Security

مدل تهدید (MITRE ATLAS)

نسخه: 1.0-پیش‌نویس | چارچوب: MITRE ATLAS (چشم‌انداز تهدیدهای خصمانه برای سامانه‌های هوش مصنوعی) + نمودارهای جریان داده

این مدل تهدید، تهدیدهای خصمانه علیه پلتفرم عامل هوش مصنوعی OpenClaw و بازار Skills در ClawHub را مستند می‌کند. این سندی پویا است که جامعه OpenClaw آن را نگهداری می‌کند. برای آگاهی از نحوه گزارش تهدیدهای جدید، پیشنهاد زنجیره‌های حمله یا پیشنهاد راهکارهای کاهش خطر، به مشارکت در مدل تهدید مراجعه کنید.

منابع کلیدی ATLAS: تکنیک‌ها | تاکتیک‌ها | مطالعات موردی | گیت‌هاب ATLAS | مشارکت در ATLAS


۱. دامنه

مؤلفه مشمول یادداشت‌ها
محیط اجرای عامل OpenClaw بله اجرای هسته عامل، فراخوانی ابزارها، نشست‌ها
Gateway بله احراز هویت، مسیریابی، یکپارچه‌سازی کانال‌ها
یکپارچه‌سازی کانال‌ها بله WhatsApp، Telegram، Discord، Signal، Slack و غیره
بازار ClawHub بله انتشار، نظارت و توزیع Skills
سرورهای MCP بله ارائه‌دهندگان ابزارهای خارجی
دستگاه‌های کاربر تا حدی برنامه‌های موبایل، کارخواه‌های دسکتاپ

گزارش‌های خارج از دامنه و الگوهای مثبت کاذب (دسترسی عمومی از اینترنت، زنجیره‌های صرفاً مبتنی بر تزریق پرامپت بدون عبور از یک مرز، اپراتورهای متقابلاً غیرقابل‌اعتماد که از یک میزبان Gateway مشترک استفاده می‌کنند و موارد دیگر) در SECURITY.md فهرست شده‌اند؛ مرجع فعلی و معتبر دامنه گزارش آسیب‌پذیری آن فایل است، نه این صفحه.

۲. معماری سامانه

۲.۱ مرزهای اعتماد

text
┌─────────────────────────────────────────────────────────────────┐│                    ناحیه غیرقابل‌اعتماد                         ││  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              ││  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         ││  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              ││         │                │                │                      │└─────────┼────────────────┼────────────────┼──────────────────────┘          │                │                │          ▼                ▼                ▼┌─────────────────────────────────────────────────────────────────┐│                 مرز اعتماد ۱: دسترسی کانال                      ││  ┌──────────────────────────────────────────────────────────┐   ││  │                      GATEWAY                              │   ││  │  • جفت‌سازی دستگاه (TTL جفت‌سازی پیام خصوصی ۱ ساعت / Node‏ ۵ دقیقه) ││  │  • اعتبارسنجی AllowFrom / فهرست مجاز                     ││  │  • احراز هویت با توکن / گذرواژه / Tailscale             ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 مرز اعتماد ۲: جداسازی نشست                      ││  ┌──────────────────────────────────────────────────────────┐   ││  │                   نشست‌های عامل                          ││  │  • کلید نشست = agent:channel:peer                        ││  │  • سیاست‌های ابزار برای هر عامل                          ││  │  • ثبت رونوشت                                            ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 مرز اعتماد ۳: اجرای ابزار                       ││  ┌──────────────────────────────────────────────────────────┐   ││  │                  محیط ایزوله اجرا                        ││  │  • محیط ایزوله Docker (پیش‌فرض) یا میزبان (تأییدهای اجرا) ││  │  • اجرای راه دور Node                                    ││  │  • محافظت در برابر SSRF (تثبیت DNS + مسدودسازی IP)       ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 مرز اعتماد ۴: محتوای خارجی                      ││  ┌──────────────────────────────────────────────────────────┐   ││  │              نشانی‌های واکشی‌شده / ایمیل‌ها / Webhookها  ││  │  • پوشاندن محتوای خارجی (برچسب‌های XML با مرز تصادفی)    ││  │  • تزریق اعلان امنیتی                                    ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 مرز اعتماد ۵: زنجیره تأمین                      ││  ┌──────────────────────────────────────────────────────────┐   ││  │                      CLAWHUB                              ││  │  • انتشار Skills (semver، الزام وجود SKILL.md)           ││  │  • اسکن نظارتی الگوهای ایستا + مجاور AST                 ││  │  • بازبینی عامل‌محور خطر مبتنی بر LLM + اسکن VirusTotal  ││  │  • تأیید قدمت حساب GitHub (۱۴ روز)                       ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘

