Versie: 1.0-concept | Framework:MITRE ATLAS (dreigingslandschap van aanvallen op AI-systemen) + gegevensstroomdiagrammen
Dit dreigingsmodel beschrijft vijandige bedreigingen voor het OpenClaw-platform voor AI-agenten en de ClawHub-marktplaats voor Skills. Het is een levend document dat wordt onderhouden door de OpenClaw-community. Zie Bijdragen aan het dreigingsmodel voor informatie over het melden van nieuwe bedreigingen, voorstellen van aanvalsketens of suggereren van risicobeperkende maatregelen.
Meldingen buiten de reikwijdte en patronen van fout-positieve meldingen (blootstelling aan het openbare internet, aanvalsketens die uitsluitend uit promptinjectie bestaan zonder omzeiling van een grens, onderling onvertrouwde beheerders die één Gateway-host delen en andere gevallen) worden opgesomd in SECURITY.md; dat bestand is de actuele gezaghebbende bron voor de reikwijdte van kwetsbaarheidsmeldingen, niet deze pagina.
AML.T0040 - Toegang tot API voor AI-modelinferentie
Beschrijving
Aanvaller onderschept een koppelingscode tijdens het koppelingsvenster (1 u voor DM/algemene koppeling, 5 min. voor Node-koppeling)
Aanvalsvector
Meekijken over de schouder, netwerkverkeer afluisteren, social engineering
Getroffen onderdelen
Systeem voor apparaatkoppeling
Huidige mitigaties
TTL van 1 u (DM/algemene koppeling), TTL van 5 min. (Node-koppeling); codes worden via het bestaande kanaal verzonden
Restrisico
Gemiddeld - koppelingsvenster kan worden misbruikt
Aanbevelingen
Verkort het koppelingsvenster, voeg een bevestigingsstap toe
T-ACCESS-002: AllowFrom-spoofing
Kenmerk
Waarde
ATLAS-ID
AML.T0040 - Toegang tot API voor AI-modelinferentie
Beschrijving
Aanvaller vervalst de identiteit van een toegestane afzender op een kanaal
Aanvalsvector
Kanaalafhankelijk - vervalsing van telefoonnummers, imitatie van gebruikersnamen
Getroffen onderdelen
AllowFrom-validatie per kanaal
Huidige mitigaties
Kanaalspecifieke identiteitsverificatie
Restrisico
Gemiddeld - sommige kanalen blijven kwetsbaar voor spoofing
Aanbevelingen
Documenteer kanaalspecifieke risico's, voeg waar mogelijk cryptografische verificatie toe
T-ACCESS-003: Tokendiefstal
Kenmerk
Waarde
ATLAS-ID
AML.T0040 - Toegang tot API voor AI-modelinferentie
Beschrijving
Aanvaller steelt authenticatietokens uit configuratie-/referentiebestanden
Aanvalsvector
Malware, ongeautoriseerde toegang tot apparaten, blootstelling van configuratieback-ups
Getroffen onderdelen
Opslag van kanaal-/providerreferenties, configuratieopslag
Huidige mitigaties
Bestandsmachtigingen
Restrisico
Hoog - tokens worden als platte tekst op schijf opgeslagen
Aanbevelingen
Implementeer versleuteling van opgeslagen tokens, voeg tokenrotatie toe
3.3 Uitvoering (AML.TA0005)
T-EXEC-001: Directe promptinjectie
Kenmerk
Waarde
ATLAS-ID
AML.T0051.000 - LLM-promptinjectie: direct
Beschrijving
Aanvaller verzendt speciaal opgestelde prompts om het gedrag van de agent te manipuleren
Aanvalsvector
Kanaalberichten met vijandige instructies
Getroffen onderdelen
LLM van de agent, alle invoeroppervlakken
Huidige mitigaties
Patroondetectie, omhulling van externe inhoud; wordt zonder omzeiling van een beveiligingsgrens beschouwd als buiten het bereik van kwetsbaarheidsmeldingen (zie SECURITY.md)
Restrisico
Kritiek - alleen detectie, geen blokkering; geavanceerde aanvallen omzeilen deze
Aanbevelingen
