Security
脅威モデル(MITRE ATLAS)
Gateway & OpsSecurity
バージョン: 1.0-draft | フレームワーク: MITRE ATLAS(AI システムに対する敵対的脅威の全体像)+ データフロー図
この脅威モデルは、OpenClaw AI エージェントプラットフォームおよび ClawHub スキルマーケットプレイスに対する敵対的脅威を文書化したものです。OpenClaw コミュニティによって継続的に保守されています。新しい脅威の報告、攻撃チェーンの提案、緩和策の提案方法については、脅威モデルへの貢献を参照してください。
主要な ATLAS リソース: テクニック | 戦術 | ケーススタディ | ATLAS GitHub | ATLAS への貢献
1. 対象範囲
| コンポーネント |
対象 |
注記 |
| OpenClaw エージェントランタイム |
はい |
エージェントのコア実行、ツール呼び出し、セッション |
| Gateway |
はい |
認証、ルーティング、チャンネル連携 |
| チャンネル連携 |
はい |
WhatsApp、Telegram、Discord、Signal、Slack など |
| ClawHub マーケットプレイス |
はい |
スキルの公開、モデレーション、配布 |
| MCP サーバー |
はい |
外部ツールプロバイダー |
| ユーザーデバイス |
一部 |
モバイルアプリ、デスクトップクライアント |
対象外の報告および誤検知となるパターン(公開インターネットへの露出、境界の回避を伴わないプロンプトインジェクションのみのチェーン、相互に信頼していない運用者による単一 Gateway ホストの共有など)は、SECURITY.mdに列挙されています。脆弱性報告の対象範囲について、現在の信頼できる情報源はこのページではなく、同ファイルです。
2. システムアーキテクチャ
2.1 信頼境界
text┌─────────────────────────────────────────────────────────────────┐│ UNTRUSTED ZONE ││ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ││ │ WhatsApp │ │ Telegram │ │ Discord │ ... ││ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ ││ │ │ │ │└─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼┌─────────────────────────────────────────────────────────────────┐│ TRUST BOUNDARY 1: Channel Access ││ ┌──────────────────────────────────────────────────────────┐ ││ │ GATEWAY │ ││ │ • Device pairing (1h DM pairing / 5m node pairing TTL) │ ││ │ • AllowFrom / allowlist validation │ ││ │ • Token / password / Tailscale auth │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ TRUST BOUNDARY 2: Session Isolation ││ ┌──────────────────────────────────────────────────────────┐ ││ │ AGENT SESSIONS │ ││ │ • Session key = agent:channel:peer │ ││ │ • Tool policies per agent │ ││ │ • Transcript logging │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ TRUST BOUNDARY 3: Tool Execution ││ ┌──────────────────────────────────────────────────────────┐ ││ │ EXECUTION SANDBOX │ ││ │ • Docker sandbox (default) or host (exec approvals) │ ││ │ • Node remote execution │ ││ │ • SSRF protection (DNS pinning + IP