۲.۲ جریان‌های داده

جریان مبدأ مقصد داده محافظت
F1 کانال Gateway پیام‌های کاربر TLS، AllowFrom
F2 Gateway عامل پیام‌های مسیریابی‌شده جداسازی نشست
F3 عامل ابزارها فراخوانی ابزارها اعمال سیاست
F4 عامل خارجی درخواست‌های web_fetch مسدودسازی SSRF
F5 ClawHub عامل کد Skills نظارت، اسکن
F6 عامل کانال پاسخ‌ها پالایش خروجی

۳. تحلیل تهدید بر اساس تاکتیک ATLAS

۳.۱ شناسایی (AML.TA0002)

T-RECON-001: کشف نقطه پایانی عامل

ویژگی مقدار
شناسه ATLAS AML.T0006 - اسکن فعال
شرح مهاجم نقاط پایانی در معرض دسترس Gateway در OpenClaw را اسکن می‌کند
بردار حمله اسکن شبکه، پرس‌وجوهای Shodan، شمارش DNS
مؤلفه‌های تحت تأثیر Gateway، نقاط پایانی API در معرض دسترس
راهکارهای کاهش فعلی گزینه احراز هویت Tailscale، اتصال پیش‌فرض به local loopback
خطر باقی‌مانده متوسط - Gatewayهای عمومی قابل کشف هستند
توصیه‌ها استقرار امن را مستند کنید، برای نقاط پایانی کشف محدودیت نرخ بیفزایید

T-RECON-002: کاوش یکپارچه‌سازی کانال

ویژگی مقدار
شناسه ATLAS AML.T0006 - اسکن فعال
شرح مهاجم کانال‌های پیام‌رسان را برای شناسایی حساب‌های مدیریت‌شده با هوش مصنوعی می‌کاود
بردار حمله ارسال پیام‌های آزمایشی، مشاهده الگوهای پاسخ
مؤلفه‌های تحت تأثیر همه یکپارچه‌سازی‌های کانال
راهکارهای کاهش فعلی هیچ راهکار ویژه‌ای وجود ندارد
خطر باقی‌مانده کم - کشف به‌تنهایی ارزش محدودی دارد
توصیه‌ها تصادفی‌سازی زمان‌بندی پاسخ را در نظر بگیرید

۳.۲ دسترسی اولیه (AML.TA0004)

T-ACCESS-001: رهگیری کد جفت‌سازی

ویژگی مقدار
شناسه ATLAS AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی
توضیحات مهاجم در بازه جفت‌سازی، کد جفت‌سازی را رهگیری می‌کند (۱ ساعت برای جفت‌سازی DM/عمومی، ۵ دقیقه برای جفت‌سازی Node)
بردار حمله نگاه‌کردن از روی شانه، شنود شبکه، مهندسی اجتماعی
مؤلفه‌های تحت تأثیر سامانه جفت‌سازی دستگاه
اقدامات کاهشی فعلی TTL یک‌ساعته (جفت‌سازی DM/عمومی)، TTL پنج‌دقیقه‌ای (جفت‌سازی Node)؛ کدها از طریق کانال موجود ارسال می‌شوند
ریسک باقی‌مانده متوسط - بازه جفت‌سازی قابل بهره‌برداری است
توصیه‌ها کاهش بازه جفت‌سازی، افزودن مرحله تأیید

T-ACCESS-002: جعل AllowFrom

ویژگی مقدار
شناسه ATLAS AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی
توضیحات مهاجم هویت یک فرستنده مجاز را در یک کانال جعل می‌کند
بردار حمله وابسته به کانال - جعل شماره تلفن، جعل هویت با نام کاربری
مؤلفه‌های تحت تأثیر اعتبارسنجی AllowFrom برای هر کانال
اقدامات کاهشی فعلی تأیید هویت مختص هر کانال
ریسک باقی‌مانده متوسط - برخی کانال‌ها همچنان در برابر جعل آسیب‌پذیرند
توصیه‌ها مستندسازی ریسک‌های مختص هر کانال، افزودن تأیید رمزنگاری‌شده در صورت امکان

