Security
위협 모델(MITRE ATLAS)
Gateway & Ops Security
버전: 1.0-draft | 프레임워크: MITRE ATLAS (AI 시스템을 위한 적대적 위협 환경) + 데이터 흐름도
이 위협 모델은 OpenClaw AI 에이전트 플랫폼과 ClawHub 스킬 마켓플레이스에 대한 적대적 위협을 문서화합니다. OpenClaw 커뮤니티에서 지속적으로 관리하는 문서입니다. 새로운 위협을 보고하거나, 공격 체인을 제안하거나, 완화책을 제시하는 방법은 위협 모델에 기여하기 를 참조하세요.
주요 ATLAS 자료: 기법 | 전술 | 사례 연구 | ATLAS GitHub | ATLAS에 기여하기
1. 범위
구성 요소
포함 여부
참고 사항
OpenClaw 에이전트 런타임
예
핵심 에이전트 실행, 도구 호출, 세션
Gateway
예
인증, 라우팅, 채널 통합
채널 통합
예
WhatsApp, Telegram, Discord, Signal, Slack 등
ClawHub 마켓플레이스
예
스킬 게시, 검토, 배포
MCP 서버
예
외부 도구 제공자
사용자 기기
일부
모바일 앱, 데스크톱 클라이언트
범위 밖 보고 및 오탐 패턴(공개 인터넷 노출, 경계 우회가 없는 프롬프트 인젝션만으로 구성된 체인, 상호 신뢰하지 않는 운영자가 하나의 Gateway 호스트를 공유하는 경우 등)은 SECURITY.md 에 열거되어 있습니다. 취약점 보고 범위에 관한 현재의 기준 문서는 이 페이지가 아니라 해당 파일입니다.
2. 시스템 아키텍처
2.1 신뢰 경계
text Copy code ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device pairing (1h DM pairing / 5m node pairing TTL) │ │ │ │ • AllowFrom / allowlist validation │ │ │ │ • Token / password / Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox (default) or host (exec approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (random-boundary XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Static pattern + AST-adjacent moderation scanning │ │ │ │ • LLM-based agentic risk review + VirusTotal scanning │ │ │ │ • GitHub account age verification (14 days) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ 2.2 데이터 흐름
흐름
출발지
목적지
데이터
보호 조치
F1
채널
Gateway
사용자 메시지
TLS, AllowFrom
F2
Gateway
에이전트
라우팅된 메시지
세션 격리
F3
에이전트
도구
도구 호출
정책 적용
F4
에이전트
외부
web_fetch 요청
SSRF 차단
F5
ClawHub
에이전트
스킬 코드
검토, 스캔
F6
에이전트
채널
응답
출력 필터링
3. ATLAS 전술별 위협 분석
3.1 정찰 (AML.TA0002)
T-RECON-001: 에이전트 엔드포인트 탐색
속성
값
ATLAS ID
AML.T0006 - 능동 스캔
설명
공격자가 노출된 OpenClaw Gateway 엔드포인트를 스캔함
공격 벡터
네트워크 스캔, Shodan 쿼리, DNS 열거
영향받는 구성 요소
Gateway, 노출된 API 엔드포인트