blocking) │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ TRUST BOUNDARY 4: External Content ││ ┌──────────────────────────────────────────────────────────┐ ││ │ FETCHED URLs / EMAILS / WEBHOOKS │ ││ │ • External content wrapping (random-boundary XML tags) │ ││ │ • Security notice injection │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ TRUST BOUNDARY 5: Supply Chain ││ ┌──────────────────────────────────────────────────────────┐ ││ │ CLAWHUB │ ││ │ • Skill publishing (semver, SKILL.md required) │ ││ │ • Static pattern + AST-adjacent moderation scanning │ ││ │ • LLM-based agentic risk review + VirusTotal scanning │ ││ │ • GitHub account age verification (14 days) │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘
2.2 データフロー
| フロー |
送信元 |
送信先 |
データ |
保護策 |
| F1 |
チャンネル |
Gateway |
ユーザーメッセージ |
TLS、AllowFrom |
| F2 |
Gateway |
エージェント |
ルーティングされたメッセージ |
セッション分離 |
| F3 |
エージェント |
ツール |
ツール呼び出し |
ポリシーの適用 |
| F4 |
エージェント |
外部 |
web_fetch リクエスト |
SSRF ブロック |
| F5 |
ClawHub |
エージェント |
スキルコード |
モデレーション、スキャン |
| F6 |
エージェント |
チャンネル |
応答 |
出力フィルタリング |
3. ATLAS 戦術別の脅威分析
3.1 偵察(AML.TA0002)
T-RECON-001: エージェントエンドポイントの検出
| 属性 |
値 |
| ATLAS ID |
AML.T0006 - アクティブスキャン |
| 説明 |
攻撃者が公開された OpenClaw Gateway エンドポイントをスキャンする |
| 攻撃ベクトル |
ネットワークスキャン、Shodan クエリ、DNS 列挙 |
| 影響を受けるコンポーネント |
Gateway、公開 API エンドポイント |
| 現在の緩和策 |
Tailscale 認証オプション、デフォルトでループバックにバインド |
| 残存リスク |
中 - 公開 Gateway は検出される可能性がある |
| 推奨事項 |
安全なデプロイ方法を文書化し、検出用エンドポイントにレート制限を追加する |
T-RECON-002: チャンネル連携の探索
| 属性 |
値 |
| ATLAS ID |
AML.T0006 - アクティブスキャン |
| 説明 |
攻撃者がメッセージングチャンネルを探索し、AI が管理するアカウントを特定する |
| 攻撃ベクトル |
テストメッセージの送信、応答パターンの観察 |
| 影響を受けるコンポーネント |
すべてのチャンネル連携 |
| 現在の緩和策 |
特になし |
| 残存リスク |
低 - 検出だけでは得られる価値が限定的 |
| 推奨事項 |
応答タイミングのランダム化を検討する |
3.2 初期アクセス(AML.TA0004)
T-ACCESS-001: ペアリングコードの傍受
| 属性 |
値 |
| ATLAS ID |
AML.T0040 - AIモデル推論APIへのアクセス |
| 説明 |
攻撃者がペアリング可能期間中にペアリングコードを傍受する(DM/汎用ペアリングは1時間、Nodeペアリングは5分) |
| 攻撃ベクトル |
ショルダーサーフィン、ネットワーク盗聴、ソーシャルエンジニアリング |
| 影響を受けるコンポーネント |
デバイスペアリングシステム |
| 現在の緩和策 |
TTLは1時間(DM/汎用ペアリング)または5分(Nodeペアリング)。コードは既存のチャネル経由で送信される |
| 残存リスク |
中 - ペアリング可能期間が悪用される可能性がある |
| 推奨事項 |
ペアリング可能期間を短縮し、確認手順を追加する |
