Version: 1.0-Entwurf | Framework:MITRE ATLAS (Bedrohungslandschaft durch Angriffe auf KI-Systeme) + Datenflussdiagramme
Dieses Bedrohungsmodell dokumentiert gegnerische Bedrohungen für die KI-Agentenplattform OpenClaw und den Skills-Marktplatz ClawHub. Es ist ein fortlaufend aktualisiertes Dokument, das von der OpenClaw-Community gepflegt wird. Unter Mitwirkung am Bedrohungsmodell erfahren Sie, wie Sie neue Bedrohungen melden, Angriffsketten vorschlagen oder Gegenmaßnahmen empfehlen können.
Kernausführung des Agenten, Tool-Aufrufe, Sitzungen
Gateway
Ja
Authentifizierung, Routing, Kanalintegration
Kanalintegrationen
Ja
WhatsApp, Telegram, Discord, Signal, Slack usw.
ClawHub-Marktplatz
Ja
Veröffentlichung, Moderation und Verteilung von Skills
MCP-Server
Ja
Externe Tool-Provider
Benutzergeräte
Teilweise
Mobile Apps, Desktop-Clients
Nicht berücksichtigte Meldungen und typische falsch positive Befunde (öffentliche Erreichbarkeit über das Internet, reine Prompt-Injection-Ketten ohne Umgehung einer Sicherheitsgrenze, gegenseitig nicht vertrauenswürdige Betreiber auf demselben Gateway-Host und weitere) sind in SECURITY.md aufgeführt. Diese Datei ist die aktuelle maßgebliche Quelle für den Geltungsbereich von Schwachstellenmeldungen, nicht diese Seite.
Ein Angreifer sendet speziell präparierte Prompts, um das Verhalten des Agenten zu manipulieren
Angriffsvektor
Kanalnachrichten mit gegnerischen Anweisungen
Betroffene Komponenten
Agenten-LLM, alle Eingabeschnittstellen
Aktuelle Schutzmaßnahmen
Mustererkennung, Kapselung externer Inhalte; ohne Umgehung einer Sicherheitsgrenze als außerhalb des Umfangs von Schwachstellenmeldungen behandelt (siehe SECURITY.md)
Restrisiko
Kritisch – nur Erkennung, keine Blockierung; ausgefeilte Angriffe umgehen sie
Empfehlungen
Ausgabevalidierung und Benutzerbestätigung für sensible Aktionen, als zusätzliche Schicht über der bestehenden Erkennung
T-EXEC-002: Indirekte Prompt-Injection
Attribut
Wert
ATLAS-ID
AML.T0051.001 - LLM-Prompt-Injection: Indirekt
Beschreibung
Ein Angreifer bettet bösartige Anweisungen in abgerufene Inhalte ein
Inhaltskapselung mit zufälligen Begrenzungsmarkierungen im XML-Stil, Normalisierung von Homoglyphen/Sondertoken und Sicherheitshinweis
Restrisiko
Hoch – das LLM kann die Anweisungen der Kapselung weiterhin ignorieren
Empfehlungen
Getrennte Ausführungskontexte für gekapselte Inhalte
T-EXEC-003: Einschleusung von Tool-Argumenten
Attribut
Wert
ATLAS-ID
AML.T0051.000 - LLM-Prompt-Injection: Direkt
Beschreibung
Ein Angreifer manipuliert Tool-Argumente durch Prompt-Injection
Angriffsvektor
Präparierte Prompts, die Werte von Tool-Parametern beeinflussen
Betroffene Komponenten
Alle Tool-Aufrufe
Aktuelle Schutzmaßnahmen
Ausführungsgenehmigungen für gefährliche Befehle
Restrisiko
Hoch – beruht auf dem Urteilsvermögen des Benutzers
Empfehlungen
Argumentvalidierung, parametrisierte Tool-Aufrufe
T-EXEC-004: Umgehung der Ausführungsgenehmigung
Attribut
Wert
ATLAS-ID
AML.T0043 - Gegnerspezifische Daten erstellen
Beschreibung
Ein Angreifer erstellt Befehle, welche die Positivliste für Genehmigungen umgehen
Angriffsvektor
Befehlsverschleierung, Ausnutzung von Aliasen, Pfadmanipulation
Betroffene Komponenten
src/infra/exec-approvals*.ts, Befehlspositivliste
Aktuelle Schutzmaßnahmen
Positivliste und Nachfragemodus sowie Befehlsnormalisierung (Entpacken von Dispatch-Wrappern, Erkennung von Inline-Auswertung, Analyse von Shell-Befehlsketten)
Restrisiko