T-ACCESS-003: سرقت توکن

ویژگی مقدار
شناسه ATLAS AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی
توضیحات مهاجم توکن‌های احراز هویت را از فایل‌های پیکربندی/اعتبارنامه سرقت می‌کند
بردار حمله بدافزار، دسترسی غیرمجاز به دستگاه، افشای نسخه پشتیبان پیکربندی
مؤلفه‌های تحت تأثیر ذخیره‌سازی اعتبارنامه کانال/ارائه‌دهنده، ذخیره‌سازی پیکربندی
اقدامات کاهشی فعلی مجوزهای فایل
ریسک باقی‌مانده بالا - توکن‌ها به‌صورت متن ساده روی دیسک ذخیره می‌شوند
توصیه‌ها پیاده‌سازی رمزنگاری توکن در حالت سکون، افزودن چرخش توکن

۳.۳ اجرا (AML.TA0005)

T-EXEC-001: تزریق مستقیم پرامپت

ویژگی مقدار
شناسه ATLAS AML.T0051.000 - تزریق پرامپت LLM: مستقیم
توضیحات مهاجم پرامپت‌های دست‌کاری‌شده‌ای را برای تغییر رفتار عامل ارسال می‌کند
بردار حمله پیام‌های کانال حاوی دستورالعمل‌های خصمانه
مؤلفه‌های تحت تأثیر LLM عامل، تمام سطوح ورودی
اقدامات کاهشی فعلی تشخیص الگو، محصورسازی محتوای خارجی؛ در نبود دورزدن مرز، خارج از دامنه گزارش‌های آسیب‌پذیری در نظر گرفته می‌شود (به SECURITY.md مراجعه کنید)
ریسک باقی‌مانده بحرانی - فقط تشخیص انجام می‌شود و مسدودسازی وجود ندارد؛ حملات پیچیده آن را دور می‌زنند
توصیه‌ها اعتبارسنجی خروجی و تأیید کاربر برای اقدامات حساس، به‌عنوان لایه‌ای روی سازوکار تشخیص موجود

T-EXEC-002: تزریق غیرمستقیم پرامپت

ویژگی مقدار
شناسه ATLAS AML.T0051.001 - تزریق پرامپت LLM: غیرمستقیم
توضیحات مهاجم دستورالعمل‌های مخرب را در محتوای واکشی‌شده جاسازی می‌کند
بردار حمله URLهای مخرب، ایمیل‌های آلوده، Webhookهای به‌خطر‌افتاده
مؤلفه‌های تحت تأثیر web_fetch، دریافت ایمیل، منابع داده خارجی
اقدامات کاهشی فعلی محصورسازی محتوا با نشانگرهای سبک XML دارای مرز تصادفی، عادی‌سازی نویسه‌های مشابه/توکن‌های ویژه و یک اعلان امنیتی
ریسک باقی‌مانده بالا - ممکن است LLM همچنان دستورالعمل‌های محصورکننده را نادیده بگیرد
توصیه‌ها زمینه‌های اجرای جداگانه برای محتوای محصورشده

T-EXEC-003: تزریق آرگومان ابزار

ویژگی مقدار
شناسه ATLAS AML.T0051.000 - تزریق پرامپت LLM: مستقیم
توضیحات مهاجم از طریق تزریق پرامپت، آرگومان‌های ابزار را دست‌کاری می‌کند
بردار حمله پرامپت‌های دست‌کاری‌شده‌ای که بر مقادیر پارامتر ابزار اثر می‌گذارند
مؤلفه‌های تحت تأثیر تمام فراخوانی‌های ابزار
اقدامات کاهشی فعلی تأیید اجرای فرمان‌های خطرناک
ریسک باقی‌مانده بالا - به قضاوت کاربر متکی است
توصیه‌ها اعتبارسنجی آرگومان، فراخوانی‌های پارامتری ابزار

