Versão: 1.0-rascunho | Framework:MITRE ATLAS (Cenário de Ameaças Adversárias para Sistemas de IA) + diagramas de fluxo de dados
Este modelo de ameaças documenta ameaças adversárias à plataforma de agentes de IA OpenClaw e ao marketplace de Skills ClawHub. É um documento vivo mantido pela comunidade OpenClaw. Consulte Como contribuir para o modelo de ameaças para saber como relatar novas ameaças, propor cadeias de ataque ou sugerir mitigações.
Execução principal do agente, chamadas de ferramentas, sessões
Gateway
Sim
Autenticação, roteamento, integração com canais
Integrações com canais
Sim
WhatsApp, Telegram, Discord, Signal, Slack etc.
Marketplace ClawHub
Sim
Publicação, moderação e distribuição de Skills
Servidores MCP
Sim
Provedores externos de ferramentas
Dispositivos dos usuários
Parcialmente
Aplicativos móveis, clientes para desktop
Relatos fora do escopo e padrões de falsos positivos (exposição à internet pública, cadeias que envolvem apenas injeção de prompt sem contornar um limite, operadores mutuamente não confiáveis compartilhando um mesmo host do Gateway, entre outros) estão enumerados em SECURITY.md; esse arquivo é a fonte da verdade atual para o escopo de relatos de vulnerabilidades, não esta página.
2. Arquitetura do sistema
2.1 Limites de confiança
text
┌─────────────────────────────────────────────────────────────────┐│ ZONA NÃO CONFIÁVEL ││ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ││ │ WhatsApp │ │ Telegram │ │ Discord │ ... ││ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ ││ │ │ │ │└─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼┌─────────────────────────────────────────────────────────────────┐│ LIMITE DE CONFIANÇA 1: Acesso ao canal ││ ┌──────────────────────────────────────────────────────────┐ ││ │ GATEWAY │ ││ │ • Pareamento de dispositivo (TTL de 1h para pareamento │ ││ │ por MD / 5m para pareamento de Node) │ ││ │ • Validação de AllowFrom / lista de permissões │ ││ │ • Autenticação por token / senha / Tailscale │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ LIMITE DE CONFIANÇA 2: Isolamento de sessões ││ ┌──────────────────────────────────────────────────────────┐ ││ │ SESSÕES DO AGENTE │ ││ │ • Chave da sessão = agente:canal:par │ ││ │ • Políticas de ferramentas por agente │ ││ │ • Registro de transcrições │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ LIMITE DE CONFIANÇA 3: Execução de ferramentas ││ ┌──────────────────────────────────────────────────────────┐ ││ │ SANDBOX DE EXECUÇÃO │ ││ │ • Sandbox do Docker (padrão) ou host (aprovações de │ ││ │ execução) │ ││ │ • Execução remota no Node │ ││ │ • Proteção contra SSRF (fixação de DNS + bloqueio de IP)│ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ LIMITE DE CONFIANÇA 4: Conteúdo externo ││ ┌──────────────────────────────────────────────────────────┐ ││ │ URLs / E-MAILS / WEBHOOKS OBTIDOS │ ││ │ • Encapsulamento de conteúdo externo (tags XML com │ ││ │ limites aleatórios) │ ││ │ • Injeção de avisos de segurança │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ LIMITE DE CONFIANÇA 5: Cadeia de suprimentos ││ ┌──────────────────────────────────────────────────────────┐ ││ │ CLAWHUB │ ││ │ • Publicação de Skills (semver, SKILL.md obrigatório) │ ││ │ • Verificação de moderação por padrões estáticos e │ ││ │ análise semelhante a AST │ ││ │ • Análise de riscos agêntica baseada em LLM + │ ││ │ verificação do VirusTotal │ ││ │ • Verificação da idade da conta do GitHub (14 dias) │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘
2.2 Fluxos de dados
Fluxo
Origem
Destino
Dados
Proteção
F1
Canal
Gateway
Mensagens dos usuários
TLS, AllowFrom
F2
Gateway
Agente
Mensagens roteadas
Isolamento de sessões
F3
Agente
Ferramentas
Invocações de ferramentas
Aplicação de políticas
F4
Agente
Externo
Solicitações de web_fetch
Bloqueio de SSRF
F5
ClawHub
Agente
Código de Skills
Moderação, verificação
F6
Agente
Canal