Hoch – die Normalisierung schränkt Umgehungen durch Verschleierung ein, beseitigt sie jedoch nicht; reine Paritätsbefunde zwischen Ausführungspfaden gelten als Härtung, nicht als Schwachstellen (siehe SECURITY.md)
Empfehlungen
Abdeckung der Befehlsnormalisierung gegen neue Verschleierungstechniken kontinuierlich erweitern
3.4 Persistenz (AML.TA0006)
T-PERSIST-001: Installation eines bösartigen Skills
Attribut
Wert
ATLAS-ID
AML.T0010.001 - Kompromittierung der Lieferkette: KI-Software
Beschreibung
Ein Angreifer veröffentlicht einen bösartigen Skill auf ClawHub
Angriffsvektor
Konto erstellen, Skill mit verborgenem bösartigem Code veröffentlichen
Betroffene Komponenten
ClawHub, Laden von Skills, Agentenausführung
Aktuelle Schutzmaßnahmen
Prüfung des Alters des GitHub-Kontos, statische Musterprüfung/AST-nahe Analyse, LLM-basierte agentische Risikoprüfung, VirusTotal-Prüfung
Restrisiko
Hoch – Erkennungsschichten sind vorhanden, Skills werden jedoch weiterhin mit Agentenberechtigungen und ohne Ausführungs-Sandbox ausgeführt
Empfehlungen
Sandbox für die Ausführung von Skills, erweiterte Community-Prüfung
T-PERSIST-002: Manipulation eines Skill-Updates
Attribut
Wert
ATLAS-ID
AML.T0010.001 - Kompromittierung der Lieferkette: KI-Software
Beschreibung
Ein Angreifer kompromittiert einen beliebten Skill und veröffentlicht ein bösartiges Update
Angriffsvektor
Kontokompromittierung, Social Engineering gegenüber dem Eigentümer des Skills
Betroffene Komponenten
ClawHub-Versionierung, Abläufe für automatische Updates
Aktuelle Schutzmaßnahmen
Versions-Fingerprinting, erneute Moderation/Prüfung bei neuen Versionen
Restrisiko
Hoch – automatische Updates können bösartige Versionen abrufen, bevor die Prüfung abgeschlossen ist
Empfehlungen
Signierung von Updates, Rollback-Funktion, Festschreiben von Versionen
T-PERSIST-003: Manipulation der Agentenkonfiguration
Attribut
Wert
ATLAS-ID
AML.T0010.002 - Kompromittierung der Lieferkette: Daten
Beschreibung
Angreifer verändert die Agent-Konfiguration, um den Zugriff dauerhaft aufrechtzuerhalten
Angriffsvektor
Änderung der Konfigurationsdatei, Einschleusen von Einstellungen
Betroffene Komponenten
Agent-Konfiguration, Tool-Richtlinien
Aktuelle Schutzmaßnahmen
Dateiberechtigungen
Restrisiko
Mittel – erfordert lokalen Zugriff
Empfehlungen
Überprüfung der Konfigurationsintegrität, Audit-Protokollierung von Konfigurationsänderungen
3.5 Umgehung von Schutzmaßnahmen (AML.TA0007)
T-EVADE-001: Umgehung von Moderationsmustern
Attribut
Wert
ATLAS-ID
AML.T0043 - Erstellen adversarieller Daten
Beschreibung
Angreifer erstellt Skill-Inhalte, um die Moderationsprüfungen von ClawHub zu umgehen
Mittel – neuartige Verschleierungen können mehrschichtige Heuristiken weiterhin umgehen
Empfehlungen
Den Korpus aus Mustern und Verhaltensweisen fortlaufend erweitern, wenn neue Umgehungsmethoden entdeckt werden
T-EVADE-002: Ausbruch aus der Inhaltskapselung
Attribut
Wert
ATLAS-ID
AML.T0043 - Erstellen adversarieller Daten
Beschreibung
Angreifer erstellt Inhalte, die aus dem Kontext der Kapselung externer Inhalte ausbrechen
Angriffsvektor
Tag-Manipulation, Kontextverwechslung, Überschreiben von Anweisungen
Betroffene Komponenten
Kapselung externer Inhalte
Aktuelle Schutzmaßnahmen
XML-artige Markierungen mit zufälligen Begrenzungen und Sicherheitshinweis sowie Erkennung gefälschter Markierungen anhand von Homoglyphen und Leerraumvarianten
Restrisiko
Mittel – neuartige Ausbruchsmethoden werden regelmäßig entdeckt
Empfehlungen
Ausgabeseitige Validierung zusätzlich zur eingabeseitigen Kapselung
3.6 Erkundung (AML.TA0008)
T-DISC-001: Auflistung von Tools
Attribut
Wert
ATLAS-ID