T-EXEC-004: دورزدن تأیید اجرا

ویژگی مقدار
شناسه ATLAS AML.T0043 - ساخت داده‌های خصمانه
توضیحات مهاجم فرمان‌هایی می‌سازد که فهرست مجاز تأیید را دور می‌زنند
بردار حمله مبهم‌سازی فرمان، بهره‌برداری از نام مستعار، دست‌کاری مسیر
مؤلفه‌های تحت تأثیر src/infra/exec-approvals*.ts، فهرست مجاز فرمان‌ها
اقدامات کاهشی فعلی فهرست مجاز + حالت پرسش، به‌همراه عادی‌سازی فرمان (بازکردن پوشش ارسال، تشخیص ارزیابی درون‌خطی، تحلیل زنجیره پوسته)
ریسک باقی‌مانده بالا - عادی‌سازی امکان دورزدن از طریق مبهم‌سازی را محدود می‌کند، اما از بین نمی‌برد؛ یافته‌های صرفاً مربوط به هم‌ارزی میان مسیرهای اجرا، مقاوم‌سازی محسوب می‌شوند نه آسیب‌پذیری (به SECURITY.md مراجعه کنید)
توصیه‌ها ادامه گسترش پوشش عادی‌سازی فرمان در برابر روش‌های جدید مبهم‌سازی

۳.۴ ماندگاری (AML.TA0006)

T-PERSIST-001: نصب Skill مخرب

ویژگی مقدار
شناسه ATLAS AML.T0010.001 - به‌خطر‌افتادن زنجیره تأمین: نرم‌افزار هوش مصنوعی
توضیحات مهاجم یک Skill مخرب در ClawHub منتشر می‌کند
بردار حمله ایجاد حساب، انتشار Skill با کد مخرب پنهان
مؤلفه‌های تحت تأثیر ClawHub، بارگذاری Skill، اجرای عامل
اقدامات کاهشی فعلی تأیید قدمت حساب GitHub، اسکن ایستای الگو/مجاور AST، بازبینی عامل‌محور ریسک مبتنی بر LLM، اسکن VirusTotal
ریسک باقی‌مانده بالا - لایه‌های تشخیص وجود دارند، اما Skills همچنان با سطح دسترسی عامل و بدون محیط ایزوله اجرا می‌شوند
توصیه‌ها اجرای Skills در محیط ایزوله، گسترش بازبینی جامعه

T-PERSIST-002: آلوده‌سازی به‌روزرسانی Skill

ویژگی مقدار
شناسه ATLAS AML.T0010.001 - به‌خطر‌افتادن زنجیره تأمین: نرم‌افزار هوش مصنوعی
توضیحات مهاجم یک Skill محبوب را به خطر می‌اندازد و به‌روزرسانی مخربی منتشر می‌کند
بردار حمله به‌خطر‌افتادن حساب، مهندسی اجتماعی مالک Skill
مؤلفه‌های تحت تأثیر نسخه‌بندی ClawHub، جریان‌های به‌روزرسانی خودکار
اقدامات کاهشی فعلی اثرانگشت‌گذاری نسخه، اجرای مجدد تعدیل‌گری/اسکن برای نسخه‌های جدید
ریسک باقی‌مانده بالا - ممکن است به‌روزرسانی‌های خودکار پیش از تکمیل بازبینی، نسخه‌های مخرب را دریافت کنند
توصیه‌ها امضای به‌روزرسانی، قابلیت بازگردانی، ثابت‌کردن نسخه

T-PERSIST-003: دست‌کاری پیکربندی عامل

ویژگی مقدار
شناسه ATLAS AML.T0010.002 - به‌خطرانداختن زنجیره تأمین: داده
توضیحات مهاجم پیکربندی عامل را تغییر می‌دهد تا دسترسی خود را پایدار نگه دارد
بردار حمله تغییر فایل پیکربندی، تزریق تنظیمات
مؤلفه‌های تحت تأثیر پیکربندی عامل، سیاست‌های ابزار
راهکارهای فعلی کاهش خطر مجوزهای فایل
ریسک باقی‌مانده متوسط - به دسترسی محلی نیاز دارد
توصیه‌ها تأیید یکپارچگی پیکربندی، ثبت رویدادهای ممیزی برای تغییرات پیکربندی

۳.۵ گریز از دفاع (AML.TA0007)