Respostas
Filtragem de saída
3. Análise de ameaças por tática do ATLAS
3.1 Reconhecimento (AML.TA0002)
T-RECON-001: Descoberta de endpoints de agentes
Atributo
Valor
ID do ATLAS
AML.T0006 - Varredura ativa
Descrição
O invasor procura endpoints expostos do Gateway OpenClaw
Vetor de ataque
Varredura de rede, consultas ao Shodan, enumeração de DNS
Componentes afetados
Gateway, endpoints de API expostos
Mitigações atuais
Opção de autenticação via Tailscale, vinculação a local loopback por padrão
Risco residual
Médio — gateways públicos podem ser descobertos
Recomendações
Documentar a implantação segura e adicionar limitação de taxa aos endpoints de descoberta
T-RECON-002: Sondagem de integrações com canais
Atributo
Valor
ID do ATLAS
AML.T0006 - Varredura ativa
Descrição
O invasor sonda canais de mensagens para identificar contas gerenciadas por IA
Vetor de ataque
Envio de mensagens de teste, observação de padrões de resposta
Componentes afetados
Todas as integrações com canais
Mitigações atuais
Nenhuma específica
Risco residual
Baixo — valor limitado obtido apenas com a descoberta
Recomendações
Considerar a randomização do tempo de resposta
3.2 Acesso inicial (AML.TA0004)
T-ACCESS-001: Interceptação do código de pareamento
Atributo
Valor
ID ATLAS
AML.T0040 - Acesso à API de inferência de modelo de IA
Descrição
O invasor intercepta um código de pareamento durante a janela de pareamento (1 h para MD/pareamento genérico, 5 min para pareamento de Node)
Vetor de ataque
Observação por terceiros, interceptação de rede, engenharia social
Componentes afetados
Sistema de pareamento de dispositivos
Mitigações atuais
TTL de 1 h (MD/pareamento genérico), TTL de 5 min (pareamento de Node); códigos enviados pelo canal existente
Risco residual
Médio — janela de pareamento explorável
Recomendações
Reduzir a janela de pareamento e adicionar uma etapa de confirmação
T-ACCESS-002: Falsificação de AllowFrom
Atributo
Valor
ID ATLAS
AML.T0040 - Acesso à API de inferência de modelo de IA
Descrição
O invasor falsifica a identidade de um remetente permitido em um canal
Vetor de ataque
Dependente do canal — falsificação de número de telefone, personificação de nome de usuário
Componentes afetados
Validação de AllowFrom por canal
Mitigações atuais
Verificação de identidade específica do canal
Risco residual
Médio — alguns canais continuam vulneráveis à falsificação
Recomendações
Documentar os riscos específicos de cada canal e adicionar verificação criptográfica quando possível
T-ACCESS-003: Roubo de tokens
Atributo
Valor
ID ATLAS
AML.T0040 - Acesso à API de inferência de modelo de IA
Descrição
O invasor rouba tokens de autenticação de arquivos de configuração/credenciais
Vetor de ataque
Malware, acesso não autorizado ao dispositivo, exposição de backup de configuração
Componentes afetados
Armazenamento de credenciais de canais/provedores, armazenamento de configurações
Mitigações atuais
Permissões de arquivos
Risco residual
Alto — tokens armazenados em texto simples no disco
Recomendações
Implementar criptografia de tokens em repouso e adicionar rotação de tokens
3.3 Execução (AML.TA0005)
T-EXEC-001: Injeção direta de prompt
Atributo
Valor
ID ATLAS
AML.T0051.000 - Injeção de prompt em LLM: direta
Descrição
O invasor envia prompts elaborados para manipular o comportamento do agente
Vetor de ataque
Mensagens de canal contendo instruções adversariais
Componentes afetados
LLM do agente, todas as superfícies de entrada
Mitigações atuais
Detecção de padrões, encapsulamento de conteúdo externo; considerado fora do escopo de relatórios de vulnerabilidade na ausência de violação de uma fronteira (consulte SECURITY.md)
Risco residual
Crítico — apenas detecção, sem bloqueio; ataques sofisticados conseguem contorná-la
Recomendações
Validação da saída e confirmação do usuário para ações confidenciais, sobrepostas à detecção existente
T-EXEC-002: Injeção indireta de prompt
Atributo