AML.T0040 - Zugriff auf die Inferenz-API des KI-Modells
Beschreibung
Angreifer ermittelt durch Prompts die verfügbaren Tools
Angriffsvektor
Anfragen nach dem Muster „Welche Tools haben Sie?“
Betroffene Komponenten
Tool-Registry des Agenten
Aktuelle Schutzmaßnahmen
Keine spezifischen Maßnahmen
Restrisiko
Niedrig – Tools sind im Allgemeinen dokumentiert
Empfehlungen
Kontrollen für die Sichtbarkeit von Tools erwägen
T-DISC-002: Extraktion von Sitzungsdaten
Attribut
Wert
ATLAS-ID
AML.T0040 - Zugriff auf die Inferenz-API des KI-Modells
Beschreibung
Angreifer extrahiert sensible Daten aus dem Sitzungskontext
Angriffsvektor
Anfragen wie „Was haben wir besprochen?“, Sondierung des Kontexts
Betroffene Komponenten
Sitzungstranskripte, Kontextfenster
Aktuelle Schutzmaßnahmen
Sitzungsisolation pro Absender (Schlüssel agent:channel:peer)
Restrisiko
Mittel – sitzungsinterne Daten sind bestimmungsgemäß zugänglich
Empfehlungen
Schwärzung sensibler Daten im Kontext
3.7 Sammlung und Exfiltration (AML.TA0009, AML.TA0010)
T-EXFIL-001: Datendiebstahl über web_fetch
Attribut
Wert
ATLAS-ID
AML.T0009 - Sammlung
Beschreibung
Angreifer exfiltriert Daten, indem er den Agenten anweist, sie an eine externe URL zu senden
Angriffsvektor
Prompt-Injection, die den Agenten veranlasst, Daten per POST an einen Server des Angreifers zu senden
Betroffene Komponenten
Tool web_fetch
Aktuelle Schutzmaßnahmen
SSRF-Blockierung für interne/private Netzwerke (DNS-Pinning und IP-Blockierung)
Restrisiko
Hoch – beliebige externe URLs bleiben zulässig
Empfehlungen
URL-Zulassungsliste, Berücksichtigung der Datenklassifizierung
T-EXFIL-002: Unbefugter Nachrichtenversand
Attribut
Wert
ATLAS-ID
AML.T0009 - Sammlung
Beschreibung
Angreifer veranlasst den Agenten, Nachrichten mit sensiblen Daten zu senden
Angriffsvektor
Prompt-Injection, die den Agenten veranlasst, dem Angreifer eine Nachricht zu senden
Betroffene Komponenten
Nachrichten-Tool, Kanalintegrationen
Aktuelle Schutzmaßnahmen
Zugriffskontrolle für ausgehende Nachrichten
Restrisiko
Mittel – die Zugriffskontrolle kann möglicherweise umgangen werden
Empfehlungen
Explizite Bestätigung bei neuen Empfängern
T-EXFIL-003: Abgreifen von Zugangsdaten
Attribut
Wert
ATLAS-ID
AML.T0009 - Sammlung
Beschreibung
Bösartiger Skill greift Zugangsdaten aus dem Agentenkontext ab
Angriffsvektor
Skill-Code liest Umgebungsvariablen und Konfigurationsdateien
Betroffene Komponenten
Skill-Ausführungsumgebung
Aktuelle Schutzmaßnahmen
ClawHub-Scans nach Zugangsdatenmustern (fest codierte Geheimnisse sowie Zugriff auf Umgebungsvariablen mit Zugangsdaten in Verbindung mit Netzwerkübertragungen); keine Sandbox-Ausführung für Skills zur Laufzeit
Restrisiko
Kritisch – Skills werden mit den Berechtigungen des Agenten ausgeführt
Empfehlungen
Sandbox-Ausführung für Skills, Isolierung von Zugangsdaten
3.8 Auswirkungen (AML.TA0011)
T-IMPACT-001: Unbefugte Befehlsausführung
Attribut
Wert
ATLAS-ID
AML.T0031 - Beeinträchtigung der Integrität des KI-Modells
Beschreibung
Angreifer führt beliebige Befehle auf dem System des Benutzers aus
Angriffsvektor
Prompt-Injection in Kombination mit der Umgehung der Ausführungsgenehmigung
Kritisch – die Ausführung auf dem Host ist möglich, wenn die Sandbox deaktiviert ist
Empfehlungen
Benutzeroberfläche für Genehmigungen verbessern; Bereitstellungen ohne Sandbox bleiben eine bewusste Betreiberentscheidung und werden entsprechend dokumentiert
T-IMPACT-002: Ressourcenerschöpfung (DoS)
Attribut
Wert
ATLAS-ID
AML.T0031 - Beeinträchtigung der Integrität des KI-Modells
Beschreibung
Angreifer erschöpft API-Guthaben oder Rechenressourcen