T-ACCESS-002: AllowFromのなりすまし
| 属性 |
値 |
| ATLAS ID |
AML.T0040 - AIモデル推論APIへのアクセス |
| 説明 |
攻撃者がチャネル上で許可された送信者のIDを偽装する |
| 攻撃ベクトル |
チャネル依存 - 電話番号の偽装、ユーザー名のなりすまし |
| 影響を受けるコンポーネント |
チャネルごとのAllowFrom検証 |
| 現在の緩和策 |
チャネル固有のID検証 |
| 残存リスク |
中 - 一部のチャネルは依然としてなりすましに対して脆弱 |
| 推奨事項 |
チャネル固有のリスクを文書化し、可能な場合は暗号学的検証を追加する |
T-ACCESS-003: トークンの窃取
| 属性 |
値 |
| ATLAS ID |
AML.T0040 - AIモデル推論APIへのアクセス |
| 説明 |
攻撃者が設定ファイルや認証情報ファイルから認証トークンを窃取する |
| 攻撃ベクトル |
マルウェア、不正なデバイスアクセス、設定バックアップの漏えい |
| 影響を受けるコンポーネント |
チャネル/プロバイダーの認証情報ストレージ、設定ストレージ |
| 現在の緩和策 |
ファイル権限 |
| 残存リスク |
高 - トークンがディスク上に平文で保存される |
| 推奨事項 |
保存時のトークン暗号化を実装し、トークンローテーションを追加する |
3.3 実行(AML.TA0005)
T-EXEC-001: 直接プロンプトインジェクション
| 属性 |
値 |
| ATLAS ID |
AML.T0051.000 - LLMプロンプトインジェクション:直接 |
| 説明 |
攻撃者が細工したプロンプトを送信してエージェントの動作を操作する |
| 攻撃ベクトル |
敵対的な指示を含むチャネルメッセージ |
| 影響を受けるコンポーネント |
エージェントLLM、すべての入力経路 |
| 現在の緩和策 |
パターン検出、外部コンテンツのラッピング。境界の迂回がない限り、脆弱性報告の対象外として扱われる(SECURITY.mdを参照) |
| 残存リスク |
重大 - 検出のみでブロックは行われず、高度な攻撃は回避できる |
| 推奨事項 |
既存の検出に加えて、機密性の高い操作に対する出力検証とユーザー確認を導入する |
T-EXEC-002: 間接プロンプトインジェクション
| 属性 |
値 |
| ATLAS ID |
AML.T0051.001 - LLMプロンプトインジェクション:間接 |
| 説明 |
攻撃者が取得対象のコンテンツに悪意のある指示を埋め込む |
| 攻撃ベクトル |
悪意のあるURL、汚染されたメール、侵害されたWebhook |
| 影響を受けるコンポーネント |
web_fetch、メール取り込み、外部データソース |
| 現在の緩和策 |
ランダムな境界を持つXML形式のマーカーによるコンテンツのラッピング、同形異字/特殊トークンの正規化、およびセキュリティ通知 |
| 残存リスク |
高 - LLMがラッパーの指示を無視する可能性が残る |
| 推奨事項 |
ラッピングされたコンテンツ用に実行コンテキストを分離する |
T-EXEC-003: ツール引数インジェクション
| 属性 |
値 |
| ATLAS ID |
AML.T0051.000 - LLMプロンプトインジェクション:直接 |
| 説明 |
攻撃者がプロンプトインジェクションを通じてツール引数を操作する |
| 攻撃ベクトル |
ツールのパラメーター値に影響を与えるよう細工されたプロンプト |
| 影響を受けるコンポーネント |
すべてのツール呼び出し |
| 現在の緩和策 |
危険なコマンドに対する実行承認 |
| 残存リスク |
高 - ユーザーの判断に依存する |
| 推奨事項 |
引数の検証、パラメーター化されたツール呼び出し |
T-EXEC-004: 実行承認の迂回
| 属性 |
値 |
| ATLAS ID |
AML.T0043 - 敵対的データの作成 |
| 説明 |
攻撃者が承認許可リストを迂回するコマンドを作成する |
| 攻撃ベクトル |
コマンドの難読化、エイリアスの悪用、パスの操作 |
| 影響を受けるコンポーネント |
src/infra/exec-approvals*.ts、コマンド許可リスト |
| 現在の緩和策 |
許可リスト + 確認モード、およびコマンドの正規化(ディスパッチラッパーの解除、インライン評価の検出、シェルチェーンの分析) |
| 残存リスク |
高 - 正規化により難読化による迂回は限定されるが排除はされない。実行経路間の同等性のみに関する指摘は脆弱性ではなく、堅牢化として扱われる(SECURITY.mdを参照) |
| 推奨事項 |
新たな難読化手法に対応するため、コマンド正規化のカバレッジを引き続き拡大する |
