | عناوين URL ضارة، ورسائل بريد إلكتروني مسمومة، وWebhooks مخترقة                                                                      |
| **المكونات المتأثرة**   | `web_fetch`، واستيعاب البريد الإلكتروني، ومصادر البيانات الخارجية                                                                  |
| **إجراءات التخفيف الحالية** | تغليف المحتوى بعلامات على نمط XML ذات حدود عشوائية، وتطبيع المحارف المتشابهة بصريًا/الرموز الخاصة، وإشعار أمني                  |
| **المخاطر المتبقية**    | مرتفعة - قد يظل نموذج LLM يتجاهل تعليمات التغليف                                                                                    |
| **التوصيات**            | فصل سياقات التنفيذ للمحتوى المغلّف                                                                                                  |

#### T-EXEC-003: حقن وسائط الأدوات

| السمة                   | القيمة                                                                 |
| ----------------------- | --------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0051.000 - حقن موجّه LLM: مباشر                                  |
| **الوصف**               | يتلاعب المهاجم بوسائط الأدوات من خلال حقن الموجّه                      |
| **متجه الهجوم**         | موجّهات مصممة للتأثير في قيم معاملات الأدوات                           |
| **المكونات المتأثرة**   | جميع عمليات استدعاء الأدوات                                            |
| **إجراءات التخفيف الحالية** | موافقات التنفيذ للأوامر الخطرة                                    |
| **المخاطر المتبقية**    | مرتفعة - تعتمد على تقدير المستخدم                                     |
| **التوصيات**            | التحقق من الوسائط، واستدعاءات الأدوات ذات المعاملات المعلَّمة          |

#### T-EXEC-004: تجاوز موافقة التنفيذ

| السمة                   | القيمة                                                                                                                                                                                      |
| ----------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0043 - صياغة بيانات عدائية                                                                                                                                                              |
| **الوصف**               | يصوغ المهاجم أوامر تتجاوز قائمة السماح الخاصة بالموافقة                                                                                                                                     |
| **متجه الهجوم**         | تمويه الأوامر، واستغلال الأسماء المستعارة، والتلاعب بالمسارات                                                                                                                               |
| **المكونات المتأثرة**   | `src/infra/exec-approvals*.ts`، وقائمة السماح للأوامر                                                                                                                                        |
| **إجراءات التخفيف الحالية** | قائمة السماح + وضع السؤال، إلى جانب تطبيع الأوامر (إزالة أغلفة الإرسال، واكتشاف التقييم المضمّن، وتحليل سلاسل أوامر الصدفة)                                                             |
| **المخاطر المتبقية**    | مرتفعة - يحدّ التطبيع من تجاوزات التمويه لكنه لا يلغيها؛ وتُعامل النتائج المتعلقة فقط بالتكافؤ بين مسارات التنفيذ على أنها تعزيز أمني، لا ثغرات (راجع `SECURITY.md`)                         |
| **التوصيات**            | مواصلة توسيع نطاق تغطية تطبيع الأوامر لمواجهة تقنيات التمويه الجديدة                                                                                                                        |

---

### 3.4 الاستمرارية (AML.TA0006)

#### T-PERSIST-001: تثبيت Skill ضارة

| السمة                   | القيمة                                                                                                                              |
| ----------------------- | ----------------------------------------------------------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي                                                                      |
| **الوصف**               | ينشر المهاجم Skill ضارة على ClawHub                                                                                                  |
| **متجه الهجوم**         | إنشاء حساب، ونشر Skill تحتوي على تعليمات برمجية ضارة مخفية                                                                           |
| **المكونات المتأثرة**   | ClawHub، وتحميل Skills، وتنفيذ الوكيل                                                                                                 |
| **إجراءات التخفيف الحالية** | التحقق من عمر حساب GitHub، والفحص الثابت للأنماط/الفحص القريب من AST، ومراجعة المخاطر الوكيلية المستندة إلى LLM، وفحص VirusTotal |
| **المخاطر المتبقية**    | مرتفعة - توجد طبقات اكتشاف، لكن Skills تظل تعمل بصلاحيات الوكيل ودون عزل للتنفيذ                                                      |
| **التوصيات**            | عزل تنفيذ Skills، وتوسيع نطاق مراجعة المجتمع                                                                                         |

