Version : 1.0-draft | Cadre :MITRE ATLAS (paysage des menaces adverses pour les systèmes d’IA) + diagrammes de flux de données
Ce modèle de menace documente les menaces adverses visant la plateforme d’agents IA OpenClaw et la place de marché de compétences ClawHub. Il s’agit d’un document évolutif maintenu par la communauté OpenClaw. Consultez Contribuer au modèle de menace pour savoir comment signaler de nouvelles menaces, proposer des chaînes d’attaque ou suggérer des mesures d’atténuation.
Exécution principale de l’agent, appels d’outils, sessions
Gateway
Oui
Authentification, routage, intégration des canaux
Intégrations de canaux
Oui
WhatsApp, Telegram, Discord, Signal, Slack, etc.
Place de marché ClawHub
Oui
Publication, modération et distribution des compétences
Serveurs MCP
Oui
Fournisseurs d’outils externes
Appareils des utilisateurs
Partiellement
Applications mobiles, clients de bureau
Les signalements hors périmètre et les types de faux positifs (exposition à l’Internet public, chaînes reposant uniquement sur l’injection de prompt sans contournement d’une frontière, opérateurs mutuellement non fiables partageant un même hôte Gateway, entre autres) sont répertoriés dans SECURITY.md ; ce fichier constitue la source de référence actuelle concernant le périmètre des signalements de vulnérabilités, et non cette page.
T-RECON-001 : Découverte des points de terminaison de l’agent
Attribut
Valeur
Identifiant ATLAS
AML.T0006 - Analyse active
Description
L’attaquant recherche des points de terminaison Gateway OpenClaw exposés
Vecteur d’attaque
Analyse du réseau, requêtes Shodan, énumération DNS
Composants affectés
Gateway, points de terminaison d’API exposés
Mesures d’atténuation actuelles
Option d’authentification Tailscale, liaison à local loopback par défaut
Risque résiduel
Moyen - les Gateway publics peuvent être découverts
Recommandations
Documenter le déploiement sécurisé, limiter le débit sur les points de terminaison de découverte
T-RECON-002 : Sondage des intégrations de canaux
Attribut
Valeur
Identifiant ATLAS
AML.T0006 - Analyse active
Description
L’attaquant sonde les canaux de messagerie pour identifier les comptes gérés par une IA
Vecteur d’attaque
Envoi de messages de test, observation des schémas de réponse
Composants affectés
Toutes les intégrations de canaux
Mesures d’atténuation actuelles
Aucune mesure spécifique
Risque résiduel
Faible - la découverte seule présente une valeur limitée
Recommandations
Envisager de rendre aléatoire le délai des réponses
3.2 Accès initial (AML.TA0004)
T-ACCESS-001 : Interception du code d’appairage
Attribut
Valeur
ID ATLAS
AML.T0040 - Accès à l’API d’inférence de modèle d’IA
Description
L’attaquant intercepte un code d’appairage pendant la fenêtre d’appairage (1 h pour les MP/l’appairage générique, 5 min pour l’appairage de Node)
Vecteur d’attaque
Observation par-dessus l’épaule, interception du trafic réseau, ingénierie sociale
Composants affectés
Système d’appairage des appareils
Mesures actuelles
Durée de vie de 1 h (MP/appairage générique), de 5 min (appairage de Node) ; codes envoyés via le canal existant
Risque résiduel
Moyen - la fenêtre d’appairage est exploitable
Recommandations
Réduire la fenêtre d’appairage, ajouter une étape de confirmation
T-ACCESS-002 : Usurpation d’AllowFrom
Attribut
Valeur
ID ATLAS
AML.T0040 - Accès à l’API d’inférence de modèle d’IA
Description
L’attaquant usurpe l’identité d’un expéditeur autorisé sur un canal
Vecteur d’attaque
Selon le canal - usurpation de numéro de téléphone ou de nom d’utilisateur
Composants affectés
Validation d’AllowFrom propre à chaque canal
Mesures actuelles
Vérification de l’identité propre au canal
Risque résiduel
Moyen - certains canaux restent vulnérables à l’usurpation
Recommandations
Documenter les risques propres à chaque canal, ajouter une vérification cryptographique si possible
T-ACCESS-003 : Vol de jetons
Attribut
Valeur
ID ATLAS
AML.T0040 - Accès à l’API d’inférence de modèle d’IA
Description
L’attaquant vole des jetons d’authentification dans des fichiers de configuration/d’identifiants
Vecteur d’attaque
Logiciel malveillant, accès non autorisé à l’appareil, exposition d’une sauvegarde de configuration
Composants affectés