T-EVADE-001: دور زدن الگوی تعدیل محتوا

ویژگی مقدار
شناسه ATLAS AML.T0043 - ساخت داده‌های خصمانه
توضیحات مهاجم محتوای Skill را به‌گونه‌ای می‌سازد که بررسی‌های تعدیل محتوای ClawHub را دور بزند
بردار حمله نویسه‌های هم‌ریخت یونیکد، ترفندهای کدگذاری، بارگذاری پویا
مؤلفه‌های تحت تأثیر خط لوله تعدیل محتوا/اسکن ClawHub
راهکارهای فعلی کاهش خطر قواعد الگوی ایستا، اسکن کد در مجاورت AST، بازبینی ریسک عاملی با LLM، VirusTotal
ریسک باقی‌مانده متوسط - مبهم‌سازی‌های جدید همچنان ممکن است از روش‌های ابتکاری چندلایه عبور کنند
توصیه‌ها هم‌زمان با کشف روش‌های جدید گریز، مجموعه الگوها و رفتارها را به‌طور مستمر گسترش دهید

T-EVADE-002: خروج از پوشش محتوایی

ویژگی مقدار
شناسه ATLAS AML.T0043 - ساخت داده‌های خصمانه
توضیحات مهاجم محتوایی می‌سازد که از بافت پوشش‌دهنده محتوای خارجی خارج می‌شود
بردار حمله دست‌کاری برچسب‌ها، ایجاد ابهام در بافت، بازنویسی دستورالعمل‌ها
مؤلفه‌های تحت تأثیر پوشش‌دهی محتوای خارجی
راهکارهای فعلی کاهش خطر نشانگرهای سبک XML با مرز تصادفی + هشدار امنیتی، همراه با تشخیص جعل نشانگر از طریق نویسه‌های هم‌ریخت/گونه‌های فاصله سفید
ریسک باقی‌مانده متوسط - روش‌های جدید خروج به‌طور منظم کشف می‌شوند
توصیه‌ها اعتبارسنجی سمت خروجی در کنار پوشش‌دهی سمت ورودی

۳.۶ شناسایی (AML.TA0008)

T-DISC-001: شمارش ابزارها

ویژگی مقدار
شناسه ATLAS AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی
توضیحات مهاجم ابزارهای موجود را از طریق پرامپت‌ها شناسایی و فهرست می‌کند
بردار حمله پرسش‌هایی مانند «چه ابزارهایی داری؟»
مؤلفه‌های تحت تأثیر رجیستری ابزارهای عامل
راهکارهای فعلی کاهش خطر مورد خاصی وجود ندارد
ریسک باقی‌مانده کم - ابزارها عموماً مستندسازی شده‌اند
توصیه‌ها کنترل‌های مشاهده‌پذیری ابزارها را در نظر بگیرید

T-DISC-002: استخراج داده‌های نشست

ویژگی مقدار
شناسه ATLAS AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی
توضیحات مهاجم داده‌های حساس را از بافت نشست استخراج می‌کند
بردار حمله پرسش‌هایی مانند «درباره چه چیزی صحبت کردیم؟»، کاوش بافت
مؤلفه‌های تحت تأثیر رونوشت‌های نشست، پنجره بافت
راهکارهای فعلی کاهش خطر جداسازی نشست برای هر فرستنده (کلید agent:channel:peer)
ریسک باقی‌مانده متوسط - داده‌های درون نشست طبق طراحی در دسترس هستند
توصیه‌ها حذف داده‌های حساس از بافت

۳.۷ جمع‌آوری و استخراج داده (AML.TA0009، AML.TA0010)

T-EXFIL-001: سرقت داده از طریق web_fetch

ویژگی مقدار
شناسه ATLAS AML.T0009 - جمع‌آوری
توضیحات مهاجم با دستور دادن به عامل برای ارسال داده به یک نشانی وب خارجی، آن را استخراج می‌کند
بردار حمله تزریق پرامپت که عامل را وادار می‌کند داده‌ها را با درخواست POST به سرور مهاجم ارسال کند
مؤلفه‌های تحت تأثیر ابزار web_fetch
راهکارهای فعلی کاهش خطر مسدودسازی SSRF برای شبکه‌های داخلی/خصوصی (تثبیت DNS + مسدودسازی IP)
ریسک باقی‌مانده زیاد - نشانی‌های وب خارجی دلخواه همچنان مجاز هستند
توصیه‌ها فهرست مجاز نشانی‌های وب، آگاهی از طبقه‌بندی داده‌ها