#### T-PERSIST-002: تسميم تحديث Skill

| السمة                   | القيمة                                                                             |
| ----------------------- | --------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي                    |
| **الوصف**               | يخترق المهاجم Skill شائعة ويدفع تحديثًا ضارًا                                      |
| **متجه الهجوم**         | اختراق الحساب، والهندسة الاجتماعية لمالك Skill                                    |
| **المكونات المتأثرة**   | إدارة إصدارات ClawHub، ومسارات التحديث التلقائي                                   |
| **إجراءات التخفيف الحالية** | بصمات الإصدارات، وإعادة تشغيل الإشراف/الفحص عند صدور إصدارات جديدة            |
| **المخاطر المتبقية**    | مرتفعة - قد تجلب التحديثات التلقائية إصدارات ضارة قبل اكتمال المراجعة             |
| **التوصيات**            | توقيع التحديثات، وإمكانية التراجع، وتثبيت الإصدار                                 |

#### T-PERSIST-003: العبث بإعدادات الوكيل

| السمة                   | القيمة                                                                            |
| ----------------------- | --------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0010.002 - اختراق سلسلة التوريد: البيانات                                    |
| **الوصف**               | يعدّل المهاجم إعدادات الوكيل للحفاظ على استمرارية الوصول                          |
| **متجه الهجوم**         | تعديل ملف الإعدادات، حقن الإعدادات                                                 |
| **المكوّنات المتأثرة**  | إعدادات الوكيل، سياسات الأدوات                                                     |
| **إجراءات التخفيف الحالية** | أذونات الملفات                                                               |
| **المخاطر المتبقية**    | متوسطة - تتطلب وصولًا محليًا                                                       |
| **التوصيات**            | التحقق من سلامة الإعدادات، وتسجيل تدقيق تغييرات الإعدادات                         |

---

### 3.5 التهرب من الدفاعات (AML.TA0007)

#### T-EVADE-001: تجاوز أنماط الإشراف

| السمة                   | القيمة                                                                                         |
| ----------------------- | ---------------------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0043 - صياغة بيانات خصومية                                                                |
| **الوصف**               | يصوغ المهاجم محتوى Skill للتحايل على فحوصات الإشراف في ClawHub                                 |
| **متجه الهجوم**         | المحارف المتشابهة بصريًا في Unicode، حيل الترميز، التحميل الديناميكي                           |
| **المكوّنات المتأثرة**  | مسار الإشراف/الفحص في ClawHub                                                                  |
| **إجراءات التخفيف الحالية** | قواعد أنماط ثابتة، وفحص الشيفرة المرتبط بشجرة البنية المجردة، ومراجعة المخاطر الوكيلة باستخدام LLM، وVirusTotal |
| **المخاطر المتبقية**    | متوسطة - لا يزال بإمكان أساليب التمويه الجديدة تجاوز الاستدلالات متعددة الطبقات                |
| **التوصيات**            | مواصلة توسيع مجموعة الأنماط والسلوكيات مع اكتشاف أساليب تهرب جديدة                             |

#### T-EVADE-002: الإفلات من مغلّف المحتوى

| السمة                   | القيمة                                                                                                                  |
| ----------------------- | ----------------------------------------------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0043 - صياغة بيانات خصومية                                                                                         |
| **الوصف**               | يصوغ المهاجم محتوى يفلت من سياق مغلّف المحتوى الخارجي                                                                  |
| **متجه الهجوم**         | التلاعب بالوسوم، إرباك السياق، تجاوز التعليمات                                                                         |
| **المكوّنات المتأثرة**  | تغليف المحتوى الخارجي                                                                                                   |
| **إجراءات التخفيف الحالية** | علامات بنمط XML ذات حدود عشوائية مع إشعار أمني، بالإضافة إلى كشف انتحال العلامات باستخدام المحارف المتشابهة بصريًا ومتغيرات المسافات البيضاء |
| **المخاطر المتبقية**    | متوسطة - تُكتشف أساليب إفلات جديدة بانتظام                                                                             |
| **التوصيات**            | التحقق من جهة المخرجات بالإضافة إلى التغليف من جهة المدخلات                                                            |

---

### 3.6 الاستطلاع (AML.TA0008)

#### T-DISC-001: تعداد الأدوات

| السمة                   | القيمة                                                  |
| ----------------------- | ------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي |
| **الوصف**               | يحصي المهاجم الأدوات المتاحة عبر الموجّهات              |
| **متجه الهجوم**         | استعلامات من نمط «ما الأدوات المتوفرة لديك؟»            |
| **المكوّنات المتأثرة**  | سجل أدوات الوكيل                                        |
| **إجراءات التخفيف الحالية** | لا توجد إجراءات محددة                               |
| **المخاطر المتبقية**    | منخفضة - الأدوات موثّقة عمومًا                           |
| **التوصيات**            | النظر في ضوابط إظهار الأدوات                             |

