نسخه: 1.0-پیشنویس | چارچوب:MITRE ATLAS (چشمانداز تهدیدهای خصمانه برای سامانههای هوش مصنوعی) + نمودارهای جریان داده
این مدل تهدید، تهدیدهای خصمانه علیه پلتفرم عامل هوش مصنوعی OpenClaw و بازار Skills در ClawHub را مستند میکند. این سندی پویا است که جامعه OpenClaw آن را نگهداری میکند. برای آگاهی از نحوه گزارش تهدیدهای جدید، پیشنهاد زنجیرههای حمله یا پیشنهاد راهکارهای کاهش خطر، به مشارکت در مدل تهدید مراجعه کنید.
گزارشهای خارج از دامنه و الگوهای مثبت کاذب (دسترسی عمومی از اینترنت، زنجیرههای صرفاً مبتنی بر تزریق پرامپت بدون عبور از یک مرز، اپراتورهای متقابلاً غیرقابلاعتماد که از یک میزبان Gateway مشترک استفاده میکنند و موارد دیگر) در SECURITY.md فهرست شدهاند؛ مرجع فعلی و معتبر دامنه گزارش آسیبپذیری آن فایل است، نه این صفحه.
بالا - عادیسازی امکان دورزدن از طریق مبهمسازی را محدود میکند، اما از بین نمیبرد؛ یافتههای صرفاً مربوط به همارزی میان مسیرهای اجرا، مقاومسازی محسوب میشوند نه آسیبپذیری (به SECURITY.md مراجعه کنید)
توصیهها
ادامه گسترش پوشش عادیسازی فرمان در برابر روشهای جدید مبهمسازی
قواعد الگوی ایستا، اسکن کد در مجاورت AST، بازبینی ریسک عاملی با LLM، VirusTotal
ریسک باقیمانده
متوسط - مبهمسازیهای جدید همچنان ممکن است از روشهای ابتکاری چندلایه عبور کنند
توصیهها
همزمان با کشف روشهای جدید گریز، مجموعه الگوها و رفتارها را بهطور مستمر گسترش دهید
T-EVADE-002: خروج از پوشش محتوایی
ویژگی
مقدار
شناسه ATLAS
AML.T0043 - ساخت دادههای خصمانه
توضیحات
مهاجم محتوایی میسازد که از بافت پوششدهنده محتوای خارجی خارج میشود
بردار حمله
دستکاری برچسبها، ایجاد ابهام در بافت، بازنویسی دستورالعملها
مؤلفههای تحت تأثیر
پوششدهی محتوای خارجی
راهکارهای فعلی کاهش خطر
نشانگرهای سبک XML با مرز تصادفی + هشدار امنیتی، همراه با تشخیص جعل نشانگر از طریق نویسههای همریخت/گونههای فاصله سفید
ریسک باقیمانده
متوسط - روشهای جدید خروج بهطور منظم کشف میشوند
توصیهها
اعتبارسنجی سمت خروجی در کنار پوششدهی سمت ورودی
۳.۶ شناسایی (AML.TA0008)
T-DISC-001: شمارش ابزارها
ویژگی
مقدار
شناسه ATLAS
AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی
توضیحات
مهاجم ابزارهای موجود را از طریق پرامپتها شناسایی و فهرست میکند
بردار حمله
پرسشهایی مانند «چه ابزارهایی داری؟»
مؤلفههای تحت تأثیر
رجیستری ابزارهای عامل
راهکارهای فعلی کاهش خطر
مورد خاصی وجود ندارد
ریسک باقیمانده
کم - ابزارها عموماً مستندسازی شدهاند
توصیهها
کنترلهای مشاهدهپذیری ابزارها را در نظر بگیرید
T-DISC-002: استخراج دادههای نشست
ویژگی
مقدار
شناسه ATLAS
AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی
توضیحات
مهاجم دادههای حساس را از بافت نشست استخراج میکند
بردار حمله
پرسشهایی مانند «درباره چه چیزی صحبت کردیم؟»، کاوش بافت
مؤلفههای تحت تأثیر
رونوشتهای نشست، پنجره بافت
راهکارهای فعلی کاهش خطر
جداسازی نشست برای هر فرستنده (کلید agent:channel:peer)
ریسک باقیمانده
متوسط - دادههای درون نشست طبق طراحی در دسترس هستند
توصیهها
حذف دادههای حساس از بافت
۳.۷ جمعآوری و استخراج داده (AML.TA0009، AML.TA0010)
T-EXFIL-001: سرقت داده از طریق web_fetch
ویژگی
مقدار
شناسه ATLAS