Uitvoervalidatie en gebruikersbevestiging voor gevoelige acties, als extra laag boven op de bestaande detectie
T-EXEC-002: Indirecte promptinjectie
Kenmerk
Waarde
ATLAS-ID
AML.T0051.001 - LLM-promptinjectie: indirect
Beschrijving
Aanvaller sluit schadelijke instructies in opgehaalde inhoud in
Aanvaller stelt opdrachten op die de toelatingslijst voor goedkeuring omzeilen
Aanvalsvector
Verhulling van opdrachten, misbruik van aliassen, padmanipulatie
Getroffen onderdelen
src/infra/exec-approvals*.ts, toelatingslijst voor opdrachten
Huidige mitigaties
Toelatingslijst + vraagmodus, plus normalisatie van opdrachten (uitpakken van dispatch-wrappers, detectie van inline-evaluatie, analyse van shellketens)
Restrisico
Hoog - normalisatie beperkt maar elimineert de omzeiling via verhulling niet; bevindingen die alleen pariteitsverschillen tussen uitvoeringspaden betreffen, gelden als versterking en niet als kwetsbaarheden (zie SECURITY.md)
Aanbevelingen
Blijf de dekking van opdrachtnormalisatie uitbreiden voor nieuwe verhullingstechnieken
3.4 Persistentie (AML.TA0006)
T-PERSIST-001: Installatie van schadelijke skill
Kenmerk
Waarde
ATLAS-ID
AML.T0010.001 - Compromittering van de toeleveringsketen: AI-software
Beschrijving
Aanvaller publiceert een schadelijke skill op ClawHub
Aanvalsvector
Account aanmaken, skill met verborgen schadelijke code publiceren
Getroffen onderdelen
ClawHub, laden van skills, uitvoering door de agent
Huidige mitigaties
Verificatie van de leeftijd van het GitHub-account, statische patroon-/AST-gerelateerde scans, LLM-gebaseerde agentische risicobeoordeling, VirusTotal-scans
Restrisico
Hoog - er bestaan detectielagen, maar skills worden nog steeds uitgevoerd met agentbevoegdheden en zonder uitvoeringssandboxing
Aanbevelingen
Sandboxing van skilluitvoering, uitgebreidere beoordeling door de gemeenschap
T-PERSIST-002: Vergiftiging van skillupdates
Kenmerk
Waarde
ATLAS-ID
AML.T0010.001 - Compromittering van de toeleveringsketen: AI-software
Beschrijving
Aanvaller compromitteert een populaire skill en pusht een schadelijke update
Aanvalsvector
Compromittering van accounts, social engineering van de eigenaar van de skill
Toegestane URL-lijst, bewustzijn van gegevensclassificatie
T-EXFIL-002: Ongeautoriseerd verzenden van berichten
Kenmerk
Waarde
ATLAS-ID
AML.T0009 - Verzameling
Beschrijving
Aanvaller zorgt dat de agent berichten met gevoelige gegevens verzendt
Aanvalsvector
Promptinjectie waardoor de agent de aanvaller een bericht stuurt
Getroffen onderdelen
Berichtentool, kanaalintegraties
Huidige maatregelen
Toegangscontrole voor uitgaande berichten
Restrisico
Gemiddeld - toegangscontrole kan worden omzeild
Aanbevelingen
Expliciete bevestiging voor nieuwe ontvangers
T-EXFIL-003: Verzameling van inloggegevens
Kenmerk
Waarde
ATLAS-ID
AML.T0009 - Verzameling
Beschrijving
Kwaadaardige skill verzamelt inloggegevens uit de agentcontext
Aanvalsvector
Skillcode leest omgevingsvariabelen en configuratiebestanden
Getroffen onderdelen
Uitvoeringsomgeving van skills
Huidige maatregelen
Scannen door ClawHub op inloggegevenspatronen (hardgecodeerde geheimen, toegang tot omgevingsvariabelen met inloggegevens gecombineerd met netwerkverzendingen); geen uitvoeringssandbox voor skills tijdens runtime
Restrisico
Kritiek - skills worden uitgevoerd met de bevoegdheden van de agent
Aanbevelingen
Uitvoeringssandbox voor skills, isolatie van inloggegevens