Valor
ID ATLAS
AML.T0051.001 - Injeção de prompt em LLM: indireta
Descrição
O invasor incorpora instruções maliciosas ao conteúdo obtido
web_fetch, ingestão de e-mails, fontes de dados externas
Mitigações atuais
Encapsulamento de conteúdo com marcadores no estilo XML de limites aleatórios, normalização de homóglifos/tokens especiais e um aviso de segurança
Risco residual
Alto — o LLM ainda pode ignorar as instruções do encapsulamento
Recomendações
Contextos de execução separados para conteúdo encapsulado
T-EXEC-003: Injeção de argumentos de ferramenta
Atributo
Valor
ID ATLAS
AML.T0051.000 - Injeção de prompt em LLM: direta
Descrição
O invasor manipula argumentos de ferramentas por meio de injeção de prompt
Vetor de ataque
Prompts elaborados que influenciam os valores dos parâmetros das ferramentas
Componentes afetados
Todas as invocações de ferramentas
Mitigações atuais
Aprovações de execução para comandos perigosos
Risco residual
Alto — depende do julgamento do usuário
Recomendações
Validação de argumentos, chamadas de ferramentas parametrizadas
T-EXEC-004: Contorno da aprovação de execução
Atributo
Valor
ID ATLAS
AML.T0043 - Criação de dados adversariais
Descrição
O invasor cria comandos que contornam a lista de permissões de aprovação
Vetor de ataque
Ofuscação de comandos, exploração de aliases, manipulação de caminhos
Componentes afetados
src/infra/exec-approvals*.ts, lista de permissões de comandos
Mitigações atuais
Lista de permissões + modo de solicitação, além da normalização de comandos (desencapsulamento do wrapper de despacho, detecção de avaliação em linha, análise de encadeamento do shell)
Risco residual
Alto — a normalização reduz, mas não elimina, o contorno por ofuscação; constatações somente de paridade entre caminhos de execução são tratadas como reforço de segurança, não como vulnerabilidades (consulte SECURITY.md)
Recomendações
Continuar ampliando a cobertura da normalização de comandos contra novas técnicas de ofuscação
3.4 Persistência (AML.TA0006)
T-PERSIST-001: Instalação de skill maliciosa
Atributo
Valor
ID ATLAS
AML.T0010.001 - Comprometimento da cadeia de suprimentos: software de IA
Descrição
O invasor publica uma skill maliciosa no ClawHub
Vetor de ataque
Criar uma conta e publicar uma skill com código malicioso oculto
Componentes afetados
ClawHub, carregamento de skills, execução do agente
Mitigações atuais
Verificação da idade da conta do GitHub, análise estática de padrões/próxima à AST, revisão de risco agêntica baseada em LLM, verificação pelo VirusTotal
Risco residual
Alto — existem camadas de detecção, mas as skills ainda são executadas com privilégios do agente e sem isolamento da execução
Recomendações
Isolamento da execução de skills, ampliação da revisão pela comunidade
T-PERSIST-002: Envenenamento de atualização de skill
Atributo
Valor
ID ATLAS
AML.T0010.001 - Comprometimento da cadeia de suprimentos: software de IA
Descrição
O invasor compromete uma skill popular e envia uma atualização maliciosa
Vetor de ataque
Comprometimento da conta, engenharia social do proprietário da skill
Componentes afetados
Versionamento do ClawHub, fluxos de atualização automática
Mitigações atuais
Impressão digital de versões, nova execução da moderação/verificação em novas versões
Risco residual
Alto — as atualizações automáticas podem obter versões maliciosas antes da conclusão da revisão
Recomendações
Assinatura de atualizações, capacidade de reversão, fixação de versão
T-PERSIST-003: Adulteração da configuração do agente
Atributo
Valor
ID ATLAS
AML.T0010.002 - Comprometimento da cadeia de suprimentos: dados
Descrição
O invasor modifica a configuração do agente para manter o acesso
Vetor de ataque
Modificação do arquivo de configuração, injeção de configurações
Componentes afetados
Configuração do agente, políticas de ferramentas
Mitigações atuais
Permissões de arquivo
Risco residual
Médio — requer acesso local