현재 완화책
Tailscale 인증 옵션, 기본적으로 루프백에 바인딩
잔여 위험
중간 - 공개 Gateway를 탐색할 수 있음
권장 사항
안전한 배포 방법을 문서화하고 탐색 엔드포인트에 속도 제한 추가
T-RECON-002: 채널 통합 탐색
속성
값
ATLAS ID
AML.T0006 - 능동 스캔
설명
공격자가 AI가 관리하는 계정을 식별하기 위해 메시징 채널을 탐색함
공격 벡터
테스트 메시지 전송, 응답 패턴 관찰
영향받는 구성 요소
모든 채널 통합
현재 완화책
구체적인 완화책 없음
잔여 위험
낮음 - 탐색만으로 얻을 수 있는 가치가 제한적임
권장 사항
응답 시간 무작위화 고려
3.2 초기 접근 (AML.TA0004)
T-ACCESS-001: 페어링 코드 가로채기
속성
값
ATLAS ID
AML.T0040 - AI 모델 추론 API 액세스
설명
공격자가 페어링 유효 시간 내에 페어링 코드를 가로챔(1시간 DM/일반 페어링, 5분 Node 페어링)
공격 벡터
훔쳐보기, 네트워크 스니핑, 사회 공학
영향받는 구성 요소
기기 페어링 시스템
현재 완화 조치
1시간 TTL(DM/일반 페어링), 5분 TTL(Node 페어링), 기존 채널을 통해 코드 전송
잔여 위험
중간 - 페어링 유효 시간이 악용될 수 있음
권장 사항
페어링 유효 시간 단축, 확인 단계 추가
T-ACCESS-002: AllowFrom 스푸핑
속성
값
ATLAS ID
AML.T0040 - AI 모델 추론 API 액세스
설명
공격자가 채널에서 허용된 발신자 신원을 위조함
공격 벡터
채널에 따라 다름 - 전화번호 스푸핑, 사용자 이름 사칭
영향받는 구성 요소
채널별 AllowFrom 검증
현재 완화 조치
채널별 신원 확인
잔여 위험
중간 - 일부 채널은 여전히 스푸핑에 취약함
권장 사항
채널별 위험 문서화, 가능한 경우 암호학적 검증 추가
T-ACCESS-003: 토큰 탈취
속성
값
ATLAS ID
AML.T0040 - AI 모델 추론 API 액세스
설명
공격자가 구성/자격 증명 파일에서 인증 토큰을 탈취함
공격 벡터
악성 코드, 무단 기기 액세스, 구성 백업 노출
영향받는 구성 요소
채널/제공자 자격 증명 저장소, 구성 저장소
현재 완화 조치
파일 권한
잔여 위험
높음 - 토큰이 디스크에 평문으로 저장됨
권장 사항
저장된 토큰 암호화 구현, 토큰 순환 추가
3.3 실행(AML.TA0005)
T-EXEC-001: 직접 프롬프트 인젝션
속성
값
ATLAS ID
AML.T0051.000 - LLM 프롬프트 인젝션: 직접
설명
공격자가 에이전트 동작을 조작하기 위해 조작된 프롬프트를 전송함
공격 벡터
적대적 지침이 포함된 채널 메시지
영향받는 구성 요소
에이전트 LLM, 모든 입력 표면
현재 완화 조치
패턴 탐지, 외부 콘텐츠 래핑. 경계 우회가 없는 경우 취약점 보고 범위 밖으로 간주함(SECURITY.md 참조)
잔여 위험
심각 - 탐지만 수행하고 차단하지 않으며, 정교한 공격은 탐지를 우회함
권장 사항
기존 탐지에 더해 민감한 작업에 대한 출력 검증 및 사용자 확인 추가
T-EXEC-002: 간접 프롬프트 인젝션
속성
값
ATLAS ID
AML.T0051.001 - LLM 프롬프트 인젝션: 간접
설명
공격자가 가져온 콘텐츠에 악성 지침을 삽입함
공격 벡터
악성 URL, 오염된 이메일, 침해된 Webhook
영향받는 구성 요소
web_fetch, 이메일 수집, 외부 데이터 소스
현재 완화 조치
무작위 경계의 XML 스타일 마커를 사용한 콘텐츠 래핑, 동형 문자/특수 토큰 정규화 및 보안 알림
잔여 위험
높음 - LLM이 여전히 래퍼 지침을 무시할 수 있음
권장 사항