T-EXFIL-002: ارسال غیرمجاز پیام

ویژگی مقدار
شناسه ATLAS AML.T0009 - جمع‌آوری
توضیحات مهاجم باعث می‌شود عامل پیام‌هایی حاوی داده‌های حساس ارسال کند
بردار حمله تزریق پرامپت که عامل را وادار می‌کند به مهاجم پیام دهد
مؤلفه‌های تحت تأثیر ابزار پیام، یکپارچه‌سازی‌های کانال
راهکارهای فعلی کاهش خطر اعمال دروازه کنترلی بر پیام‌رسانی خروجی
ریسک باقی‌مانده متوسط - ممکن است دروازه کنترلی دور زده شود
توصیه‌ها تأیید صریح برای گیرندگان جدید

T-EXFIL-003: جمع‌آوری اطلاعات احراز هویت

ویژگی مقدار
شناسه ATLAS AML.T0009 - جمع‌آوری
توضیحات Skill مخرب، اطلاعات احراز هویت را از بافت عامل جمع‌آوری می‌کند
بردار حمله کد Skill متغیرهای محیطی و فایل‌های پیکربندی را می‌خواند
مؤلفه‌های تحت تأثیر محیط اجرای Skill
راهکارهای فعلی کاهش خطر اسکن الگوهای اطلاعات احراز هویت در ClawHub (اسرار کدنویسی‌شده، دسترسی به متغیرهای محیطی حاوی اطلاعات احراز هویت همراه با ارسال شبکه‌ای)؛ نبود محیط ایزوله اجرایی برای Skillها هنگام اجرا
ریسک باقی‌مانده بحرانی - Skillها با امتیازات عامل اجرا می‌شوند
توصیه‌ها اجرای Skillها در محیط ایزوله، جداسازی اطلاعات احراز هویت

۳.۸ تأثیر (AML.TA0011)

T-IMPACT-001: اجرای غیرمجاز فرمان

ویژگی مقدار
شناسه ATLAS AML.T0031 - تضعیف یکپارچگی مدل هوش مصنوعی
توضیحات مهاجم فرمان‌های دلخواه را روی سامانه کاربر اجرا می‌کند
بردار حمله تزریق پرامپت همراه با دور زدن تأیید اجرای فرمان
مؤلفه‌های تحت تأثیر ابزار Bash، اجرای فرمان
راهکارهای فعلی کاهش خطر تأییدهای اجرا، گزینه محیط ایزوله Docker (پشتانه پیش‌فرض زمان اجرا)
ریسک باقی‌مانده بحرانی - وقتی محیط ایزوله غیرفعال باشد، اجرای فرمان روی میزبان امکان‌پذیر است
توصیه‌ها تجربه کاربری تأیید را بهبود دهید؛ استقرارهایی که محیط ایزوله در آن‌ها غیرفعال است، انتخاب آگاهانه راهبر باقی می‌مانند و مستند شده‌اند

T-IMPACT-002: اتمام منابع (DoS)

ویژگی مقدار
شناسه ATLAS AML.T0031 - تضعیف یکپارچگی مدل هوش مصنوعی
توضیحات مهاجم اعتبار API یا منابع محاسباتی را تمام می‌کند
بردار حمله سیل خودکار پیام‌ها، فراخوانی ابزارهای پرهزینه
مؤلفه‌های تحت تأثیر Gateway، نشست‌های عامل، ارائه‌دهنده API
راهکارهای فعلی کاهش خطر هیچ‌کدام
ریسک باقی‌مانده زیاد - برای هر فرستنده محدودیت نرخ وجود ندارد
توصیه‌ها محدودیت نرخ برای هر فرستنده، بودجه‌های هزینه‌ای

T-IMPACT-003: آسیب به اعتبار

ویژگی مقدار
شناسه ATLAS AML.T0031 - تضعیف یکپارچگی مدل هوش مصنوعی
توضیحات مهاجم باعث می‌شود عامل محتوای مضر/توهین‌آمیز ارسال کند
بردار حمله تزریق پرامپت که باعث پاسخ‌های نامناسب می‌شود
مؤلفه‌های تحت تأثیر تولید خروجی، پیام‌رسانی کانال
راهکارهای فعلی کاهش خطر سیاست‌های محتوایی ارائه‌دهنده LLM
ریسک باقی‌مانده متوسط - فیلترهای ارائه‌دهنده بی‌نقص نیستند
توصیه‌ها لایه پالایش خروجی، کنترل‌های کاربر

