Wersja: 1.0-draft | Ramy:MITRE ATLAS (krajobraz zagrożeń adwersaryjnych dla systemów AI) + diagramy przepływu danych
Ten model zagrożeń dokumentuje zagrożenia adwersaryjne dla platformy agentów AI OpenClaw oraz marketplace’u umiejętności ClawHub. Jest to żywy dokument utrzymywany przez społeczność OpenClaw. Informacje o zgłaszaniu nowych zagrożeń, proponowaniu łańcuchów ataków i sugerowaniu środków zaradczych zawiera sekcja Współtworzenie modelu zagrożeń.
Publikowanie, moderowanie i dystrybucja umiejętności
Serwery MCP
Tak
Zewnętrzni dostawcy narzędzi
Urządzenia użytkowników
Częściowo
Aplikacje mobilne, klienty komputerowe
Zgłoszenia poza zakresem i wzorce wyników fałszywie dodatnich (publiczna ekspozycja w internecie, łańcuchy obejmujące wyłącznie wstrzyknięcie polecenia bez obejścia granicy, wzajemnie niezaufani operatorzy współdzielący jeden host Gateway i inne) wymieniono w pliku SECURITY.md; to ten plik, a nie niniejsza strona, stanowi aktualne źródło prawdy dotyczące zakresu zgłaszania podatności.
Atakujący wysyła spreparowane prompty w celu manipulowania zachowaniem agenta
Wektor ataku
Wiadomości w kanałach zawierające wrogie instrukcje
Komponenty narażone
LLM agenta, wszystkie powierzchnie wejściowe
Obecne zabezpieczenia
Wykrywanie wzorców, opakowywanie treści zewnętrznych; traktowane jako wykraczające poza zakres zgłoszeń podatności, jeśli nie dochodzi do obejścia granicy zabezpieczeń (zob. SECURITY.md)
Ryzyko rezydualne
Krytyczne — tylko wykrywanie, bez blokowania; zaawansowane ataki omijają zabezpieczenia
Zalecenia
Dodać walidację danych wyjściowych i potwierdzenie użytkownika dla wrażliwych działań jako kolejną warstwę istniejącego mechanizmu wykrywania
web_fetch, przetwarzanie wiadomości e-mail, zewnętrzne źródła danych
Obecne zabezpieczenia
Opakowywanie treści znacznikami w stylu XML z losowymi granicami, normalizacja homoglifów/tokenów specjalnych oraz ostrzeżenie dotyczące bezpieczeństwa
Ryzyko rezydualne
Wysokie — LLM może nadal ignorować instrukcje zawarte w opakowaniu
Zalecenia
Oddzielne konteksty wykonania dla opakowanej treści
src/infra/exec-approvals*.ts, lista dozwolonych poleceń
Obecne zabezpieczenia
Lista dozwolonych poleceń i tryb pytania oraz normalizacja poleceń (usuwanie opakowania dyspozytora, wykrywanie ewaluacji wbudowanej, analiza łańcuchów poleceń powłoki)
Ryzyko rezydualne
Wysokie — normalizacja ogranicza możliwość obejścia przez zaciemnianie, ale jej nie eliminuje; ustalenia dotyczące wyłącznie zgodności między ścieżkami wykonania są traktowane jako utwardzanie zabezpieczeń, a nie podatności (zob. SECURITY.md)
Zalecenia
Nadal rozszerzać zakres normalizacji poleceń o nowe techniki zaciemniania
3.4 Utrzymanie dostępu (AML.TA0006)
T-PERSIST-001: Instalacja złośliwej Skills
Atrybut
Wartość
Identyfikator ATLAS
AML.T0010.001 - Naruszenie łańcucha dostaw: oprogramowanie AI
Opis
Atakujący publikuje złośliwą Skills w ClawHub
Wektor ataku
Utworzenie konta i opublikowanie Skills z ukrytym złośliwym kodem
Komponenty narażone
ClawHub, ładowanie Skills, wykonywanie przez agenta
Obecne zabezpieczenia