#### T-DISC-002: استخراج بيانات الجلسة

| السمة                   | القيمة                                                     |
| ----------------------- | ---------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي  |
| **الوصف**               | يستخرج المهاجم بيانات حساسة من سياق الجلسة                 |
| **متجه الهجوم**         | استعلامات «ما الذي ناقشناه؟»، واستكشاف السياق              |
| **المكوّنات المتأثرة**  | نصوص الجلسات، نافذة السياق                                 |
| **إجراءات التخفيف الحالية** | عزل الجلسة لكل مرسل (المفتاح `agent:channel:peer`)     |
| **المخاطر المتبقية**    | متوسطة - يمكن الوصول إلى البيانات داخل الجلسة بحكم التصميم |
| **التوصيات**            | تنقيح البيانات الحساسة من السياق                           |

---

### 3.7 الجمع وتسريب البيانات (AML.TA0009، AML.TA0010)

#### T-EXFIL-001: سرقة البيانات عبر web_fetch

| السمة                   | القيمة                                                                                     |
| ----------------------- | ------------------------------------------------------------------------------------------ |
| **معرّف ATLAS**         | AML.T0009 - الجمع                                                                          |
| **الوصف**               | يسرّب المهاجم البيانات عبر توجيه الوكيل لإرسالها إلى عنوان URL خارجي                       |
| **متجه الهجوم**         | حقن موجّه يتسبب في إرسال الوكيل البيانات باستخدام POST إلى خادم المهاجم                   |
| **المكوّنات المتأثرة**  | أداة `web_fetch`                                                                           |
| **إجراءات التخفيف الحالية** | حظر SSRF للشبكات الداخلية/الخاصة (تثبيت DNS مع حظر عناوين IP)                         |
| **المخاطر المتبقية**    | مرتفعة - تظل عناوين URL الخارجية العشوائية مسموحًا بها                                     |
| **التوصيات**            | قائمة سماح لعناوين URL، ومراعاة تصنيف البيانات                                             |

#### T-EXFIL-002: إرسال رسائل غير مصرّح به

| السمة                   | القيمة                                                                  |
| ----------------------- | ----------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0009 - الجمع                                                       |
| **الوصف**               | يدفع المهاجم الوكيل إلى إرسال رسائل تحتوي على بيانات حساسة             |
| **متجه الهجوم**         | حقن موجّه يتسبب في مراسلة الوكيل للمهاجم                                |
| **المكوّنات المتأثرة**  | أداة الرسائل، عمليات تكامل القنوات                                      |
| **إجراءات التخفيف الحالية** | تقييد الرسائل الصادرة                                               |
| **المخاطر المتبقية**    | متوسطة - قد يجري تجاوز التقييد                                           |
| **التوصيات**            | تأكيد صريح للمستلمين الجدد                                               |

#### T-EXFIL-003: جمع بيانات الاعتماد

| السمة                   | القيمة                                                                                                                                                                          |
| ----------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0009 - الجمع                                                                                                                                                               |
| **الوصف**               | تجمع Skill ضارة بيانات الاعتماد من سياق الوكيل                                                                                                                                 |
| **متجه الهجوم**         | تقرأ شيفرة Skill متغيرات البيئة وملفات الإعدادات                                                                                                                               |
| **المكوّنات المتأثرة**  | بيئة تنفيذ Skill                                                                                                                                                                |
| **إجراءات التخفيف الحالية** | فحص أنماط بيانات الاعتماد في ClawHub (الأسرار المضمّنة في الشيفرة، والوصول إلى متغيرات بيئة بيانات الاعتماد المقترن بعمليات إرسال عبر الشبكة)؛ لا يوجد عزل لتنفيذ Skills في وقت التشغيل |
| **المخاطر المتبقية**    | حرجة - تعمل Skills بصلاحيات الوكيل                                                                                                                                              |
| **التوصيات**            | عزل تنفيذ Skills، وعزل بيانات الاعتماد                                                                                                                                          |