3.4 永続化(AML.TA0006)
T-PERSIST-001: 悪意のあるスキルのインストール
| 属性 |
値 |
| ATLAS ID |
AML.T0010.001 - サプライチェーン侵害:AIソフトウェア |
| 説明 |
攻撃者が悪意のあるスキルをClawHubに公開する |
| 攻撃ベクトル |
アカウントを作成し、悪意のあるコードを隠したスキルを公開する |
| 影響を受けるコンポーネント |
ClawHub、スキルの読み込み、エージェントの実行 |
| 現在の緩和策 |
GitHubアカウントの経過期間確認、静的パターン/AST近傍スキャン、LLMベースのエージェント型リスクレビュー、VirusTotalスキャン |
| 残存リスク |
高 - 検出レイヤーは存在するが、スキルは依然としてエージェント権限で実行され、実行サンドボックスもない |
| 推奨事項 |
スキル実行のサンドボックス化、コミュニティレビューの拡充 |
T-PERSIST-002: スキル更新の汚染
| 属性 |
値 |
| ATLAS ID |
AML.T0010.001 - サプライチェーン侵害:AIソフトウェア |
| 説明 |
攻撃者が人気のあるスキルを侵害し、悪意のある更新を配布する |
| 攻撃ベクトル |
アカウントの侵害、スキル所有者に対するソーシャルエンジニアリング |
| 影響を受けるコンポーネント |
ClawHubのバージョン管理、自動更新フロー |
| 現在の緩和策 |
バージョンのフィンガープリント、新バージョンでのモデレーション/スキャン再実行 |
| 残存リスク |
高 - レビュー完了前に自動更新が悪意のあるバージョンを取得する可能性がある |
| 推奨事項 |
更新への署名、ロールバック機能、バージョン固定 |
T-PERSIST-003: エージェント設定の改ざん
| 属性 |
値 |
| ATLAS ID |
AML.T0010.002 - サプライチェーン侵害: データ |
| 説明 |
攻撃者がアクセスを永続化するためにエージェント設定を変更する |
| 攻撃ベクトル |
設定ファイルの変更、設定の注入 |
| 影響を受けるコンポーネント |
エージェント設定、ツールポリシー |
| 現在の緩和策 |
ファイル権限 |
| 残存リスク |
中 - ローカルアクセスが必要 |
| 推奨事項 |
設定の整合性検証、設定変更の監査ログ |
3.5 防御回避 (AML.TA0007)
T-EVADE-001: モデレーションパターンの回避
| 属性 |
値 |
| ATLAS ID |
AML.T0043 - 敵対的データの作成 |
| 説明 |
攻撃者がClawHubのモデレーションチェックを回避するSkillsコンテンツを作成する |
| 攻撃ベクトル |
Unicode同形異字、エンコーディングの細工、動的読み込み |
| 影響を受けるコンポーネント |
ClawHubのモデレーション/スキャンパイプライン |
| 現在の緩和策 |
静的パターンルール、AST周辺のコードスキャン、LLMによるエージェント型リスクレビュー、VirusTotal |
| 残存リスク |
中 - 新しい難読化は多層ヒューリスティクスをすり抜ける可能性がある |
| 推奨事項 |
新たな回避手法が見つかるたびに、パターン/振る舞いコーパスの拡充を継続する |
T-EVADE-002: コンテンツラッパーからの脱出
| 属性 |
値 |
| ATLAS ID |
AML.T0043 - 敵対的データの作成 |
| 説明 |
攻撃者が外部コンテンツラッパーのコンテキストから脱出するコンテンツを作成する |
| 攻撃ベクトル |
タグ操作、コンテキストの混乱、指示の上書き |
| 影響を受けるコンポーネント |
外部コンテンツのラッピング |
| 現在の緩和策 |
ランダム境界のXML形式マーカーとセキュリティ通知、および同形異字/空白文字変種によるマーカー偽装の検出 |
| 残存リスク |
中 - 新しい脱出手法が定期的に発見される |
| 推奨事項 |
入力側のラッピングに加え、出力側でも検証する |
3.6 探索 (AML.TA0008)
T-DISC-001: ツールの列挙
| 属性 |
値 |
| ATLAS ID |
AML.T0040 - AIモデル推論APIへのアクセス |
| 説明 |
攻撃者がプロンプトを通じて利用可能なツールを列挙する |
| 攻撃ベクトル |
「どのようなツールがありますか?」形式のクエリ |
| 影響を受けるコンポーネント |
エージェントのツールレジストリ |
| 現在の緩和策 |
特になし |
| 残存リスク |
低 - ツールは通常ドキュメントに記載されている |
| 推奨事項 |
ツールの可視性制御を検討する |
T-DISC-002: セッションデータの抽出
| 属性 |