AML.T0009 - جمعآوری
توضیحات
مهاجم با دستور دادن به عامل برای ارسال داده به یک نشانی وب خارجی، آن را استخراج میکند
بردار حمله
تزریق پرامپت که عامل را وادار میکند دادهها را با درخواست POST به سرور مهاجم ارسال کند
مؤلفههای تحت تأثیر
ابزار web_fetch
راهکارهای فعلی کاهش خطر
مسدودسازی SSRF برای شبکههای داخلی/خصوصی (تثبیت DNS + مسدودسازی IP)
ریسک باقیمانده
زیاد - نشانیهای وب خارجی دلخواه همچنان مجاز هستند
توصیهها
فهرست مجاز نشانیهای وب، آگاهی از طبقهبندی دادهها
T-EXFIL-002: ارسال غیرمجاز پیام
ویژگی
مقدار
شناسه ATLAS
AML.T0009 - جمعآوری
توضیحات
مهاجم باعث میشود عامل پیامهایی حاوی دادههای حساس ارسال کند
بردار حمله
تزریق پرامپت که عامل را وادار میکند به مهاجم پیام دهد
مؤلفههای تحت تأثیر
ابزار پیام، یکپارچهسازیهای کانال
راهکارهای فعلی کاهش خطر
اعمال دروازه کنترلی بر پیامرسانی خروجی
ریسک باقیمانده
متوسط - ممکن است دروازه کنترلی دور زده شود
توصیهها
تأیید صریح برای گیرندگان جدید
T-EXFIL-003: جمعآوری اطلاعات احراز هویت
ویژگی
مقدار
شناسه ATLAS
AML.T0009 - جمعآوری
توضیحات
Skill مخرب، اطلاعات احراز هویت را از بافت عامل جمعآوری میکند
بردار حمله
کد Skill متغیرهای محیطی و فایلهای پیکربندی را میخواند
مؤلفههای تحت تأثیر
محیط اجرای Skill
راهکارهای فعلی کاهش خطر
اسکن الگوهای اطلاعات احراز هویت در ClawHub (اسرار کدنویسیشده، دسترسی به متغیرهای محیطی حاوی اطلاعات احراز هویت همراه با ارسال شبکهای)؛ نبود محیط ایزوله اجرایی برای Skillها هنگام اجرا
ریسک باقیمانده
بحرانی - Skillها با امتیازات عامل اجرا میشوند
توصیهها
اجرای Skillها در محیط ایزوله، جداسازی اطلاعات احراز هویت
۳.۸ تأثیر (AML.TA0011)
T-IMPACT-001: اجرای غیرمجاز فرمان
ویژگی
مقدار
شناسه ATLAS
AML.T0031 - تضعیف یکپارچگی مدل هوش مصنوعی
توضیحات
مهاجم فرمانهای دلخواه را روی سامانه کاربر اجرا میکند
بردار حمله
تزریق پرامپت همراه با دور زدن تأیید اجرای فرمان
مؤلفههای تحت تأثیر
ابزار Bash، اجرای فرمان
راهکارهای فعلی کاهش خطر
تأییدهای اجرا، گزینه محیط ایزوله Docker (پشتانه پیشفرض زمان اجرا)
ریسک باقیمانده
بحرانی - وقتی محیط ایزوله غیرفعال باشد، اجرای فرمان روی میزبان امکانپذیر است
توصیهها
تجربه کاربری تأیید را بهبود دهید؛ استقرارهایی که محیط ایزوله در آنها غیرفعال است، انتخاب آگاهانه راهبر باقی میمانند و مستند شدهاند
T-IMPACT-002: اتمام منابع (DoS)
ویژگی
مقدار
شناسه ATLAS
AML.T0031 - تضعیف یکپارچگی مدل هوش مصنوعی
توضیحات
مهاجم اعتبار API یا منابع محاسباتی را تمام میکند
بردار حمله
سیل خودکار پیامها، فراخوانی ابزارهای پرهزینه
مؤلفههای تحت تأثیر
Gateway، نشستهای عامل، ارائهدهنده API
راهکارهای فعلی کاهش خطر
هیچکدام
ریسک باقیمانده
زیاد - برای هر فرستنده محدودیت نرخ وجود ندارد
توصیهها
محدودیت نرخ برای هر فرستنده، بودجههای هزینهای
T-IMPACT-003: آسیب به اعتبار
ویژگی
مقدار
شناسه ATLAS
AML.T0031 - تضعیف یکپارچگی مدل هوش مصنوعی
توضیحات
مهاجم باعث میشود عامل محتوای مضر/توهینآمیز ارسال کند
بردار حمله
تزریق پرامپت که باعث پاسخهای نامناسب میشود
مؤلفههای تحت تأثیر
تولید خروجی، پیامرسانی کانال
راهکارهای فعلی کاهش خطر
سیاستهای محتوایی ارائهدهنده LLM