---

### 3.8 الأثر (AML.TA0011)

#### T-IMPACT-001: تنفيذ أوامر غير مصرّح به

| السمة                   | القيمة                                                                                                        |
| ----------------------- | ------------------------------------------------------------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0031 - تقويض سلامة نموذج الذكاء الاصطناعي                                                                |
| **الوصف**               | ينفّذ المهاجم أوامر عشوائية على نظام المستخدم                                                                 |
| **متجه الهجوم**         | حقن موجّه مقترن بتجاوز الموافقة على التنفيذ                                                                   |
| **المكوّنات المتأثرة**  | أداة Bash، تنفيذ الأوامر                                                                                       |
| **إجراءات التخفيف الحالية** | موافقات التنفيذ، وخيار عزل Docker (الواجهة الخلفية الافتراضية لوقت التشغيل)                              |
| **المخاطر المتبقية**    | حرجة - يمكن التنفيذ على المضيف عند تعطيل العزل                                                                 |
| **التوصيات**            | تحسين تجربة مستخدم الموافقة؛ تظل عمليات النشر دون عزل خيارًا متعمدًا للمشغّل، وموثّقًا على هذا الأساس          |

#### T-IMPACT-002: استنفاد الموارد (حجب الخدمة)

| السمة                   | القيمة                                                   |
| ----------------------- | -------------------------------------------------------- |
| **معرّف ATLAS**         | AML.T0031 - تقويض سلامة نموذج الذكاء الاصطناعي           |
| **الوصف**               | يستنفد المهاجم أرصدة API أو موارد الحوسبة                |
| **متجه الهجوم**         | إغراق آلي بالرسائل، واستدعاءات أدوات مرتفعة التكلفة      |
| **المكوّنات المتأثرة**  | Gateway، جلسات الوكيل، موفّر API                          |
| **إجراءات التخفيف الحالية** | لا توجد                                              |
| **المخاطر المتبقية**    | مرتفعة - لا يوجد تحديد لمعدل الطلبات لكل مرسل            |
| **التوصيات**            | حدود لمعدل الطلبات لكل مرسل، وميزانيات للتكلفة           |

#### T-IMPACT-003: الإضرار بالسمعة

| السمة                   | القيمة                                                       |
| ----------------------- | ------------------------------------------------------------ |
| **معرّف ATLAS**         | AML.T0031 - تقويض سلامة نموذج الذكاء الاصطناعي               |
| **الوصف**               | يدفع المهاجم الوكيل إلى إرسال محتوى ضار أو مسيء              |
| **متجه الهجوم**         | حقن موجّه يتسبب في استجابات غير لائقة                        |
| **المكوّنات المتأثرة**  | توليد المخرجات، مراسلة القنوات                               |
| **إجراءات التخفيف الحالية** | سياسات محتوى موفّر LLM                                  |
| **المخاطر المتبقية**    | متوسطة - مرشحات الموفّر غير مثالية                           |
| **التوصيات**            | طبقة لترشيح المخرجات، وضوابط للمستخدم                        |

---

## 4. تحليل سلسلة توريد ClawHub

### 4.1 ضوابط الأمان الحالية

| عنصر التحكم                  | التنفيذ                                                                                                  | الفعالية                                                           |
| ---------------------------- | -------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------ |
| عمر حساب GitHub              | `requireGitHubAccountAge()` (حد أدنى 14 يومًا)                                                           | متوسطة - ترفع مستوى الصعوبة أمام المهاجمين الجدد                   |
| تنقية المسار                 | `sanitizePath()`                                                                                         | عالية - تمنع اجتياز المسار                                         |
| التحقق من نوع الملف          | `isTextFile()`                                                                                           | متوسطة - تُفحص الملفات النصية فقط، لكنها تظل قابلة للاستغلال       |
| حدود الحجم                   | حزمة إجمالية بحجم 50 ميغابايت (`MAX_PUBLISH_TOTAL_BYTES`)                                               | عالية - تمنع استنزاف الموارد                                        |
| ملف SKILL.md المطلوب         | ملف تمهيدي إلزامي عند النشر                                                                              | قيمة أمنية منخفضة - للمعلومات فقط                                  |
| الفحص الثابت والمجاور لـ AST | محرك أنماط يغطي التنفيذ، والتسريب، وحصاد بيانات الاعتماد، والتعمية، وغير ذلك                              | متوسطة إلى عالية - يغطي العديد من أنماط الإساءة المعروفة، لكنه يظل قائمًا على الأنماط |
| مراجعة المخاطر الوكيلة القائمة على LLM | حكم عند النشر موجّه بموجّه أمني                                                                          | متوسطة إلى عالية - تكتشف سلوكيات تفوتها الأنماط الثابتة            |
| فحص VirusTotal               | مدمج في تدفقات نشر وإعادة فحص Skills وإصدارات الحزم، ومشروط بمفتاح API الخاص بالمشغّل                    | عالية عند تمكينه - اكتشاف بواسطة محرك ثابت                         |
| حالة الإشراف                 | حقل `moderationStatus`                                                                                   | متوسطة - تتيح المراجعة اليدوية                                     |