۴. تحلیل زنجیره تأمین ClawHub

۴.۱ کنترل‌های امنیتی فعلی

کنترل پیاده‌سازی اثربخشی
قدمت حساب GitHub requireGitHubAccountAge() (حداقل ۱۴ روز) متوسط - سطح دشواری را برای مهاجمان جدید افزایش می‌دهد
پاک‌سازی مسیر sanitizePath() بالا - از پیمایش مسیر جلوگیری می‌کند
اعتبارسنجی نوع فایل isTextFile() متوسط - فقط فایل‌های متنی اسکن می‌شوند، اما همچنان قابل سوءاستفاده است
محدودیت‌های اندازه مجموع بسته ۵۰ مگابایت (MAX_PUBLISH_TOTAL_BYTES) بالا - از اتمام منابع جلوگیری می‌کند
الزامی بودن SKILL.md راهنمای اجباری هنگام انتشار ارزش امنیتی پایین - صرفاً اطلاع‌رسانی
اسکن ایستا و مجاور AST موتور الگو برای پوشش اجرا، استخراج داده، برداشت اعتبارنامه، مبهم‌سازی و موارد دیگر متوسط تا بالا - بسیاری از الگوهای شناخته‌شده سوءاستفاده را پوشش می‌دهد، اما همچنان مبتنی بر الگو است
بازبینی عامل‌محور ریسک مبتنی بر LLM صدور حکم هنگام انتشار با استفاده از پرامپت امنیتی متوسط تا بالا - رفتارهایی را شناسایی می‌کند که الگوهای ایستا از دست می‌دهند
اسکن VirusTotal به جریان‌های انتشار و اسکن مجدد Skills و انتشار بسته متصل است و به کلید API اپراتور وابسته است در صورت فعال بودن بالا - تشخیص با موتور ایستا
وضعیت نظارت فیلد moderationStatus متوسط - بازبینی دستی امکان‌پذیر است

۴.۲ محدودیت‌های نظارت

اسکن ایستای ClawHub محتوای کد Skills را مستقیماً بررسی می‌کند (نه فقط نامک/فراداده/frontmatter) و فراخوانی‌های اجرایی خطرناک، اجرای پویای کد، برداشت اعتبارنامه، الگوهای استخراج داده، بارهای مبهم‌سازی‌شده و موارد دیگر را پوشش می‌دهد. کاستی‌های شناخته‌شده:

  • تشخیص مبتنی بر الگو همچنان ممکن است با مبهم‌سازی به‌اندازه کافی نوآورانه دور زده شود.
  • بازبینی مبتنی بر LLM و اسکن VirusTotal به فعال بودن کلیدهای API و پیکربندی سمت اپراتور وابسته‌اند.
  • پس از نصب، هیچ محیط اجرای ایزوله‌ای یک Skill را از امتیازهای خود عامل جدا نمی‌کند.

۴.۳ نشان‌ها

Skills و بسته‌ها نشان‌های تخصیص‌یافته توسط ناظر را دارند: highlighted، official، deprecated، redactionApproved (فقط Skills). گزارش‌دهی جامعه (skillReports) و ثبت ممیزی (auditLogs) از گردش‌کارهای نظارت پشتیبانی می‌کنند.


۵. ماتریس ریسک

۵.۱ احتمال در برابر تأثیر

شناسه تهدید احتمال تأثیر سطح ریسک اولویت
T-EXEC-001 بالا بحرانی بحرانی P0
T-PERSIST-001 بالا بحرانی بحرانی P0
T-EXFIL-003 متوسط بحرانی بحرانی P0
T-IMPACT-001 متوسط بحرانی بالا P1
T-EXEC-002 بالا بالا بالا P1
T-EXEC-004 متوسط بالا بالا P1
T-ACCESS-003 متوسط بالا بالا P1
T-EXFIL-001 متوسط بالا بالا P1
T-IMPACT-002 بالا متوسط بالا P1
T-EVADE-001 بالا متوسط متوسط P2
T-ACCESS-001 پایین بالا متوسط P2
T-ACCESS-002 پایین بالا متوسط P2
T-PERSIST-002 پایین بالا متوسط P2

۵.۲ زنجیره‌های حمله در مسیر بحرانی

زنجیره ۱: سرقت داده مبتنی بر Skill

text
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003(انتشار Skill مخرب) → (دور زدن نظارت) → (برداشت اعتبارنامه‌ها)