Recomendações
Verificação da integridade da configuração, registro de auditoria de alterações na configuração
3.5 Evasão de defesas (AML.TA0007)
T-EVADE-001: Desvio dos padrões de moderação
Atributo
Valor
ID ATLAS
AML.T0043 - Criação de dados adversariais
Descrição
O invasor cria conteúdo de Skill para evitar as verificações de moderação do ClawHub
Vetor de ataque
Homoglifos Unicode, truques de codificação, carregamento dinâmico
Componentes afetados
Pipeline de moderação/verificação do ClawHub
Mitigações atuais
Regras de padrões estáticos, verificação de código próxima à AST, análise de risco agêntico por LLM, VirusTotal
Risco residual
Médio — novas formas de ofuscação ainda podem passar pelas heurísticas em camadas
Recomendações
Continuar expandindo o corpus de padrões e comportamentos conforme novas evasões forem descobertas
T-EVADE-002: Escape do encapsulamento de conteúdo
Atributo
Valor
ID ATLAS
AML.T0043 - Criação de dados adversariais
Descrição
O invasor cria conteúdo que escapa do contexto do encapsulamento de conteúdo externo
Vetor de ataque
Manipulação de tags, confusão de contexto, substituição de instruções
Componentes afetados
Encapsulamento de conteúdo externo
Mitigações atuais
Marcadores no estilo XML com limites aleatórios e aviso de segurança, além da detecção de falsificação de marcadores por homoglifos ou variantes de espaços em branco
Risco residual
Médio — novos escapes são descobertos regularmente
Recomendações
Validação na saída, além do encapsulamento na entrada
3.6 Descoberta (AML.TA0008)
T-DISC-001: Enumeração de ferramentas
Atributo
Valor
ID ATLAS
AML.T0040 - Acesso à API de inferência do modelo de IA
Descrição
O invasor enumera as ferramentas disponíveis por meio de prompts
Vetor de ataque
Consultas como "Quais ferramentas você tem?"
Componentes afetados
Registro de ferramentas do agente
Mitigações atuais
Nenhuma específica
Risco residual
Baixo — as ferramentas geralmente são documentadas
Recomendações
Considerar controles de visibilidade das ferramentas
T-DISC-002: Extração de dados da sessão
Atributo
Valor
ID ATLAS
AML.T0040 - Acesso à API de inferência do modelo de IA
Descrição
O invasor extrai dados confidenciais do contexto da sessão
Vetor de ataque
Consultas como "O que discutimos?", sondagem de contexto
Componentes afetados
Transcrições da sessão, janela de contexto
Mitigações atuais
Isolamento da sessão por remetente (chave agent:channel:peer)
Risco residual
Médio — os dados da sessão são acessíveis por projeto
Recomendações
Mascaramento de dados confidenciais no contexto
3.7 Coleta e exfiltração (AML.TA0009, AML.TA0010)
T-EXFIL-001: Roubo de dados por meio de web_fetch
Atributo
Valor
ID ATLAS
AML.T0009 - Coleta
Descrição
O invasor exfiltra dados instruindo o agente a enviá-los para uma URL externa
Vetor de ataque
Injeção de prompt que faz o agente enviar dados por POST a um servidor do invasor
Componentes afetados
Ferramenta web_fetch
Mitigações atuais
Bloqueio de SSRF para redes internas/privadas (fixação de DNS e bloqueio de IP)
Lista de URLs permitidas, reconhecimento da classificação dos dados
T-EXFIL-002: Envio não autorizado de mensagens
Atributo
Valor
ID ATLAS
AML.T0009 - Coleta
Descrição
O invasor faz o agente enviar mensagens contendo dados confidenciais
Vetor de ataque
Injeção de prompt que faz o agente enviar uma mensagem ao invasor
Componentes afetados
Ferramenta de mensagens, integrações de canais
Mitigações atuais
Controle de envio de mensagens
Risco residual
Médio — o controle pode ser contornado
Recomendações
Confirmação explícita para novos destinatários
T-EXFIL-003: Coleta de credenciais
Atributo
Valor
ID ATLAS
AML.T0009 - Coleta
Descrição
Uma Skill maliciosa coleta credenciais do contexto do agente
Vetor de ataque
O código da Skill lê variáveis de ambiente e arquivos de configuração
Componentes afetados
Ambiente de execução da Skill
Mitigações atuais