### 4.2 قيود الإشراف

يفحص الفحص الثابت في ClawHub محتوى شيفرة Skills مباشرةً (وليس فقط الاسم المختصر أو البيانات الوصفية أو البيانات التمهيدية)، ويغطي استدعاءات التنفيذ الخطرة، والتنفيذ الديناميكي للشيفرة، وحصاد بيانات الاعتماد، وأنماط التسريب، والحمولات المُعمّاة، وغير ذلك. تشمل الثغرات المعروفة:

- لا يزال من الممكن تجاوز الاكتشاف القائم على الأنماط باستخدام تعمية مبتكرة بما يكفي.
- تعتمد المراجعة القائمة على LLM وفحص VirusTotal على تمكين مفاتيح API أو إعدادات جهة المشغّل.
- لا توجد بيئة تنفيذ معزولة تعزل Skill عن صلاحيات الوكيل نفسه بعد تثبيتها.

### 4.3 الشارات

تحمل Skills والحزم شارات يعيّنها المشرفون: `highlighted` و`official` و`deprecated` و`redactionApproved` (لـ Skills فقط). وتدعم بلاغات المجتمع (`skillReports`) وسجلات التدقيق (`auditLogs`) سير عمل الإشراف.

---

## 5. مصفوفة المخاطر

### 5.1 الاحتمالية مقابل التأثير

| معرّف التهديد | الاحتمالية | التأثير  | مستوى المخاطر | الأولوية |
| ------------- | ---------- | -------- | ------------- | -------- |
| T-EXEC-001    | عالية      | حرج      | **حرج**       | P0       |
| T-PERSIST-001 | عالية      | حرج      | **حرج**       | P0       |
| T-EXFIL-003   | متوسطة     | حرج      | **حرج**       | P0       |
| T-IMPACT-001  | متوسطة     | حرج      | **عالٍ**      | P1       |
| T-EXEC-002    | عالية      | عالٍ     | **عالٍ**      | P1       |
| T-EXEC-004    | متوسطة     | عالٍ     | **عالٍ**      | P1       |
| T-ACCESS-003  | متوسطة     | عالٍ     | **عالٍ**      | P1       |
| T-EXFIL-001   | متوسطة     | عالٍ     | **عالٍ**      | P1       |
| T-IMPACT-002  | عالية      | متوسط    | **عالٍ**      | P1       |
| T-EVADE-001   | عالية      | متوسط    | **متوسط**     | P2       |
| T-ACCESS-001  | منخفضة     | عالٍ     | **متوسط**     | P2       |
| T-ACCESS-002  | منخفضة     | عالٍ     | **متوسط**     | P2       |
| T-PERSIST-002 | منخفضة     | عالٍ     | **متوسط**     | P2       |

### 5.2 سلاسل هجوم المسار الحرج

**السلسلة 1: سرقة البيانات عبر Skill**

```text
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(نشر Skill ضارة) → (تجاوز الإشراف) → (حصاد بيانات الاعتماد)
```

**السلسلة 2: حقن الموجّه وصولًا إلى تنفيذ الشيفرة عن بُعد**

```text
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(حقن موجّه) → (تجاوز الموافقة على التنفيذ) → (تنفيذ الأوامر)
```

**السلسلة 3: الحقن غير المباشر عبر المحتوى المسترجع**

```text
T-EXEC-002 → T-EXFIL-001 → تسريب خارجي
(تسميم محتوى عنوان URL) → (يجلب الوكيل التعليمات ويتبعها) → (إرسال البيانات إلى المهاجم)
```

---

## 6. ملخص التوصيات

### 6.1 فورية (P0)

| المعرّف | التوصية                                      | التهديدات المعالَجة        |
| ------- | -------------------------------------------- | -------------------------- |
| R-002   | تنفيذ عزل لتشغيل Skills                      | T-PERSIST-001, T-EXFIL-003 |
| R-003   | إضافة تحقق من المخرجات للإجراءات الحساسة     | T-EXEC-001, T-EXEC-002     |