Stockage des identifiants des canaux/fournisseurs, stockage de la configuration
Mesures actuelles
Autorisations des fichiers
Risque résiduel
Élevé - les jetons sont stockés en clair sur le disque
Recommandations
Mettre en œuvre le chiffrement des jetons au repos, ajouter la rotation des jetons
3.3 Exécution (AML.TA0005)
T-EXEC-001 : Injection directe dans le prompt
Attribut
Valeur
ID ATLAS
AML.T0051.000 - Injection dans le prompt du LLM : directe
Description
L’attaquant envoie des prompts conçus pour manipuler le comportement de l’agent
Vecteur d’attaque
Messages de canal contenant des instructions hostiles
Composants affectés
LLM de l’agent, toutes les surfaces d’entrée
Mesures actuelles
Détection de motifs, encapsulation du contenu externe ; considérée hors périmètre des rapports de vulnérabilité en l’absence de contournement d’une frontière (voir SECURITY.md)
Risque résiduel
Critique - détection uniquement, sans blocage ; les attaques sophistiquées la contournent
Recommandations
Validation des sorties et confirmation de l’utilisateur pour les actions sensibles, en complément de la détection existante
T-EXEC-002 : Injection indirecte dans le prompt
Attribut
Valeur
ID ATLAS
AML.T0051.001 - Injection dans le prompt du LLM : indirecte
Description
L’attaquant intègre des instructions malveillantes dans du contenu récupéré
web_fetch, ingestion d’e-mails, sources de données externes
Mesures actuelles
Encapsulation du contenu avec des marqueurs de style XML à délimiteurs aléatoires, normalisation des homoglyphes/jetons spéciaux et avertissement de sécurité
Risque résiduel
Élevé - le LLM peut malgré tout ignorer les instructions d’encapsulation
Recommandations
Séparer les contextes d’exécution pour le contenu encapsulé
T-EXEC-003 : Injection d’arguments d’outil
Attribut
Valeur
ID ATLAS
AML.T0051.000 - Injection dans le prompt du LLM : directe
Description
L’attaquant manipule les arguments des outils par injection dans le prompt
Vecteur d’attaque
Prompts conçus pour influencer les valeurs des paramètres des outils
Composants affectés
Tous les appels d’outils
Mesures actuelles
Approbations d’exécution pour les commandes dangereuses
Risque résiduel
Élevé - repose sur le jugement de l’utilisateur
Recommandations
Validation des arguments, appels d’outils paramétrés
T-EXEC-004 : Contournement de l’approbation d’exécution
Attribut
Valeur
ID ATLAS
AML.T0043 - Création de données hostiles
Description
L’attaquant conçoit des commandes qui contournent la liste d’autorisation des approbations
Vecteur d’attaque
Obscurcissement des commandes, exploitation d’alias, manipulation des chemins
Composants affectés
src/infra/exec-approvals*.ts, liste d’autorisation des commandes
Mesures actuelles
Liste d’autorisation + mode de demande, ainsi que normalisation des commandes (désencapsulation des enveloppes de répartition, détection de l’évaluation en ligne, analyse des chaînes de commandes shell)
Risque résiduel
Élevé - la normalisation réduit les possibilités de contournement par obscurcissement sans les éliminer ; les constats portant uniquement sur la parité entre les chemins d’exécution sont considérés comme du renforcement, et non comme des vulnérabilités (voir SECURITY.md)
Recommandations
Continuer à étendre la couverture de la normalisation des commandes face aux nouvelles techniques d’obscurcissement
3.4 Persistance (AML.TA0006)
T-PERSIST-001 : Installation d’une Skill malveillante
Attribut
Valeur
ID ATLAS
AML.T0010.001 - Compromission de la chaîne d’approvisionnement : logiciel d’IA
Description
L’attaquant publie une Skill malveillante sur ClawHub
Vecteur d’attaque
Créer un compte, publier une Skill contenant du code malveillant dissimulé
Composants affectés
ClawHub, chargement des Skills, exécution de l’agent
Mesures actuelles
Vérification de l’ancienneté du compte GitHub, analyse statique de motifs/proche de l’AST, évaluation agentique des risques par LLM, analyse VirusTotal
Risque résiduel
Élevé - des couches de détection existent, mais les Skills s’exécutent toujours avec les privilèges de l’agent et sans bac à sable d’exécution
Recommandations
Exécution des Skills dans un bac à sable, élargissement de l’évaluation communautaire