Weryfikacja wieku konta GitHub, statyczne skanowanie wzorców i struktur zbliżonych do AST, oparta na LLM agentowa ocena ryzyka, skanowanie VirusTotal
Ryzyko rezydualne
Wysokie — istnieją warstwy wykrywania, ale Skills nadal działają z uprawnieniami agenta i bez izolacji środowiska wykonawczego
Zalecenia
Izolacja środowiska wykonywania Skills, rozszerzona weryfikacja społecznościowa
T-PERSIST-002: Zatrucie aktualizacji Skills
Atrybut
Wartość
Identyfikator ATLAS
AML.T0010.001 - Naruszenie łańcucha dostaw: oprogramowanie AI
Opis
Atakujący przejmuje popularną Skills i publikuje złośliwą aktualizację
Wektor ataku
Przejęcie konta, socjotechnika wymierzona we właściciela Skills
Znaczniki w stylu XML z losowymi granicami i ostrzeżenie dotyczące bezpieczeństwa oraz wykrywanie podszywania się pod znaczniki za pomocą homoglifów i wariantów białych znaków
Ryzyko rezydualne
Średnie — nowe metody wydostawania się są regularnie odkrywane
Zalecenia
Walidacja danych wyjściowych oprócz opakowywania danych wejściowych
3.6 Rozpoznanie (AML.TA0008)
T-DISC-001: Wyliczanie narzędzi
Atrybut
Wartość
Identyfikator ATLAS
AML.T0040 - Dostęp do interfejsu API wnioskowania modelu AI
Opis
Atakujący wylicza dostępne narzędzia za pomocą poleceń dla modelu
Wektor ataku
Zapytania w rodzaju „Jakie masz narzędzia?”
Komponenty podatne
Rejestr narzędzi agenta
Obecne zabezpieczenia
Brak konkretnych
Ryzyko rezydualnee
Niskie — narzędzia są zazwyczaj udokumentowane
Zalecenia
Rozważenie mechanizmów kontroli widoczności narzędzi
T-DISC-002: Pozyskiwanie danych sesji
Atrybut
Wartość
Identyfikator ATLAS
AML.T0040 - Dostęp do interfejsu API wnioskowania modelu AI
Opis
Atakujący pozyskuje dane wrażliwe z kontekstu sesji
Wektor ataku
Zapytania w rodzaju „O czym rozmawialiśmy?”, sondowanie kontekstu
Komponenty podatne
Transkrypcje sesji, okno kontekstu
Obecne zabezpieczenia
Izolacja sesji według nadawcy (klucz agent:channel:peer)
Ryzyko rezydualne
Średnie — dane w obrębie sesji są z założenia dostępne
Zalecenia
Redagowanie danych wrażliwych w kontekście
3.7 Gromadzenie i eksfiltracja (AML.TA0009, AML.TA0010)
T-EXFIL-001: Kradzież danych za pomocą web_fetch
Atrybut
Wartość
Identyfikator ATLAS
AML.T0009 - Gromadzenie
Opis
Atakujący eksfiltruje dane, instruując agenta, aby wysłał je pod zewnętrzny adres URL
Wektor ataku
Wstrzyknięcie polecenia powodujące wysłanie danych metodą POST przez agenta na serwer atakującego
Komponenty podatne
Narzędzie web_fetch
Obecne zabezpieczenia
Blokowanie SSRF dla sieci wewnętrznych/prywatnych (przypinanie DNS i blokowanie adresów IP)
Ryzyko rezydualne
Wysokie — dowolne zewnętrzne adresy URL pozostają dozwolone
Zalecenia
Lista dozwolonych adresów URL, uwzględnianie klasyfikacji danych
T-EXFIL-002: Nieautoryzowane wysyłanie wiadomości
Atrybut
Wartość
Identyfikator ATLAS
AML.T0009 - Gromadzenie
Opis
Atakujący powoduje wysyłanie przez agenta wiadomości zawierających dane wrażliwe
Wektor ataku
Wstrzyknięcie polecenia powodujące wysłanie przez agenta wiadomości do atakującego
Komponenty podatne
Narzędzie wiadomości, integracje kanałów
Obecne zabezpieczenia
Kontrola wysyłania wiadomości wychodzących