値 |
| ATLAS ID |
AML.T0040 - AIモデル推論APIへのアクセス |
| 説明 |
攻撃者がセッションコンテキストから機密データを抽出する |
| 攻撃ベクトル |
「何を話しましたか?」というクエリ、コンテキストの探索 |
| 影響を受けるコンポーネント |
セッショントランスクリプト、コンテキストウィンドウ |
| 現在の緩和策 |
送信者ごとのセッション分離(agent:channel:peerキー) |
| 残存リスク |
中 - セッション内のデータは設計上アクセス可能 |
| 推奨事項 |
コンテキスト内の機密データを秘匿化する |
3.7 収集と外部流出 (AML.TA0009, AML.TA0010)
T-EXFIL-001: web_fetchを介したデータ窃取
| 属性 |
値 |
| ATLAS ID |
AML.T0009 - 収集 |
| 説明 |
攻撃者がエージェントに外部URLへデータを送信するよう指示して、データを外部流出させる |
| 攻撃ベクトル |
プロンプトインジェクションにより、エージェントに攻撃者のサーバーへデータをPOSTさせる |
| 影響を受けるコンポーネント |
web_fetchツール |
| 現在の緩和策 |
内部/プライベートネットワークに対するSSRFのブロック(DNS固定とIPブロック) |
| 残存リスク |
高 - 任意の外部URLが引き続き許可されている |
| 推奨事項 |
URL許可リスト、データ分類を考慮した制御 |
T-EXFIL-002: 未承認のメッセージ送信
| 属性 |
値 |
| ATLAS ID |
AML.T0009 - 収集 |
| 説明 |
攻撃者がエージェントに機密データを含むメッセージを送信させる |
| 攻撃ベクトル |
プロンプトインジェクションにより、エージェントに攻撃者宛てのメッセージを送信させる |
| 影響を受けるコンポーネント |
メッセージツール、チャネル連携 |
| 現在の緩和策 |
送信メッセージのゲーティング |
| 残存リスク |
中 - ゲーティングが回避される可能性がある |
| 推奨事項 |
新しい受信者への送信時に明示的な確認を求める |
T-EXFIL-003: 認証情報の収集
| 属性 |
値 |
| ATLAS ID |
AML.T0009 - 収集 |
| 説明 |
悪意のあるSkillsがエージェントのコンテキストから認証情報を収集する |
| 攻撃ベクトル |
Skillsのコードが環境変数や設定ファイルを読み取る |
| 影響を受けるコンポーネント |
Skillsの実行環境 |
| 現在の緩和策 |
ClawHubによる認証情報パターンのスキャン(ハードコードされたシークレット、ネットワーク送信と組み合わされた認証情報環境変数へのアクセス)。実行時のSkillsには実行サンドボックスなし |
| 残存リスク |
重大 - Skillsはエージェントの権限で実行される |
| 推奨事項 |
Skills実行のサンドボックス化、認証情報の分離 |
3.8 影響 (AML.TA0011)
T-IMPACT-001: 未承認のコマンド実行
| 属性 |
値 |
| ATLAS ID |
AML.T0031 - AIモデルの整合性低下 |
| 説明 |
攻撃者がユーザーのシステム上で任意のコマンドを実行する |
| 攻撃ベクトル |
プロンプトインジェクションと実行承認の回避の組み合わせ |
| 影響を受けるコンポーネント |
Bashツール、コマンド実行 |
| 現在の緩和策 |
実行承認、Dockerサンドボックスオプション(デフォルトのランタイムバックエンド) |
| 残存リスク |
重大 - サンドボックスが無効な場合、ホスト上で実行される可能性がある |
| 推奨事項 |
承認のUXを改善する。サンドボックスを無効にしたデプロイは引き続きオペレーターによる意図的な選択であり、その旨を明記する |
T-IMPACT-002: リソース枯渇(DoS)
| 属性 |
値 |
| ATLAS ID |
AML.T0031 - AIモデルの整合性低下 |
| 説明 |
攻撃者がAPIクレジットや計算リソースを枯渇させる |
| 攻撃ベクトル |
自動化されたメッセージの大量送信、高コストなツール呼び出し |
| 影響を受けるコンポーネント |
Gateway、エージェントセッション、APIプロバイダー |
| 現在の緩和策 |
なし |
| 残存リスク |
高 - 送信者ごとのレート制限がない |
| 推奨事項 |
送信者ごとのレート制限、コスト予算 |
T-IMPACT-003: 評判の毀損
| 属性 |
値 |
| ATLAS ID |
AML.T0031 - AIモデルの整合性低下 |
| 説明 |
攻撃者がエージェントに有害/攻撃的なコンテンツを送信させる |