ریسک باقیمانده
متوسط - فیلترهای ارائهدهنده بینقص نیستند
توصیهها
لایه پالایش خروجی، کنترلهای کاربر
۴. تحلیل زنجیره تأمین ClawHub
۴.۱ کنترلهای امنیتی فعلی
کنترل
پیادهسازی
اثربخشی
قدمت حساب GitHub
requireGitHubAccountAge() (حداقل ۱۴ روز)
متوسط - سطح دشواری را برای مهاجمان جدید افزایش میدهد
پاکسازی مسیر
sanitizePath()
بالا - از پیمایش مسیر جلوگیری میکند
اعتبارسنجی نوع فایل
isTextFile()
متوسط - فقط فایلهای متنی اسکن میشوند، اما همچنان قابل سوءاستفاده است
محدودیتهای اندازه
مجموع بسته ۵۰ مگابایت (MAX_PUBLISH_TOTAL_BYTES)
بالا - از اتمام منابع جلوگیری میکند
الزامی بودن SKILL.md
راهنمای اجباری هنگام انتشار
ارزش امنیتی پایین - صرفاً اطلاعرسانی
اسکن ایستا و مجاور AST
موتور الگو برای پوشش اجرا، استخراج داده، برداشت اعتبارنامه، مبهمسازی و موارد دیگر
متوسط تا بالا - بسیاری از الگوهای شناختهشده سوءاستفاده را پوشش میدهد، اما همچنان مبتنی بر الگو است
بازبینی عاملمحور ریسک مبتنی بر LLM
صدور حکم هنگام انتشار با استفاده از پرامپت امنیتی
متوسط تا بالا - رفتارهایی را شناسایی میکند که الگوهای ایستا از دست میدهند
اسکن VirusTotal
به جریانهای انتشار و اسکن مجدد Skills و انتشار بسته متصل است و به کلید API اپراتور وابسته است
در صورت فعال بودن بالا - تشخیص با موتور ایستا
وضعیت نظارت
فیلد moderationStatus
متوسط - بازبینی دستی امکانپذیر است
۴.۲ محدودیتهای نظارت
اسکن ایستای ClawHub محتوای کد Skills را مستقیماً بررسی میکند (نه فقط نامک/فراداده/frontmatter) و فراخوانیهای اجرایی خطرناک، اجرای پویای کد، برداشت اعتبارنامه، الگوهای استخراج داده، بارهای مبهمسازیشده و موارد دیگر را پوشش میدهد. کاستیهای شناختهشده:
تشخیص مبتنی بر الگو همچنان ممکن است با مبهمسازی بهاندازه کافی نوآورانه دور زده شود.
بازبینی مبتنی بر LLM و اسکن VirusTotal به فعال بودن کلیدهای API و پیکربندی سمت اپراتور وابستهاند.
پس از نصب، هیچ محیط اجرای ایزولهای یک Skill را از امتیازهای خود عامل جدا نمیکند.
۴.۳ نشانها
Skills و بستهها نشانهای تخصیصیافته توسط ناظر را دارند: highlighted، official، deprecated، redactionApproved (فقط Skills). گزارشدهی جامعه (skillReports) و ثبت ممیزی (auditLogs) از گردشکارهای نظارت پشتیبانی میکنند.
زنجیره ۳: تزریق غیرمستقیم از طریق محتوای دریافتشده
text
T-EXEC-002 → T-EXFIL-001 → استخراج خارجی داده(مسمومسازی محتوای URL) → (عامل محتوا را دریافت و دستورها را دنبال میکند) → (داده برای مهاجم ارسال میشود)
۶. خلاصه توصیهها
۶.۱ فوری (P0)
شناسه
توصیه
تهدیدهای تحت پوشش
R-002
پیادهسازی محیط اجرای ایزوله برای Skills
T-PERSIST-001, T-EXFIL-003
R-003
افزودن اعتبارسنجی خروجی برای اقدامات حساس
T-EXEC-001, T-EXEC-002
۶.۲ کوتاهمدت (P1)
شناسه
توصیه
تهدیدهای تحت پوشش
R-004
پیادهسازی محدودسازی نرخ برای هر فرستنده
T-IMPACT-002
R-005
افزودن رمزنگاری توکنها در حالت ذخیرهشده
T-ACCESS-003
R-006
بهبود تجربه کاربری تأیید اجرا و ادامه گسترش عادیسازی فرمانها
T-EXEC-004
R-007
پیادهسازی فهرست مجاز URL برای web_fetch
T-EXFIL-001
۶.۳ میانمدت (P2)
شناسه
توصیه
تهدیدهای تحت پوشش
R-008
افزودن راستیآزمایی رمزنگاریشده کانال در صورت امکان