زنجیره ۲: تزریق پرامپت تا اجرای کد از راه دور

text
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001(تزریق پرامپت) → (دور زدن تأیید اجرا) → (اجرای فرمان‌ها)

زنجیره ۳: تزریق غیرمستقیم از طریق محتوای دریافت‌شده

text
T-EXEC-002 → T-EXFIL-001 → استخراج خارجی داده(مسموم‌سازی محتوای URL) → (عامل محتوا را دریافت و دستورها را دنبال می‌کند) → (داده برای مهاجم ارسال می‌شود)

۶. خلاصه توصیه‌ها

۶.۱ فوری (P0)

شناسه توصیه تهدیدهای تحت پوشش
R-002 پیاده‌سازی محیط اجرای ایزوله برای Skills T-PERSIST-001, T-EXFIL-003
R-003 افزودن اعتبارسنجی خروجی برای اقدامات حساس T-EXEC-001, T-EXEC-002

۶.۲ کوتاه‌مدت (P1)

شناسه توصیه تهدیدهای تحت پوشش
R-004 پیاده‌سازی محدودسازی نرخ برای هر فرستنده T-IMPACT-002
R-005 افزودن رمزنگاری توکن‌ها در حالت ذخیره‌شده T-ACCESS-003
R-006 بهبود تجربه کاربری تأیید اجرا و ادامه گسترش عادی‌سازی فرمان‌ها T-EXEC-004
R-007 پیاده‌سازی فهرست مجاز URL برای web_fetch T-EXFIL-001

۶.۳ میان‌مدت (P2)

شناسه توصیه تهدیدهای تحت پوشش
R-008 افزودن راستی‌آزمایی رمزنگاری‌شده کانال در صورت امکان T-ACCESS-002
R-009 پیاده‌سازی راستی‌آزمایی یکپارچگی پیکربندی T-PERSIST-003
R-010 افزودن امضای به‌روزرسانی و تثبیت نسخه T-PERSIST-002

۷. پیوست‌ها

۷.۱ نگاشت فنون ATLAS

شناسه ATLAS نام فن تهدیدهای OpenClaw
AML.T0006 اسکن فعال T-RECON-001, T-RECON-002
AML.T0009 گردآوری T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001 زنجیره تأمین: نرم‌افزار هوش مصنوعی T-PERSIST-001, T-PERSIST-002
AML.T0010.002 زنجیره تأمین: داده T-PERSIST-003
AML.T0031 تضعیف یکپارچگی مدل هوش مصنوعی T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040 دسترسی به API استنتاج مدل هوش مصنوعی T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043 ساخت داده خصمانه T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000 تزریق پرامپت LLM: مستقیم T-EXEC-001, T-EXEC-003
AML.T0051.001 تزریق پرامپت LLM: غیرمستقیم T-EXEC-002

۷.۲ فایل‌های کلیدی امنیتی

مسیر هدف سطح ریسک
src/infra/exec-approvals.ts منطق تأیید فرمان بحرانی
src/gateway/auth.ts احراز هویت Gateway بحرانی
src/infra/net/ssrf.ts محافظت در برابر SSRF بحرانی
src/security/external-content.ts کاهش مخاطرات تزریق پرامپت بحرانی
src/agents/sandbox/tool-policy.ts سیاست مجاز/غیرمجاز ابزارهای محیط ایزوله بحرانی
src/routing/resolve-route.ts جداسازی نشست / مسیریابی متوسط

۷.۳ واژه‌نامه

اصطلاح تعریف
ATLAS چشم‌انداز تهدیدهای خصمانه MITRE برای سامانه‌های هوش مصنوعی
ClawHub بازار Skills در OpenClaw
Gateway لایه مسیریابی پیام و احراز هویت OpenClaw
MCP پروتکل زمینه مدل - رابط ارائه‌دهنده ابزار
تزریق پرامپت حمله‌ای که در آن دستورهای مخرب در ورودی جاسازی می‌شوند
Skill افزونه قابل دانلود برای عامل‌های OpenClaw
SSRF جعل درخواست سمت سرور

این مدل تهدید سندی زنده است. مشکلات امنیتی را به security@openclaw.ai گزارش دهید یا صفحه اعتماد را ببینید.

مرتبط

Was this useful?
On this page

On this page