T-PERSIST-002 : Empoisonnement d’une mise à jour de Skill
Attribut
Valeur
ID ATLAS
AML.T0010.001 - Compromission de la chaîne d’approvisionnement : logiciel d’IA
Description
L’attaquant compromet une Skill populaire et publie une mise à jour malveillante
Vecteur d’attaque
Compromission du compte, ingénierie sociale visant le propriétaire de la Skill
Composants affectés
Gestion des versions de ClawHub, processus de mise à jour automatique
Mesures actuelles
Empreinte des versions, nouvelle exécution de la modération/de l’analyse pour les nouvelles versions
Risque résiduel
Élevé - les mises à jour automatiques peuvent récupérer des versions malveillantes avant la fin de l’évaluation
Recommandations
Signature des mises à jour, capacité de restauration, épinglage des versions
T-PERSIST-003 : Altération de la configuration de l’agent
Attribut
Valeur
ID ATLAS
AML.T0010.002 - Compromission de la chaîne d’approvisionnement : données
Description
L’attaquant modifie la configuration de l’agent pour maintenir son accès
Vecteur d’attaque
Modification du fichier de configuration, injection de paramètres
Composants affectés
Configuration de l’agent, politiques des outils
Mesures actuelles
Autorisations des fichiers
Risque résiduel
Moyen — nécessite un accès local
Recommandations
Vérification de l’intégrité de la configuration, journalisation d’audit des modifications de configuration
3.5 Contournement des défenses (AML.TA0007)
T-EVADE-001 : Contournement des mécanismes de modération
Attribut
Valeur
ID ATLAS
AML.T0043 - Création de données adversariales
Description
L’attaquant conçoit le contenu d’une skill afin de contourner les contrôles de modération de ClawHub
Règles de motifs statiques, analyse de code proche de l’AST, examen des risques agentiques par LLM, VirusTotal
Risque résiduel
Moyen — de nouvelles techniques d’obscurcissement peuvent encore échapper aux heuristiques multicouches
Recommandations
Continuer à enrichir le corpus de motifs et de comportements à mesure que de nouveaux contournements sont découverts
T-EVADE-002 : Échappement de l’enveloppe de contenu
Attribut
Valeur
ID ATLAS
AML.T0043 - Création de données adversariales
Description
L’attaquant conçoit un contenu qui s’échappe du contexte de l’enveloppe de contenu externe
Vecteur d’attaque
Manipulation des balises, confusion du contexte, substitution des instructions
Composants affectés
Encapsulation du contenu externe
Mesures actuelles
Marqueurs de style XML à délimiteurs aléatoires et avis de sécurité, ainsi que détection de l’usurpation de marqueurs par homoglyphes ou variantes d’espacement
Risque résiduel
Moyen — de nouvelles techniques d’échappement sont régulièrement découvertes
Recommandations
Validation des sorties en complément de l’encapsulation des entrées
3.6 Découverte (AML.TA0008)
T-DISC-001 : Énumération des outils
Attribut
Valeur
ID ATLAS
AML.T0040 - Accès à l’API d’inférence du modèle d’IA
Description
L’attaquant énumère les outils disponibles au moyen de prompts
Vecteur d’attaque
Requêtes du type « De quels outils disposez-vous ? »
Composants affectés
Registre des outils de l’agent
Mesures actuelles
Aucune mesure spécifique
Risque résiduel
Faible — les outils sont généralement documentés
Recommandations
Envisager des contrôles de visibilité des outils
T-DISC-002 : Extraction des données de session
Attribut
Valeur
ID ATLAS
AML.T0040 - Accès à l’API d’inférence du modèle d’IA
Description
L’attaquant extrait des données sensibles du contexte de session
Vecteur d’attaque
Requêtes du type « De quoi avons-nous discuté ? », exploration du contexte
Composants affectés
Transcriptions de session, fenêtre de contexte
Mesures actuelles
Isolation des sessions par expéditeur (clé agent:channel:peer)
Risque résiduel
Moyen — les données de la session sont accessibles par conception
Recommandations
Caviardage des données sensibles dans le contexte
3.7 Collecte et exfiltration (AML.TA0009, AML.TA0010)
T-EXFIL-001 : Vol de données via web_fetch
Attribut
Valeur
ID ATLAS
AML.T0009 - Collecte
Description
L’attaquant exfiltre des données en demandant à l’agent de les envoyer à une URL externe
Vecteur d’attaque
Injection de prompt amenant l’agent à envoyer des données par POST au serveur d’un attaquant
Composants affectés