래핑된 콘텐츠를 위한 별도의 실행 컨텍스트
T-EXEC-003: 도구 인수 인젝션
속성
값
ATLAS ID
AML.T0051.000 - LLM 프롬프트 인젝션: 직접
설명
공격자가 프롬프트 인젝션을 통해 도구 인수를 조작함
공격 벡터
도구 매개변수 값에 영향을 주도록 조작된 프롬프트
영향받는 구성 요소
모든 도구 호출
현재 완화 조치
위험한 명령에 대한 실행 승인
잔여 위험
높음 - 사용자의 판단에 의존함
권장 사항
인수 검증, 매개변수화된 도구 호출
T-EXEC-004: 실행 승인 우회
속성
값
ATLAS ID
AML.T0043 - 적대적 데이터 조작
설명
공격자가 승인 허용 목록을 우회하는 명령을 조작함
공격 벡터
명령 난독화, 별칭 악용, 경로 조작
영향받는 구성 요소
src/infra/exec-approvals*.ts, 명령 허용 목록
현재 완화 조치
허용 목록 + 확인 모드 및 명령 정규화(디스패치 래퍼 해제, 인라인 평가 탐지, 셸 체인 분석)
잔여 위험
높음 - 정규화로 난독화 우회 가능성이 줄어들지만 완전히 제거되지는 않음. 실행 경로 간 동등성에만 해당하는 발견 사항은 취약점이 아닌 보안 강화로 간주함(SECURITY.md 참조)
권장 사항
새로운 난독화 기법에 대응하도록 명령 정규화 적용 범위를 지속적으로 확대
3.4 지속성(AML.TA0006)
T-PERSIST-001: 악성 Skills 설치
속성
값
ATLAS ID
AML.T0010.001 - 공급망 침해: AI 소프트웨어
설명
공격자가 ClawHub에 악성 Skills를 게시함
공격 벡터
계정을 생성하고 숨겨진 악성 코드가 포함된 Skills를 게시함
영향받는 구성 요소
ClawHub, Skills 로딩, 에이전트 실행
현재 완화 조치
GitHub 계정 연령 확인, 정적 패턴/AST 인접 스캔, LLM 기반 에이전트형 위험 검토, VirusTotal 스캔
잔여 위험
높음 - 탐지 계층이 존재하지만 Skills는 여전히 에이전트 권한으로 실행되며 실행 샌드박싱이 없음
권장 사항
Skills 실행 샌드박싱, 커뮤니티 검토 확대
T-PERSIST-002: Skills 업데이트 오염
속성
값
ATLAS ID
AML.T0010.001 - 공급망 침해: AI 소프트웨어
설명
공격자가 인기 있는 Skills를 침해하고 악성 업데이트를 배포함
공격 벡터
계정 침해, Skills 소유자를 대상으로 한 사회 공학
영향받는 구성 요소
ClawHub 버전 관리, 자동 업데이트 흐름
현재 완화 조치
버전 지문 생성, 새 버전에 대한 조정/스캔 재실행
잔여 위험
높음 - 검토가 완료되기 전에 자동 업데이트로 악성 버전을 가져올 수 있음
권장 사항
업데이트 서명, 롤백 기능, 버전 고정
T-PERSIST-003: 에이전트 구성 변조
속성
값
ATLAS ID
AML.T0010.002 - 공급망 침해: 데이터
설명
공격자가 접근을 지속하기 위해 에이전트 구성을 수정함
공격 벡터
구성 파일 수정, 설정 주입
영향받는 구성 요소
에이전트 구성, 도구 정책
현재 완화 조치
파일 권한
잔여 위험
중간 - 로컬 접근이 필요함
권장 사항
구성 무결성 검증, 구성 변경에 대한 감사 로깅
3.5 방어 회피 (AML.TA0007)
T-EVADE-001: 검토 패턴 우회
속성
값
ATLAS ID
AML.T0043 - 적대적 데이터 조작
설명
공격자가 ClawHub 검토 검사를 회피하도록 Skills 콘텐츠를 조작함
공격 벡터
유니코드 동형 문자, 인코딩 기법, 동적 로딩
영향받는 구성 요소
ClawHub 검토/검사 파이프라인
현재 완화 조치
정적 패턴 규칙, AST 인접 코드 검사, LLM 에이전트형 위험 검토, VirusTotal