3.8 Impact (AML.TA0011)
T-IMPACT-001: Ongeautoriseerde opdrachtuitvoering
Kenmerk
Waarde
ATLAS-ID
AML.T0031 - Integriteit van AI-model aantasten
Beschrijving
Aanvaller voert willekeurige opdrachten uit op het systeem van de gebruiker
Aanvalsvector
Promptinjectie gecombineerd met omzeiling van goedkeuring voor uitvoering
Getroffen onderdelen
Bash-tool, opdrachtuitvoering
Huidige maatregelen
Goedkeuringen voor uitvoering, Docker-sandboxoptie (standaard runtimebackend)
Restrisico
Kritiek - uitvoering op de host is mogelijk wanneer de sandbox is uitgeschakeld
Aanbevelingen
Verbeter de gebruikerservaring voor goedkeuringen; implementaties zonder sandbox blijven een bewuste keuze van de beheerder en worden als zodanig gedocumenteerd
Aanvaller zorgt dat de agent schadelijke of aanstootgevende inhoud verzendt
Aanvalsvector
Promptinjectie die ongepaste antwoorden veroorzaakt
Getroffen onderdelen
Uitvoergeneratie, kanaalberichten
Huidige maatregelen
Inhoudsbeleid van de LLM-provider
Restrisico
Gemiddeld - providerfilters zijn niet perfect
Aanbevelingen
Filterlaag voor uitvoer, gebruikersinstellingen
4. Analyse van de ClawHub-toeleveringsketen
4.1 Huidige beveiligingsmaatregelen
Beheersmaatregel
Implementatie
Effectiviteit
Leeftijd GitHub-account
requireGitHubAccountAge() (minimaal 14 dagen)
Gemiddeld - verhoogt de drempel voor nieuwe aanvallers
Padopschoning
sanitizePath()
Hoog - voorkomt padtraversatie
Bestandstypevalidatie
isTextFile()
Gemiddeld - alleen tekstbestanden worden gescand, maar blijven misbruikbaar
Groottelimieten
Totale bundel van 50 MB (MAX_PUBLISH_TOTAL_BYTES)
Hoog - voorkomt uitputting van bronnen
Vereist SKILL.md
Verplicht leesmij-bestand bij publicatie
Lage beveiligingswaarde - uitsluitend informatief
Statische + AST-gerelateerde scanning
Patroonengine voor uitvoering, exfiltratie, het verzamelen van inloggegevens, versluiering en meer
Gemiddeld-hoog - dekt veel bekende misbruikpatronen, maar blijft patroongebaseerd
Agentische risicobeoordeling op basis van een LLM
Door een beveiligingsprompt gestuurd oordeel bij publicatie
Gemiddeld-hoog - detecteert gedrag dat statische patronen missen
VirusTotal-scanning
Gekoppeld aan publicatie- en herscanprocessen voor Skills en pakketreleases, afhankelijk van de API-sleutel van de beheerder
Hoog indien ingeschakeld - detectie door statische engines
Moderatiestatus
Veld moderationStatus
Gemiddeld - handmatige beoordeling mogelijk
4.2 Beperkingen van moderatie
De statische scanning van ClawHub inspecteert rechtstreeks de code-inhoud van Skills (niet alleen slug/metadata/frontmatter) en controleert onder meer op gevaarlijke uitvoeringsaanroepen, dynamische code-uitvoering, het verzamelen van inloggegevens, exfiltratiepatronen en versluierde payloads. Bekende tekortkomingen:
Patroongebaseerde detectie kan nog steeds worden omzeild met voldoende nieuwe versluieringstechnieken.
Beoordeling op basis van een LLM en VirusTotal-scanning zijn afhankelijk van ingeschakelde API-sleutels/configuratie aan de beheerderszijde.
Er is geen uitvoeringssandbox die een geïnstalleerde Skill isoleert van de eigen bevoegdheden van de agent.
4.3 Badges
Skills en pakketten hebben door moderators toegewezen badges: highlighted, official, deprecated, redactionApproved (alleen Skills). Meldingen vanuit de community (skillReports) en auditlogboekregistratie (auditLogs) ondersteunen moderatieworkflows.