Ryzyko rezydualne
Średnie — kontrola może zostać ominięta
Zalecenia
Jawne potwierdzenie w przypadku nowych odbiorców
T-EXFIL-003: Wykradanie danych uwierzytelniających
Atrybut
Wartość
Identyfikator ATLAS
AML.T0009 - Gromadzenie
Opis
Złośliwe Skills wykradają dane uwierzytelniające z kontekstu agenta
Wektor ataku
Kod Skills odczytuje zmienne środowiskowe i pliki konfiguracyjne
Komponenty podatne
Środowisko wykonywania Skills
Obecne zabezpieczenia
Skanowanie przez ClawHub pod kątem wzorców danych uwierzytelniających (sekrety zakodowane na stałe, dostęp do zmiennych środowiskowych z danymi uwierzytelniającymi połączony z wysyłaniem przez sieć); brak izolacji wykonania Skills w czasie działania
Ryzyko rezydualne
Krytyczne — Skills działają z uprawnieniami agenta
Zalecenia
Izolacja wykonania Skills, izolacja danych uwierzytelniających
3.8 Skutki (AML.TA0011)
T-IMPACT-001: Nieautoryzowane wykonywanie poleceń
Atrybut
Wartość
Identyfikator ATLAS
AML.T0031 - Naruszenie integralności modelu AI
Opis
Atakujący wykonuje dowolne polecenia w systemie użytkownika
Wektor ataku
Wstrzyknięcie polecenia połączone z obejściem zatwierdzania wykonania
Komponenty podatne
Narzędzie Bash, wykonywanie poleceń
Obecne zabezpieczenia
Zatwierdzanie wykonania, opcja piaskownicy Docker (domyślny backend środowiska wykonawczego)
Ryzyko rezydualne
Krytyczne — wykonywanie na hoście jest możliwe, gdy piaskownica jest wyłączona
Zalecenia
Ulepszenie interfejsu zatwierdzania; wdrożenia z wyłączoną piaskownicą pozostają świadomym wyborem operatora, co jest odpowiednio udokumentowane
T-IMPACT-002: Wyczerpanie zasobów (DoS)
Atrybut
Wartość
Identyfikator ATLAS
AML.T0031 - Naruszenie integralności modelu AI
Opis
Atakujący wyczerpuje środki API lub zasoby obliczeniowe
Wysokie — brak ograniczania częstotliwości według nadawcy
Zalecenia
Limity częstotliwości według nadawcy, budżety kosztów
T-IMPACT-003: Szkody wizerunkowe
Atrybut
Wartość
Identyfikator ATLAS
AML.T0031 - Naruszenie integralności modelu AI
Opis
Atakujący powoduje wysyłanie przez agenta szkodliwych/obraźliwych treści
Wektor ataku
Wstrzyknięcie polecenia powodujące nieodpowiednie odpowiedzi
Komponenty podatne
Generowanie danych wyjściowych, wysyłanie wiadomości w kanałach
Obecne zabezpieczenia
Zasady dostawcy LLM dotyczące treści
Ryzyko rezydualne
Średnie — filtry dostawcy nie są doskonałe
Zalecenia
Warstwa filtrowania danych wyjściowych, mechanizmy kontroli użytkownika
4. Analiza łańcucha dostaw ClawHub
4.1 Obecne mechanizmy bezpieczeństwa
Mechanizm kontrolny
Implementacja
Skuteczność
Wiek konta GitHub
requireGitHubAccountAge() (minimum 14 dni)
Średnia — podnosi próg wejścia dla nowych atakujących
Sanityzacja ścieżek
sanitizePath()
Wysoka — zapobiega przechodzeniu poza dozwoloną ścieżkę
Walidacja typu pliku
isTextFile()
Średnia — skanowane są tylko pliki tekstowe, ale nadal można to wykorzystać
Limity rozmiaru
Łącznie 50 MB na pakiet (MAX_PUBLISH_TOTAL_BYTES)
Wysoka — zapobiega wyczerpaniu zasobów
Wymagany plik SKILL.md
Obowiązkowy plik readme przy publikacji
Niska wartość dla bezpieczeństwa — wyłącznie informacyjna