| 攻撃ベクトル |
プロンプトインジェクションによる不適切な応答 |
| 影響を受けるコンポーネント |
出力生成、チャネルメッセージング |
| 現在の緩和策 |
LLMプロバイダーのコンテンツポリシー |
| 残存リスク |
中 - プロバイダーのフィルターは完全ではない |
| 推奨事項 |
出力フィルタリング層、ユーザー制御 |
4. ClawHubのサプライチェーン分析
4.1 現在のセキュリティ制御
| 制御 |
実装 |
有効性 |
| GitHub アカウントの経過期間 |
requireGitHubAccountAge()(最低14日) |
中 - 新規攻撃者の参入障壁を高める |
| パスのサニタイズ |
sanitizePath() |
高 - パストラバーサルを防止する |
| ファイル形式の検証 |
isTextFile() |
中 - テキストファイルのみをスキャンするが、依然として悪用可能 |
| サイズ制限 |
バンドル合計50MB(MAX_PUBLISH_TOTAL_BYTES) |
高 - リソース枯渇を防止する |
| 必須の SKILL.md |
公開時に readme が必須 |
セキュリティ上の価値は低い - 情報提供のみ |
| 静的および AST 近傍スキャン |
exec、流出、認証情報収集、難読化などを対象とするパターンエンジン |
中〜高 - 既知の多くの悪用パターンを網羅するが、依然パターンベース |
| LLM ベースのエージェント型リスクレビュー |
公開時にセキュリティプロンプトに基づいて判定 |
中〜高 - 静的パターンでは見逃す挙動を検出する |
| VirusTotal スキャン |
skill およびパッケージリリースの公開・再スキャンフローに接続され、運用者の API キーが必要 |
有効化時は高 - 静的エンジンによる検出 |
| モデレーション状態 |
moderationStatus フィールド |
中 - 手動レビューが可能 |
4.2 モデレーションの制限
ClawHub の静的スキャンは、slug、メタデータ、frontmatter だけでなく、skill のコード内容を直接検査し、危険な exec 呼び出し、動的コード実行、認証情報の収集、流出パターン、難読化されたペイロードなどを対象とします。既知の不足点は次のとおりです。
- パターンベースの検出は、十分に新規性の高い難読化によって依然として回避される可能性があります。
- LLM ベースのレビューと VirusTotal スキャンは、運用者側の API キーまたは設定が有効になっていることに依存します。
- インストール後、skill をエージェント自身の権限から隔離するランタイム実行サンドボックスはありません。
4.3 バッジ
Skills とパッケージには、モデレーターが割り当てるバッジがあります:highlighted、official、deprecated、redactionApproved(Skills のみ)。コミュニティからの報告(skillReports)と監査ログ(auditLogs)が、モデレーションのワークフローを支えています。
5. リスクマトリクス
5.1 発生可能性と影響
| 脅威 ID |
発生可能性 |
影響 |
リスクレベル |
優先度 |
| T-EXEC-001 |
高 |
致命的 |
致命的 |
P0 |
| T-PERSIST-001 |
高 |
致命的 |
致命的 |
P0 |
| T-EXFIL-003 |
中 |
致命的 |
致命的 |
P0 |
| T-IMPACT-001 |
中 |
致命的 |
高 |
P1 |
| T-EXEC-002 |
高 |
高 |
高 |
P1 |
| T-EXEC-004 |
中 |
高 |
高 |
P1 |
| T-ACCESS-003 |
中 |
高 |
高 |
P1 |
| T-EXFIL-001 |
中 |
高 |
高 |
P1 |
| T-IMPACT-002 |
高 |
中 |
高 |
P1 |
| T-EVADE-001 |
高 |
中 |
中 |
P2 |
| T-ACCESS-001 |
低 |
高 |
中 |
P2 |
| T-ACCESS-002 |
低 |
高 |
中 |
P2 |
| T-PERSIST-002 |
低 |
高 |
中 |
P2 |
5.2 クリティカルパスの攻撃チェーン
チェーン1:Skill を利用したデータ窃取
textT-PERSIST-001 → T-EVADE-001 → T-EXFIL-003(悪意のある skill を公開) → (モデレーションを回避) → (認証情報を収集)
チェーン2:プロンプトインジェクションから RCE へ
textT-EXEC-001 → T-EXEC-004 → T-IMPACT-001(プロンプトを注入) → (exec 承認を回避) → (コマンドを実行)