잔여 위험
중간 - 새로운 난독화가 여전히 계층화된 휴리스틱을 통과할 수 있음
권장 사항
새로운 회피 기법이 발견될 때마다 패턴/행동 코퍼스를 지속적으로 확장
T-EVADE-002: 콘텐츠 래퍼 탈출
속성
값
ATLAS ID
AML.T0043 - 적대적 데이터 조작
설명
공격자가 외부 콘텐츠 래퍼 컨텍스트를 벗어나는 콘텐츠를 조작함
공격 벡터
태그 조작, 컨텍스트 혼동, 지시 재정의
영향받는 구성 요소
외부 콘텐츠 래핑
현재 완화 조치
무작위 경계 XML 스타일 마커 및 보안 알림과 동형 문자/공백 변형 마커 위조 탐지
잔여 위험
중간 - 새로운 탈출 기법이 정기적으로 발견됨
권장 사항
입력 측 래핑과 더불어 출력 측 검증
3.6 탐색 (AML.TA0008)
T-DISC-001: 도구 열거
속성
값
ATLAS ID
AML.T0040 - AI 모델 추론 API 접근
설명
공격자가 프롬프트를 통해 사용 가능한 도구를 열거함
공격 벡터
"어떤 도구를 사용할 수 있나요?"와 같은 질의
영향받는 구성 요소
에이전트 도구 레지스트리
현재 완화 조치
별도의 조치 없음
잔여 위험
낮음 - 도구는 일반적으로 문서화되어 있음
권장 사항
도구 표시 범위 제어 고려
T-DISC-002: 세션 데이터 추출
속성
값
ATLAS ID
AML.T0040 - AI 모델 추론 API 접근
설명
공격자가 세션 컨텍스트에서 민감한 데이터를 추출함
공격 벡터
"무엇을 논의했나요?"와 같은 질의, 컨텍스트 탐색
영향받는 구성 요소
세션 기록, 컨텍스트 창
현재 완화 조치
발신자별 세션 격리(agent:channel:peer 키)
잔여 위험
중간 - 설계상 세션 내 데이터에 접근할 수 있음
권장 사항
컨텍스트 내 민감한 데이터 마스킹
3.7 수집 및 유출 (AML.TA0009, AML.TA0010)
T-EXFIL-001: web_fetch를 통한 데이터 탈취
속성
값
ATLAS ID
AML.T0009 - 수집
설명
공격자가 에이전트에게 데이터를 외부 URL로 전송하도록 지시하여 유출함
공격 벡터
프롬프트 주입으로 에이전트가 공격자 서버에 데이터를 POST하도록 유도
영향받는 구성 요소
web_fetch 도구
현재 완화 조치
내부/사설 네트워크에 대한 SSRF 차단(DNS 고정 및 IP 차단)
잔여 위험
높음 - 임의의 외부 URL이 여전히 허용됨
권장 사항
URL 허용 목록, 데이터 분류 인식
T-EXFIL-002: 무단 메시지 전송
속성
값
ATLAS ID
AML.T0009 - 수집
설명
공격자가 에이전트로 하여금 민감한 데이터가 포함된 메시지를 전송하게 함
공격 벡터
프롬프트 주입으로 에이전트가 공격자에게 메시지를 보내도록 유도
영향받는 구성 요소
메시지 도구, 채널 통합
현재 완화 조치
발신 메시지 게이팅
잔여 위험
중간 - 게이팅이 우회될 수 있음
권장 사항
새로운 수신자에 대한 명시적 확인
T-EXFIL-003: 자격 증명 수집
속성
값
ATLAS ID
AML.T0009 - 수집
설명
악성 Skills가 에이전트 컨텍스트에서 자격 증명을 수집함
공격 벡터
Skills 코드가 환경 변수와 구성 파일을 읽음
영향받는 구성 요소
Skills 실행 환경
현재 완화 조치
ClawHub 자격 증명 패턴 검사(하드코딩된 비밀, 네트워크 전송과 결합된 자격 증명 환경 변수 접근), 런타임에서 Skills 실행 샌드박싱은 제공되지 않음
잔여 위험
치명적 - Skills가 에이전트 권한으로 실행됨
권장 사항
Skills 실행 샌드박싱, 자격 증명 격리
3.8 영향 (AML.TA0011)
T-IMPACT-001: 무단 명령 실행
속성
값
ATLAS ID