Skanowanie statyczne i zbliżone do AST
Mechanizm wzorców obejmujący wykonywanie poleceń, eksfiltrację, pozyskiwanie danych uwierzytelniających, zaciemnianie kodu i inne zagrożenia
Średnio wysoka — obejmuje wiele znanych wzorców nadużyć, ale nadal opiera się na wzorcach
Agentowy przegląd ryzyka oparty na LLM
Werdykt podczas publikacji oparty na monicie bezpieczeństwa
Średnio wysoka — wykrywa zachowania pomijane przez wzorce statyczne
Skanowanie VirusTotal
Podłączone do procesów publikacji i ponownego skanowania Skills oraz wydań pakietów; wymaga klucza API operatora
Wysoka po włączeniu — wykrywanie przez silniki statyczne
Status moderacji
Pole moderationStatus
Średnia — umożliwia ręczny przegląd
4.2 Ograniczenia moderacji
Skanowanie statyczne ClawHub bezpośrednio analizuje zawartość kodu Skills (nie tylko identyfikator, metadane i frontmatter), uwzględniając niebezpieczne wywołania wykonawcze, dynamiczne wykonywanie kodu, pozyskiwanie danych uwierzytelniających, wzorce eksfiltracji, zaciemnione ładunki i inne zagrożenia. Znane luki:
Wykrywanie oparte na wzorcach nadal można ominąć za pomocą wystarczająco nowatorskich technik zaciemniania.
Przegląd oparty na LLM i skanowanie VirusTotal zależą od włączenia kluczy API oraz konfiguracji po stronie operatora.
Po zainstalowaniu żadna piaskownica wykonawcza nie izoluje Skills od uprawnień samego agenta.
4.3 Odznaki
Skills i pakiety otrzymują odznaki nadawane przez moderatorów: highlighted, official, deprecated, redactionApproved (tylko Skills). Zgłoszenia społeczności (skillReports) i dzienniki audytowe (auditLogs) wspierają procesy moderacji.
5. Macierz ryzyka
5.1 Prawdopodobieństwo a wpływ
Identyfikator zagrożenia
Prawdopodobieństwo
Wpływ
Poziom ryzyka
Priorytet
T-EXEC-001
Wysokie
Krytyczny
Krytyczny
P0
T-PERSIST-001
Wysokie
Krytyczny
Krytyczny
P0
T-EXFIL-003
Średnie
Krytyczny
Krytyczny
P0
T-IMPACT-001
Średnie
Krytyczny
Wysoki
P1
T-EXEC-002
Wysokie
Wysoki
Wysoki
P1
T-EXEC-004
Średnie
Wysoki
Wysoki
P1
T-ACCESS-003
Średnie
Wysoki
Wysoki
P1
T-EXFIL-001
Średnie
Wysoki
Wysoki
P1
T-IMPACT-002
Wysokie
Średni
Wysoki
P1
T-EVADE-001
Wysokie
Średni
Średni
P2
T-ACCESS-001
Niskie
Wysoki
Średni
P2
T-ACCESS-002
Niskie
Wysoki
Średni
P2
T-PERSIST-002
Niskie
Wysoki
Średni
P2
5.2 Łańcuchy ataków na ścieżce krytycznej
Łańcuch 1: Kradzież danych za pośrednictwem Skills
Zasady zezwalania na narzędzia i odmawiania dostępu w piaskownicy
Krytyczny
src/routing/resolve-route.ts
Izolacja sesji / trasowanie
Średni
7.3 Glosariusz
Termin
Definicja
ATLAS
Krajobraz zagrożeń adwersarialnych dla systemów AI według MITRE
ClawHub
Rynek Skills dla OpenClaw
Gateway
Warstwa trasowania wiadomości i uwierzytelniania w OpenClaw
MCP
Model Context Protocol — interfejs dostawcy narzędzi
Wstrzyknięcie monitu
Atak polegający na osadzeniu złośliwych instrukcji w danych wejściowych
Skills
Rozszerzenie do pobrania dla agentów OpenClaw
SSRF
Fałszowanie żądań po stronie serwera
Ten model zagrożeń jest stale aktualizowanym dokumentem. Problemy z bezpieczeństwem zgłaszaj na adres security@openclaw.ai lub zapoznaj się ze stroną zaufania.