Versi: 1.0-draft | Kerangka kerja:MITRE ATLAS (Lanskap Ancaman Adversarial untuk Sistem AI) + diagram aliran data
Model ancaman ini mendokumentasikan ancaman adversarial terhadap platform agen AI OpenClaw dan lokapasar keterampilan ClawHub. Dokumen ini terus diperbarui dan dikelola oleh komunitas OpenClaw. Lihat Berkontribusi pada model ancaman untuk mengetahui cara melaporkan ancaman baru, mengusulkan rantai serangan, atau menyarankan mitigasi.
WhatsApp, Telegram, Discord, Signal, Slack, dan lainnya
Lokapasar ClawHub
Ya
Penerbitan, moderasi, dan distribusi keterampilan
Server MCP
Ya
Penyedia alat eksternal
Perangkat pengguna
Sebagian
Aplikasi seluler, klien desktop
Laporan di luar cakupan dan pola positif palsu (paparan ke internet publik, rantai yang hanya berupa injeksi prompt tanpa melewati batas, operator yang tidak saling memercayai berbagi satu hos Gateway, dan lainnya) dicantumkan dalam SECURITY.md; berkas tersebut merupakan sumber kebenaran terkini untuk cakupan laporan kerentanan, bukan halaman ini.
Tinggi - token disimpan sebagai teks biasa pada disk
Rekomendasi
Terapkan enkripsi token saat tersimpan, tambahkan rotasi token
3.3 Eksekusi (AML.TA0005)
T-EXEC-001: Injeksi prompt langsung
Atribut
Nilai
ID ATLAS
AML.T0051.000 - Injeksi Prompt LLM: Langsung
Deskripsi
Penyerang mengirim prompt yang dirancang untuk memanipulasi perilaku agen
Vektor serangan
Pesan saluran yang berisi instruksi berbahaya
Komponen terdampak
LLM agen, semua permukaan input
Mitigasi saat ini
Deteksi pola, pembungkusan konten eksternal; dianggap di luar cakupan laporan kerentanan jika tidak ada penerobosan batas (lihat SECURITY.md)
Risiko tersisa
Kritis - hanya mendeteksi, tanpa pemblokiran; serangan canggih dapat melewatinya
Rekomendasi
Validasi output dan konfirmasi pengguna untuk tindakan sensitif, sebagai lapisan tambahan di atas deteksi yang ada
T-EXEC-002: Injeksi prompt tidak langsung
Atribut
Nilai
ID ATLAS
AML.T0051.001 - Injeksi Prompt LLM: Tidak Langsung
Deskripsi
Penyerang menyisipkan instruksi berbahaya dalam konten yang diambil
Vektor serangan
URL berbahaya, surel yang diracuni, Webhook yang disusupi
Komponen terdampak
web_fetch, penyerapan surel, sumber data eksternal
Mitigasi saat ini
Pembungkusan konten dengan penanda bergaya XML berbatas acak, normalisasi homoglif/token khusus, dan pemberitahuan keamanan
Risiko tersisa
Tinggi - LLM mungkin masih mengabaikan instruksi pembungkus
Rekomendasi
Konteks eksekusi terpisah untuk konten yang dibungkus
T-EXEC-003: Injeksi argumen alat
Atribut
Nilai
ID ATLAS
AML.T0051.000 - Injeksi Prompt LLM: Langsung
Deskripsi
Penyerang memanipulasi argumen alat melalui injeksi prompt
Vektor serangan
Prompt yang dirancang untuk memengaruhi nilai parameter alat
Komponen terdampak
Semua pemanggilan alat
Mitigasi saat ini
Persetujuan eksekusi untuk perintah berbahaya
Risiko tersisa
Tinggi - bergantung pada penilaian pengguna
Rekomendasi
Validasi argumen, pemanggilan alat berparameter
T-EXEC-004: Penerobosan persetujuan eksekusi
Atribut
Nilai
ID ATLAS
AML.T0043 - Membuat Data Berbahaya
Deskripsi
Penyerang membuat perintah yang menerobos daftar izin persetujuan
Vektor serangan
Pengaburan perintah, eksploitasi alias, manipulasi jalur
Komponen terdampak
src/infra/exec-approvals*.ts, daftar izin perintah
Mitigasi saat ini
Daftar izin + mode tanya, serta normalisasi perintah (penguraian pembungkus pengiriman, deteksi evaluasi sebaris, analisis rantai shell)
Risiko tersisa
Tinggi - normalisasi mempersempit tetapi tidak menghilangkan penerobosan melalui pengaburan; temuan yang hanya terkait kesetaraan antarjalur eksekusi dianggap sebagai penguatan, bukan kerentanan (lihat SECURITY.md)