チェーン3:取得したコンテンツを介した間接インジェクション
textT-EXEC-002 → T-EXFIL-001 → 外部への流出(URL コンテンツを汚染) → (エージェントが取得して指示に従う) → (攻撃者にデータを送信)
6. 推奨事項の概要
6.1 即時対応(P0)
| ID |
推奨事項 |
対象 |
| R-002 |
Skill 実行のサンドボックス化を実装する |
T-PERSIST-001, T-EXFIL-003 |
| R-003 |
機密性の高い操作に対する出力検証を追加する |
T-EXEC-001, T-EXEC-002 |
6.2 短期(P1)
| ID |
推奨事項 |
対象 |
| R-004 |
送信者ごとのレート制限を実装する |
T-IMPACT-002 |
| R-005 |
保存時のトークン暗号化を追加する |
T-ACCESS-003 |
| R-006 |
exec 承認の UX を改善し、コマンドの正規化を引き続き拡充する |
T-EXEC-004 |
| R-007 |
web_fetch に URL 許可リストを実装する |
T-EXFIL-001 |
6.3 中期(P2)
| ID |
推奨事項 |
対象 |
| R-008 |
可能な場合はチャネルの暗号学的検証を追加する |
T-ACCESS-002 |
| R-009 |
設定の完全性検証を実装する |
T-PERSIST-003 |
| R-010 |
更新への署名とバージョン固定を追加する |
T-PERSIST-002 |
7. 付録
7.1 ATLAS 手法の対応表
| ATLAS ID |
手法名 |
OpenClaw の脅威 |
| AML.T0006 |
アクティブスキャン |
T-RECON-001, T-RECON-002 |
| AML.T0009 |
収集 |
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 |
| AML.T0010.001 |
サプライチェーン:AI ソフトウェア |
T-PERSIST-001, T-PERSIST-002 |
| AML.T0010.002 |
サプライチェーン:データ |
T-PERSIST-003 |
| AML.T0031 |
AI モデルの完全性の低下 |
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 |
| AML.T0040 |
AI モデル推論 API へのアクセス |
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043 |
敵対的データの作成 |
T-EXEC-004, T-EVADE-001, T-EVADE-002 |
| AML.T0051.000 |
LLM プロンプトインジェクション:直接 |
T-EXEC-001, T-EXEC-003 |
| AML.T0051.001 |
LLM プロンプトインジェクション:間接 |
T-EXEC-002 |
7.2 主要なセキュリティファイル
| パス |
目的 |
リスクレベル |
src/infra/exec-approvals.ts |
コマンド承認ロジック |
致命的 |
src/gateway/auth.ts |
Gateway 認証 |
致命的 |
src/infra/net/ssrf.ts |
SSRF 保護 |
致命的 |
src/security/external-content.ts |
プロンプトインジェクションの緩和 |
致命的 |
src/agents/sandbox/tool-policy.ts |
サンドボックスツールの許可・拒否ポリシー |
致命的 |
src/routing/resolve-route.ts |
セッションの分離/ルーティング |
中 |
7.3 用語集
| 用語 |
定義 |
| ATLAS |
MITRE による AI システム向け敵対的脅威ランドスケープ |
| ClawHub |
OpenClaw の skill マーケットプレイス |
| Gateway |
OpenClaw のメッセージルーティングおよび認証レイヤー |
| MCP |
Model Context Protocol - ツールプロバイダーインターフェース |
| プロンプトインジェクション |
悪意のある指示を入力に埋め込む攻撃 |
| Skill |
OpenClaw エージェント向けのダウンロード可能な拡張機能 |
| SSRF |
サーバーサイドリクエストフォージェリ |
この脅威モデルは継続的に更新される文書です。セキュリティ上の問題は security@openclaw.ai に報告するか、トラストページを参照してください。
関連項目