Outil web_fetch
Mesures actuelles
Blocage SSRF des réseaux internes ou privés (épinglage DNS et blocage des adresses IP)
Risque résiduel
Élevé — les URL externes arbitraires restent autorisées
Recommandations
Liste d’autorisation des URL, prise en compte de la classification des données
T-EXFIL-002 : Envoi de messages non autorisé
Attribut
Valeur
ID ATLAS
AML.T0009 - Collecte
Description
L’attaquant amène l’agent à envoyer des messages contenant des données sensibles
Vecteur d’attaque
Injection de prompt amenant l’agent à envoyer un message à l’attaquant
Composants affectés
Outil de messagerie, intégrations de canaux
Mesures actuelles
Contrôle des messages sortants
Risque résiduel
Moyen — le contrôle peut être contourné
Recommandations
Confirmation explicite pour les nouveaux destinataires
T-EXFIL-003 : Collecte frauduleuse d’identifiants
Attribut
Valeur
ID ATLAS
AML.T0009 - Collecte
Description
Une skill malveillante collecte les identifiants présents dans le contexte de l’agent
Vecteur d’attaque
Le code de la skill lit les variables d’environnement et les fichiers de configuration
Composants affectés
Environnement d’exécution de la skill
Mesures actuelles
Analyse des motifs d’identifiants par ClawHub (secrets codés en dur, accès aux variables d’environnement contenant des identifiants associé à des envois réseau) ; aucune isolation de l’exécution des skills à l’exécution
Risque résiduel
Critique — les skills s’exécutent avec les privilèges de l’agent
Recommandations
Isolation de l’exécution des skills, isolation des identifiants
3.8 Impact (AML.TA0011)
T-IMPACT-001 : Exécution de commandes non autorisée
Attribut
Valeur
ID ATLAS
AML.T0031 - Dégradation de l’intégrité du modèle d’IA
Description
L’attaquant exécute des commandes arbitraires sur le système de l’utilisateur
Vecteur d’attaque
Injection de prompt combinée au contournement de l’approbation d’exécution
Composants affectés
Outil Bash, exécution de commandes
Mesures actuelles
Approbations d’exécution, option de bac à sable Docker (moteur d’exécution par défaut)
Risque résiduel
Critique — l’exécution sur l’hôte est possible lorsque le bac à sable est désactivé
Recommandations
Améliorer l’expérience utilisateur liée aux approbations ; les déploiements sans bac à sable restent un choix délibéré de l’opérateur, documenté comme tel
T-IMPACT-002 : Épuisement des ressources (déni de service)
Attribut
Valeur
ID ATLAS
AML.T0031 - Dégradation de l’intégrité du modèle d’IA
Description
L’attaquant épuise les crédits d’API ou les ressources de calcul
Vecteur d’attaque
Inondation automatisée de messages, appels d’outils coûteux
Composants affectés
Gateway, sessions de l’agent, fournisseur d’API
Mesures actuelles
Aucune
Risque résiduel
Élevé — aucune limitation du débit par expéditeur
Recommandations
Limites de débit par expéditeur, budgets de coûts
T-IMPACT-003 : Atteinte à la réputation
Attribut
Valeur
ID ATLAS
AML.T0031 - Dégradation de l’intégrité du modèle d’IA
Description
L’attaquant amène l’agent à envoyer du contenu préjudiciable ou offensant
Vecteur d’attaque
Injection de prompt entraînant des réponses inappropriées
Composants affectés
Génération des sorties, messagerie des canaux
Mesures actuelles
Politiques de contenu du fournisseur de LLM
Risque résiduel
Moyen — les filtres du fournisseur sont imparfaits
Recommandations
Couche de filtrage des sorties, contrôles utilisateur
4. Analyse de la chaîne d’approvisionnement de ClawHub
4.1 Contrôles de sécurité actuels
Contrôle
Implémentation
Efficacité
Ancienneté du compte GitHub
requireGitHubAccountAge() (minimum de 14 jours)
Moyenne — relève la barre pour les nouveaux attaquants
Assainissement des chemins
sanitizePath()
Élevée — empêche la traversée de chemins
Validation du type de fichier
isTextFile()
Moyenne — seuls les fichiers texte sont analysés, mais restent exploitables
Limites de taille
Paquet de 50 Mo au total (MAX_PUBLISH_TOTAL_BYTES)
Élevée — empêche l’épuisement des ressources
SKILL.md requis
Fichier readme obligatoire lors de la publication
Faible valeur de sécurité — uniquement informatif
Analyse statique et proche AST
Moteur de motifs couvrant l’exécution, l’exfiltration, la collecte d’identifiants, l’obfuscation, etc.