Rekomendasi
Terus perluas cakupan normalisasi perintah untuk menghadapi teknik pengaburan baru
3.4 Persistensi (AML.TA0006)
T-PERSIST-001: Instalasi skill berbahaya
Atribut
Nilai
ID ATLAS
AML.T0010.001 - Penyusupan Rantai Pasok: Perangkat Lunak AI
Deskripsi
Penyerang menerbitkan skill berbahaya ke ClawHub
Vektor serangan
Membuat akun, menerbitkan skill dengan kode berbahaya tersembunyi
Komponen terdampak
ClawHub, pemuatan skill, eksekusi agen
Mitigasi saat ini
Verifikasi usia akun GitHub, pemindaian pola statis/yang berdekatan dengan AST, peninjauan risiko agentik berbasis LLM, pemindaian VirusTotal
Risiko tersisa
Tinggi - lapisan deteksi tersedia, tetapi skill tetap berjalan dengan hak istimewa agen dan tanpa sandbox eksekusi
Penanda bergaya XML dengan batas acak + pemberitahuan keamanan, serta deteksi pemalsuan penanda dengan varian homoglif/spasi
Risiko tersisa
Sedang - teknik pelolosan baru ditemukan secara berkala
Rekomendasi
Validasi sisi keluaran selain pembungkusan sisi masukan
3.6 Penemuan (AML.TA0008)
T-DISC-001: Enumerasi alat
Atribut
Nilai
ID ATLAS
AML.T0040 - Akses API Inferensi Model AI
Deskripsi
Penyerang menginventarisasi alat yang tersedia melalui prompt
Vektor serangan
Kueri bergaya "Alat apa yang Anda miliki?"
Komponen terdampak
Registri alat agen
Mitigasi saat ini
Tidak ada yang spesifik
Risiko tersisa
Rendah - alat umumnya didokumentasikan
Rekomendasi
Pertimbangkan kontrol visibilitas alat
T-DISC-002: Ekstraksi data sesi
Atribut
Nilai
ID ATLAS
AML.T0040 - Akses API Inferensi Model AI
Deskripsi
Penyerang mengekstrak data sensitif dari konteks sesi
Vektor serangan
Kueri "Apa yang telah kita bahas?", penyelidikan konteks
Komponen terdampak
Transkrip sesi, jendela konteks
Mitigasi saat ini
Isolasi sesi per pengirim (kunci agent:channel:peer)
Risiko tersisa
Sedang - data dalam sesi dapat diakses berdasarkan rancangan
Rekomendasi
Redaksi data sensitif dalam konteks
3.7 Pengumpulan dan eksfiltrasi (AML.TA0009, AML.TA0010)
T-EXFIL-001: Pencurian data melalui web_fetch
Atribut
Nilai
ID ATLAS
AML.T0009 - Pengumpulan
Deskripsi
Penyerang mengeksfiltrasi data dengan menginstruksikan agen untuk mengirimkannya ke URL eksternal
Vektor serangan
Injeksi prompt yang menyebabkan agen melakukan POST data ke server penyerang
Komponen terdampak
Alat web_fetch
Mitigasi saat ini
Pemblokiran SSRF untuk jaringan internal/privat (penguncian DNS + pemblokiran IP)
Risiko tersisa
Tinggi - URL eksternal arbitrer tetap diizinkan
Rekomendasi
Daftar izin URL, kesadaran klasifikasi data
T-EXFIL-002: Pengiriman pesan tanpa izin
Atribut
Nilai
ID ATLAS
AML.T0009 - Pengumpulan
Deskripsi
Penyerang menyebabkan agen mengirim pesan yang berisi data sensitif
Vektor serangan
Injeksi prompt yang menyebabkan agen mengirim pesan kepada penyerang
Komponen terdampak
Alat pesan, integrasi saluran
Mitigasi saat ini
Pembatasan pengiriman pesan keluar
Risiko tersisa
Sedang - pembatasan mungkin dapat dilewati
Rekomendasi
Konfirmasi eksplisit untuk penerima baru
T-EXFIL-003: Pemanenan kredensial
Atribut
Nilai
ID ATLAS
AML.T0009 - Pengumpulan
Deskripsi
Skills berbahaya memanen kredensial dari konteks agen
Vektor serangan
Kode Skills membaca variabel lingkungan dan berkas konfigurasi
Komponen terdampak
Lingkungan eksekusi Skills
Mitigasi saat ini
Pemindaian pola kredensial ClawHub (rahasia yang ditanam langsung, akses variabel lingkungan kredensial yang dipasangkan dengan pengiriman jaringan); tidak ada sandbox eksekusi untuk Skills saat runtime
Risiko tersisa
Kritis - Skills berjalan dengan hak istimewa agen