AML.T0031 - AI 모델 무결성 훼손
설명
공격자가 사용자 시스템에서 임의의 명령을 실행함
공격 벡터
프롬프트 주입과 실행 승인 우회 결합
영향받는 구성 요소
Bash 도구, 명령 실행
현재 완화 조치
실행 승인, Docker 샌드박스 옵션(기본 런타임 백엔드)
잔여 위험
치명적 - 샌드박스가 비활성화된 경우 호스트에서 실행될 수 있음
권장 사항
승인 UX 개선. 샌드박스를 비활성화한 배포는 운영자가 의도적으로 선택한 것이며, 이 점을 문서화해야 함
T-IMPACT-002: 리소스 고갈(DoS)
속성
값
ATLAS ID
AML.T0031 - AI 모델 무결성 훼손
설명
공격자가 API 크레딧 또는 컴퓨팅 리소스를 고갈시킴
공격 벡터
자동화된 메시지 폭주, 비용이 많이 드는 도구 호출
영향받는 구성 요소
Gateway, 에이전트 세션, API 제공자
현재 완화 조치
없음
잔여 위험
높음 - 발신자별 속도 제한이 없음
권장 사항
발신자별 속도 제한, 비용 예산
T-IMPACT-003: 평판 손상
속성
값
ATLAS ID
AML.T0031 - AI 모델 무결성 훼손
설명
공격자가 에이전트로 하여금 유해하거나 불쾌감을 주는 콘텐츠를 전송하게 함
공격 벡터
프롬프트 주입으로 부적절한 응답을 유도
영향받는 구성 요소
출력 생성, 채널 메시징
현재 완화 조치
LLM 제공자의 콘텐츠 정책
잔여 위험
중간 - 제공자 필터는 완벽하지 않음
권장 사항
출력 필터링 계층, 사용자 제어
4. ClawHub 공급망 분석
4.1 현재 보안 제어 조치
통제
구현
효과
GitHub 계정 생성 후 경과 기간
requireGitHubAccountAge() (최소 14일)
중간 - 신규 공격자의 진입 장벽을 높임
경로 정제
sanitizePath()
높음 - 경로 순회 공격을 방지
파일 유형 검증
isTextFile()
중간 - 텍스트 파일만 검사하지만 여전히 악용 가능
크기 제한
전체 번들 50MB (MAX_PUBLISH_TOTAL_BYTES)
높음 - 리소스 고갈을 방지
필수 SKILL.md
게시 시 필수 추가 정보 문서
낮은 보안 가치 - 정보 제공 목적만 있음
정적 + AST 인접 검사
실행, 유출, 자격 증명 수집, 난독화 등을 포괄하는 패턴 엔진
중간~높음 - 알려진 여러 악용 패턴을 포괄하지만 여전히 패턴 기반임
LLM 기반 에이전트형 위험 검토
게시 시 보안 프롬프트 기반 판정
중간~높음 - 정적 패턴이 놓치는 동작을 탐지
VirusTotal 검사
운영자 API 키 사용을 조건으로 Skill 및 패키지 릴리스 게시/재검사 흐름에 연결됨
활성화 시 높음 - 정적 엔진 탐지
조정 상태
moderationStatus 필드
중간 - 수동 검토 가능
4.2 조정의 한계
ClawHub의 정적 검사는 단순히 슬러그/메타데이터/프런트매터만이 아니라 Skill 코드 콘텐츠를 직접 검사하며, 위험한 실행 호출, 동적 코드 실행, 자격 증명 수집, 유출 패턴, 난독화된 페이로드 등을 포괄합니다. 알려진 한계는 다음과 같습니다.
패턴 기반 탐지는 충분히 새로운 난독화 기법으로 여전히 우회할 수 있습니다.
LLM 기반 검토와 VirusTotal 검사는 운영자 측 API 키/구성이 활성화되어 있어야 합니다.
설치된 Skill을 에이전트 자체 권한으로부터 격리하는 런타임 실행 샌드박스가 없습니다.
4.3 배지
Skills와 패키지에는 조정자가 할당하는 배지 highlighted, official, deprecated, redactionApproved(Skills 전용)가 부여됩니다. 커뮤니티 신고(skillReports)와 감사 로그(auditLogs)가 조정 워크플로를 뒷받침합니다.