Moyenne à élevée — couvre de nombreux schémas d’abus connus, mais repose toujours sur des motifs
Évaluation agentique des risques fondée sur un LLM
Verdict guidé par une invite de sécurité lors de la publication
Moyenne à élevée — détecte les comportements que les motifs statiques manquent
Analyse VirusTotal
Intégrée aux flux de publication et de réanalyse des Skills et des versions de paquets, sous réserve de la clé API de l’opérateur
Élevée lorsqu’elle est activée — détection par moteur statique
Statut de modération
Champ moderationStatus
Moyenne — révision manuelle possible
4.2 Limites de la modération
L’analyse statique de ClawHub inspecte directement le contenu du code des Skills (et pas seulement le slug, les métadonnées ou le frontmatter), notamment les appels d’exécution dangereux, l’exécution dynamique de code, la collecte d’identifiants, les motifs d’exfiltration, les charges utiles obfusquées, etc. Lacunes connues :
La détection fondée sur des motifs peut toujours être contournée par une obfuscation suffisamment inédite.
L’évaluation fondée sur un LLM et l’analyse VirusTotal dépendent de l’activation des clés API et de la configuration du côté de l’opérateur.
Aucun bac à sable d’exécution n’isole un Skill des privilèges propres à l’agent après son installation.
4.3 Badges
Les Skills et les paquets portent des badges attribués par les modérateurs : highlighted, official, deprecated, redactionApproved (Skills uniquement). Les signalements de la communauté (skillReports) et la journalisation des audits (auditLogs) soutiennent les processus de modération.
5. Matrice des risques
5.1 Probabilité et impact
ID de menace
Probabilité
Impact
Niveau de risque
Priorité
T-EXEC-001
Élevée
Critique
Critique
P0
T-PERSIST-001
Élevée
Critique
Critique
P0
T-EXFIL-003
Moyenne
Critique
Critique
P0
T-IMPACT-001
Moyenne
Critique
Élevé
P1
T-EXEC-002
Élevée
Élevé
Élevé
P1
T-EXEC-004
Moyenne
Élevé
Élevé
P1
T-ACCESS-003
Moyenne
Élevé
Élevé
P1
T-EXFIL-001
Moyenne
Élevé
Élevé
P1
T-IMPACT-002
Élevée
Moyen
Élevé
P1
T-EVADE-001
Élevée
Moyen
Moyen
P2
T-ACCESS-001
Faible
Élevé
Moyen
P2
T-ACCESS-002
Faible
Élevé
Moyen
P2
T-PERSIST-002
Faible
Élevé
Moyen
P2
5.2 Chaînes d’attaque des chemins critiques
Chaîne 1 : vol de données par l’intermédiaire d’un Skill
text
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003(Publier un Skill malveillant) → (Contourner la modération) → (Collecter des identifiants)
Chaîne 2 : de l’injection de prompt à l’exécution de code à distance
text
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001(Injecter un prompt) → (Contourner l’approbation d’exécution) → (Exécuter des commandes)
Chaîne 3 : injection indirecte par l’intermédiaire du contenu récupéré
text
T-EXEC-002 → T-EXFIL-001 → Exfiltration externe(Empoisonner le contenu d’une URL) → (L’agent récupère et suit les instructions) → (Les données sont envoyées à l’attaquant)
6. Synthèse des recommandations
6.1 Immédiates (P0)
ID
Recommandation
Menaces traitées
R-002
Mettre en œuvre un bac à sable pour l’exécution des Skills
T-PERSIST-001, T-EXFIL-003
R-003
Ajouter une validation des sorties pour les actions sensibles
T-EXEC-001, T-EXEC-002
6.2 À court terme (P1)
ID
Recommandation
Menaces traitées
R-004
Mettre en œuvre une limitation du débit par expéditeur
T-IMPACT-002
R-005
Ajouter le chiffrement au repos des jetons
T-ACCESS-003
R-006
Améliorer l’expérience utilisateur de l’approbation d’exécution et continuer à étendre la normalisation des commandes
T-EXEC-004
R-007
Mettre en œuvre une liste d’autorisation d’URL pour web_fetch
T-EXFIL-001
6.3 À moyen terme (P2)
ID
Recommandation
Menaces traitées
R-008
Ajouter une vérification cryptographique des canaux lorsque c’est possible
T-ACCESS-002
R-009
Mettre en œuvre une vérification de l’intégrité de la configuration
T-PERSIST-003
R-010
Ajouter la signature des mises à jour et l’épinglage des versions