Rekomendasi
Sandbox eksekusi Skills, isolasi kredensial
3.8 Dampak (AML.TA0011)
T-IMPACT-001: Eksekusi perintah tanpa izin
Atribut
Nilai
ID ATLAS
AML.T0031 - Mengikis Integritas Model AI
Deskripsi
Penyerang mengeksekusi perintah arbitrer pada sistem pengguna
Vektor serangan
Injeksi prompt yang digabungkan dengan pengelakan persetujuan eksekusi
Kritis - eksekusi pada host dimungkinkan ketika sandbox dinonaktifkan
Rekomendasi
Tingkatkan pengalaman pengguna untuk persetujuan; penerapan tanpa sandbox tetap menjadi pilihan operator yang disengaja dan didokumentasikan sebagaimana mestinya
T-IMPACT-002: Pengurasan sumber daya (DoS)
Atribut
Nilai
ID ATLAS
AML.T0031 - Mengikis Integritas Model AI
Deskripsi
Penyerang menghabiskan kredit API atau sumber daya komputasi
Vektor serangan
Pembanjiran pesan otomatis, pemanggilan alat yang mahal
Komponen terdampak
Gateway, sesi agen, penyedia API
Mitigasi saat ini
Tidak ada
Risiko tersisa
Tinggi - tidak ada pembatasan laju per pengirim
Rekomendasi
Batas laju per pengirim, anggaran biaya
T-IMPACT-003: Kerusakan reputasi
Atribut
Nilai
ID ATLAS
AML.T0031 - Mengikis Integritas Model AI
Deskripsi
Penyerang menyebabkan agen mengirim konten yang berbahaya/ofensif
Vektor serangan
Injeksi prompt yang menyebabkan respons tidak pantas
Komponen terdampak
Pembuatan keluaran, pengiriman pesan melalui saluran
Mitigasi saat ini
Kebijakan konten penyedia LLM
Risiko tersisa
Sedang - filter penyedia tidak sempurna
Rekomendasi
Lapisan pemfilteran keluaran, kontrol pengguna
4. Analisis rantai pasok ClawHub
4.1 Kontrol keamanan saat ini
Kontrol
Implementasi
Efektivitas
Usia akun GitHub
requireGitHubAccountAge() (minimum 14 hari)
Sedang - meningkatkan hambatan bagi penyerang baru
Sanitasi jalur
sanitizePath()
Tinggi - mencegah traversal jalur
Validasi jenis berkas
isTextFile()
Sedang - hanya berkas teks yang dipindai, tetapi masih dapat dieksploitasi
Batas ukuran
Total bundel 50 MB (MAX_PUBLISH_TOTAL_BYTES)
Tinggi - mencegah pengurasan sumber daya
SKILL.md wajib
README wajib saat publikasi
Nilai keamanan rendah - hanya bersifat informatif
Pemindaian statis + berdekatan dengan AST
Mesin pola yang mencakup eksekusi, eksfiltrasi, pengambilan kredensial, obfuskasi, dan lainnya
Sedang-Tinggi - mencakup banyak pola penyalahgunaan yang diketahui, tetapi masih berbasis pola
Tinjauan risiko agentik berbasis LLM
Putusan berbasis perintah keamanan saat publikasi
Sedang-Tinggi - menangkap perilaku yang terlewat oleh pola statis
Pemindaian VirusTotal
Terhubung ke alur publikasi/pemindaian ulang Skills dan rilis paket, bergantung pada kunci API operator
Tinggi saat diaktifkan - deteksi mesin statis
Status moderasi
Bidang moderationStatus
Sedang - memungkinkan peninjauan manual
4.2 Keterbatasan moderasi
Pemindaian statis ClawHub memeriksa konten kode Skills secara langsung (bukan hanya slug/metadata/frontmatter), yang mencakup panggilan eksekusi berbahaya, eksekusi kode dinamis, pengambilan kredensial, pola eksfiltrasi, muatan yang diobfuskasi, dan lainnya. Kesenjangan yang diketahui:
Deteksi berbasis pola masih dapat dilewati dengan obfuskasi yang cukup baru.
Tinjauan berbasis LLM dan pemindaian VirusTotal bergantung pada pengaktifan kunci API/konfigurasi di sisi operator.
Tidak ada sandbox eksekusi runtime yang mengisolasi Skills dari hak akses agen itu sendiri setelah diinstal.
4.3 Lencana
Skills dan paket memiliki lencana yang ditetapkan moderator: highlighted, official, deprecated, redactionApproved (khusus Skills). Pelaporan komunitas (skillReports) dan pencatatan audit (auditLogs) mendukung alur kerja moderasi.