AML.T0031 - Beeinträchtigung der Integrität des KI-Modells
Beschreibung
Angreifer veranlasst den Agenten, schädliche oder anstößige Inhalte zu senden
Angriffsvektor
Prompt-Injection, die unangemessene Antworten verursacht
Betroffene Komponenten
Ausgabegenerierung, Kanalnachrichten
Aktuelle Schutzmaßnahmen
Inhaltsrichtlinien des LLM-Providers
Restrisiko
Mittel – Provider-Filter sind nicht fehlerfrei
Empfehlungen
Ausgabefilterschicht, Benutzerkontrollen
4. ClawHub-Lieferkettenanalyse
4.1 Aktuelle Sicherheitskontrollen
Kontrollmaßnahme
Implementierung
Wirksamkeit
Alter des GitHub-Kontos
requireGitHubAccountAge() (mindestens 14 Tage)
Mittel – erhöht die Einstiegshürde für neue Angreifer
Pfadbereinigung
sanitizePath()
Hoch – verhindert Pfadtraversierung
Dateitypvalidierung
isTextFile()
Mittel – nur Textdateien werden geprüft, sie bleiben jedoch ausnutzbar
Größenbeschränkungen
Insgesamt 50 MB pro Paket (MAX_PUBLISH_TOTAL_BYTES)
Hoch – verhindert Ressourcenerschöpfung
Erforderliche SKILL.md
Verpflichtende Readme-Datei bei der Veröffentlichung
Geringer Sicherheitswert – dient nur der Information
Statische und AST-nahe Prüfung
Muster-Engine für Ausführung, Exfiltration, Zugangsdatenabgriff, Verschleierung und mehr
Mittel bis hoch – deckt viele bekannte Missbrauchsmuster ab, bleibt musterbasiert
LLM-basierte agentische Risikoprüfung
Durch einen Sicherheits-Prompt gesteuerte Bewertung bei der Veröffentlichung
Mittel bis hoch – erkennt Verhaltensweisen, die statische Muster übersehen
VirusTotal-Prüfung
In Veröffentlichungs- und erneute Prüfungsvorgänge für Skills und Pakete eingebunden; durch API-Schlüssel des Betreibers gesteuert
Hoch, wenn aktiviert – Erkennung durch statische Engines
Moderationsstatus
Feld moderationStatus
Mittel – manuelle Prüfung möglich
4.2 Einschränkungen der Moderation
Die statische Prüfung von ClawHub untersucht den Codeinhalt von Skills direkt (nicht nur Slug, Metadaten oder Frontmatter) und deckt gefährliche Ausführungsaufrufe, dynamische Codeausführung, das Abgreifen von Zugangsdaten, Exfiltrationsmuster, verschleierte Nutzlasten und mehr ab. Bekannte Lücken:
Die musterbasierte Erkennung kann weiterhin durch hinreichend neuartige Verschleierung umgangen werden.
LLM-basierte Prüfungen und VirusTotal-Prüfungen setzen voraus, dass die entsprechenden betreiberseitigen API-Schlüssel und Konfigurationen aktiviert sind.
Keine Sandbox für die Laufzeitausführung isoliert einen Skill nach der Installation von den Berechtigungen des Agenten selbst.
4.3 Abzeichen
Skills und Pakete tragen von Moderatoren zugewiesene Abzeichen: highlighted, official, deprecated, redactionApproved (nur Skills). Meldungen aus der Community (skillReports) und die Audit-Protokollierung (auditLogs) unterstützen die Moderationsabläufe.
Zulassungs- und Sperrrichtlinie für Sandbox-Werkzeuge
Kritisch
src/routing/resolve-route.ts
Sitzungsisolierung und Routing
Mittel
7.3 Glossar
Begriff
Definition
ATLAS
MITREs Bedrohungslandschaft für adversarielle Angriffe auf KI-Systeme
ClawHub
Marktplatz von OpenClaw für Skills
Gateway
Nachrichten-Routing- und Authentifizierungsschicht von OpenClaw
MCP
Model Context Protocol – Schnittstelle für Werkzeug-Provider
Prompt-Injektion
Angriff, bei dem bösartige Anweisungen in Eingaben eingebettet werden
Skill
Herunterladbare Erweiterung für OpenClaw-Agenten
SSRF
Serverseitige Anforderungsfälschung
Dieses Bedrohungsmodell ist ein fortlaufend gepflegtes Dokument. Melden Sie Sicherheitsprobleme an security@openclaw.ai oder besuchen Sie die Vertrauensseite.