### 6.2 قصيرة الأجل (P1)

| المعرّف | التوصية                                                                | التهديدات المعالَجة |
| ------- | ---------------------------------------------------------------------- | ------------------- |
| R-004   | تنفيذ تحديد معدل الطلبات لكل مُرسِل                                    | T-IMPACT-002        |
| R-005   | إضافة تشفير الرموز المميزة في حالة السكون                              | T-ACCESS-003        |
| R-006   | تحسين تجربة المستخدم للموافقة على التنفيذ ومواصلة توسيع تسوية الأوامر | T-EXEC-004          |
| R-007   | تنفيذ قائمة سماح لعناوين URL لـ `web_fetch`                            | T-EXFIL-001         |

### 6.3 متوسطة الأجل (P2)

| المعرّف | التوصية                                         | التهديدات المعالَجة |
| ------- | ----------------------------------------------- | ------------------- |
| R-008   | إضافة تحقق تشفيري من القنوات حيثما أمكن         | T-ACCESS-002        |
| R-009   | تنفيذ التحقق من سلامة الإعدادات                  | T-PERSIST-003       |
| R-010   | إضافة توقيع التحديثات وتثبيت الإصدارات          | T-PERSIST-002       |

---

## 7. الملاحق

### 7.1 مطابقة تقنيات ATLAS

| معرّف ATLAS  | اسم التقنية                    | تهديدات OpenClaw                                                 |
| ------------- | ------------------------------ | ---------------------------------------------------------------- |
| AML.T0006     | المسح النشط                    | T-RECON-001, T-RECON-002                                         |
| AML.T0009     | الجمع                          | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003                            |
| AML.T0010.001 | سلسلة التوريد: برمجيات الذكاء الاصطناعي | T-PERSIST-001, T-PERSIST-002                              |
| AML.T0010.002 | سلسلة التوريد: البيانات       | T-PERSIST-003                                                    |
| AML.T0031     | تقويض سلامة نموذج الذكاء الاصطناعي | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003                    |
| AML.T0040     | الوصول إلى API استدلال نموذج الذكاء الاصطناعي | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043     | صياغة بيانات خصومية            | T-EXEC-004, T-EVADE-001, T-EVADE-002                             |
| AML.T0051.000 | حقن موجّه LLM: مباشر            | T-EXEC-001, T-EXEC-003                                           |
| AML.T0051.001 | حقن موجّه LLM: غير مباشر        | T-EXEC-002                                                       |

### 7.2 ملفات الأمان الرئيسية

| المسار                              | الغرض                                  | مستوى المخاطر |
| ----------------------------------- | -------------------------------------- | ------------- |
| `src/infra/exec-approvals.ts`       | منطق الموافقة على الأوامر              | **حرج**       |
| `src/gateway/auth.ts`               | مصادقة Gateway                         | **حرج**       |
| `src/infra/net/ssrf.ts`             | الحماية من SSRF                        | **حرج**       |
| `src/security/external-content.ts`  | الحد من حقن الموجّهات                   | **حرج**       |
| `src/agents/sandbox/tool-policy.ts` | سياسة السماح بأدوات البيئة المعزولة أو حظرها | **حرج** |
| `src/routing/resolve-route.ts`      | عزل الجلسة / التوجيه                   | **متوسط**     |

### 7.3 مسرد المصطلحات

| المصطلح             | التعريف                                                        |
| ------------------- | -------------------------------------------------------------- |
| **ATLAS**           | مشهد التهديدات الخصومية لأنظمة الذكاء الاصطناعي من MITRE       |
| **ClawHub**         | سوق Skills الخاص بـ OpenClaw                                   |
| **Gateway**         | طبقة توجيه الرسائل والمصادقة في OpenClaw                       |
| **MCP**             | بروتوكول سياق النموذج - واجهة موفّر الأدوات                     |
| **حقن الموجّه**     | هجوم تُضمَّن فيه تعليمات ضارة داخل المدخلات                     |
| **Skill**           | امتداد قابل للتنزيل لوكلاء OpenClaw                             |
| **SSRF**            | تزوير الطلبات من جانب الخادم                                   |

---

_نموذج التهديدات هذا مستند متجدد. أبلغ عن المشكلات الأمنية عبر `security@openclaw.ai` أو راجع [صفحة الثقة](https://trust.openclaw.ai)._

## ذو صلة

- [المساهمة في نموذج التهديدات](/ar/security/CONTRIBUTING-THREAT-MODEL)
- [الاستجابة للحوادث](/ar/security/incident-response)
- [وكيل الشبكة](/ar/security/network-proxy)
- [التحقق الشكلي](/ar/security/formal-verification)