5. 위험 매트릭스
5.1 가능성 대 영향도
위협 ID
가능성
영향도
위험 수준
우선순위
T-EXEC-001
높음
치명적
치명적
P0
T-PERSIST-001
높음
치명적
치명적
P0
T-EXFIL-003
중간
치명적
치명적
P0
T-IMPACT-001
중간
치명적
높음
P1
T-EXEC-002
높음
높음
높음
P1
T-EXEC-004
중간
높음
높음
P1
T-ACCESS-003
중간
높음
높음
P1
T-EXFIL-001
중간
높음
높음
P1
T-IMPACT-002
높음
중간
높음
P1
T-EVADE-001
높음
중간
중간
P2
T-ACCESS-001
낮음
높음
중간
P2
T-ACCESS-002
낮음
높음
중간
P2
T-PERSIST-002
낮음
높음
중간
P2
5.2 핵심 경로 공격 체인
체인 1: Skill 기반 데이터 탈취
text Copy code T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (악성 Skill 게시) → (조정 우회) → (자격 증명 수집) 체인 2: 프롬프트 인젝션을 통한 RCE
text Copy code T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (프롬프트 주입) → (실행 승인 우회) → (명령 실행) 체인 3: 가져온 콘텐츠를 통한 간접 인젝션
text Copy code T-EXEC-002 → T-EXFIL-001 → 외부 유출 (URL 콘텐츠 오염) → (에이전트가 가져와 지침을 따름) → (공격자에게 데이터 전송)
6. 권고 사항 요약
6.1 즉시 조치(P0)
ID
권고 사항
대응 위협
R-002
Skill 실행 샌드박스 구현
T-PERSIST-001, T-EXFIL-003
R-003
민감한 작업에 대한 출력 검증 추가
T-EXEC-001, T-EXEC-002
6.2 단기(P1)
ID
권고 사항
대응 위협
R-004
발신자별 요청 속도 제한 구현
T-IMPACT-002
R-005
저장된 토큰 암호화 추가
T-ACCESS-003
R-006
실행 승인 UX를 개선하고 명령 정규화를 계속 확대
T-EXEC-004
R-007
web_fetch에 URL 허용 목록 구현
T-EXFIL-001
6.3 중기(P2)
ID
권고 사항
대응 위협
R-008
가능한 경우 암호학적 채널 검증 추가
T-ACCESS-002
R-009
구성 무결성 검증 구현
T-PERSIST-003
R-010
업데이트 서명 및 버전 고정 추가
T-PERSIST-002
7. 부록
7.1 ATLAS 기법 매핑
ATLAS ID
기법 이름
OpenClaw 위협
AML.T0006
능동 검사
T-RECON-001, T-RECON-002
AML.T0009
수집
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001
공급망: AI 소프트웨어
T-PERSIST-001, T-PERSIST-002
AML.T0010.002
공급망: 데이터
T-PERSIST-003
AML.T0031
AI 모델 무결성 훼손
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040
AI 모델 추론 API 접근
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043
적대적 데이터 제작
T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000
LLM 프롬프트 인젝션: 직접
T-EXEC-001, T-EXEC-003
AML.T0051.001
LLM 프롬프트 인젝션: 간접
T-EXEC-002
7.2 주요 보안 파일
경로
목적
위험 수준
src/infra/exec-approvals.ts
명령 승인 로직
치명적
src/gateway/auth.ts
Gateway 인증
치명적
src/infra/net/ssrf.ts
SSRF 방어
치명적
src/security/external-content.ts
프롬프트 인젝션 완화
치명적
src/agents/sandbox/tool-policy.ts
샌드박스 도구 허용/거부 정책
치명적
src/routing/resolve-route.ts
세션 격리/라우팅
중간
7.3 용어집
용어
정의
ATLAS
MITRE의 AI 시스템용 적대적 위협 환경
ClawHub
OpenClaw의 Skill 마켓플레이스
Gateway
OpenClaw의 메시지 라우팅 및 인증 계층
MCP
모델 컨텍스트 프로토콜 - 도구 제공자 인터페이스
프롬프트 인젝션
입력에 악성 지침을 삽입하는 공격
Skill
OpenClaw 에이전트용으로 다운로드할 수 있는 확장 기능
SSRF
서버 측 요청 위조
이 위협 모델은 지속적으로 갱신되는 문서입니다. 보안 문제는 security@openclaw.ai로 신고하거나 신뢰 페이지 를 참조하세요.
관련 문서
Previous 정형 검증(보안 모델)Next 위협 모델에 기여하기