Verificação de padrões de credenciais pelo ClawHub (segredos codificados diretamente, acesso a variáveis de ambiente de credenciais combinado com envios pela rede); não há isolamento da execução de Skills durante a execução
Risco residual
Crítico — as Skills são executadas com os privilégios do agente
Recomendações
Isolamento da execução de Skills, isolamento de credenciais
3.8 Impacto (AML.TA0011)
T-IMPACT-001: Execução não autorizada de comandos
Atributo
Valor
ID ATLAS
AML.T0031 - Comprometimento da integridade do modelo de IA
Descrição
O invasor executa comandos arbitrários no sistema do usuário
Vetor de ataque
Injeção de prompt combinada com desvio da aprovação de execução
Componentes afetados
Ferramenta Bash, execução de comandos
Mitigações atuais
Aprovações de execução, opção de sandbox do Docker (backend de execução padrão)
Risco residual
Crítico — a execução no host é possível quando o sandbox está desativado
Recomendações
Melhorar a experiência de aprovação; implantações sem sandbox continuam sendo uma escolha deliberada do operador, documentada como tal
T-IMPACT-002: Esgotamento de recursos (DoS)
Atributo
Valor
ID ATLAS
AML.T0031 - Comprometimento da integridade do modelo de IA
Descrição
O invasor esgota créditos de API ou recursos computacionais
Vetor de ataque
Inundação automatizada de mensagens, chamadas caras de ferramentas
Componentes afetados
Gateway, sessões do agente, provedor de API
Mitigações atuais
Nenhuma
Risco residual
Alto — não há limitação de taxa por remetente
Recomendações
Limites de taxa por remetente, orçamentos de custos
T-IMPACT-003: Danos à reputação
Atributo
Valor
ID ATLAS
AML.T0031 - Comprometimento da integridade do modelo de IA
Descrição
O invasor faz o agente enviar conteúdo nocivo ou ofensivo
Vetor de ataque
Injeção de prompt que causa respostas inadequadas
Componentes afetados
Geração de saída, mensagens em canais
Mitigações atuais
Políticas de conteúdo do provedor de LLM
Risco residual
Médio — os filtros do provedor são imperfeitos
Recomendações
Camada de filtragem de saída, controles do usuário
4. Análise da cadeia de suprimentos do ClawHub
4.1 Controles de segurança atuais
Controle
Implementação
Eficácia
Idade da conta do GitHub
requireGitHubAccountAge() (mínimo de 14 dias)
Média — aumenta a barreira para novos invasores
Sanitização de caminhos
sanitizePath()
Alta — impede a travessia de diretórios
Validação do tipo de arquivo
isTextFile()
Média — apenas arquivos de texto são verificados, mas ainda são exploráveis
Limites de tamanho
Pacote total de 50 MB (MAX_PUBLISH_TOTAL_BYTES)
Alta — evita o esgotamento de recursos
SKILL.md obrigatório
Readme obrigatório na publicação
Baixo valor de segurança — apenas informativo
Verificação estática e adjacente à AST
Mecanismo de padrões que abrange execução, exfiltração, coleta de credenciais, ofuscação e muito mais
Média-alta — abrange muitos padrões conhecidos de abuso, mas ainda se baseia em padrões
Análise agêntica de riscos com LLM
Veredito orientado por prompt de segurança durante a publicação
Média-alta — detecta comportamentos não identificados por padrões estáticos
Verificação pelo VirusTotal
Integrada aos fluxos de publicação e nova verificação de Skills e versões de pacotes, condicionada à chave de API do operador
Alta quando ativada — detecção por mecanismos estáticos
Status de moderação
Campo moderationStatus
Média — permite análise manual
4.2 Limitações da moderação
A verificação estática do ClawHub inspeciona diretamente o conteúdo do código da Skill (não apenas slug/metadados/frontmatter), abrangendo chamadas de execução perigosas, execução dinâmica de código, coleta de credenciais, padrões de exfiltração, cargas úteis ofuscadas e muito mais. Lacunas conhecidas:
A detecção baseada em padrões ainda pode ser contornada por técnicas de ofuscação suficientemente inéditas.
A análise baseada em LLM e a verificação pelo VirusTotal dependem da ativação de chaves de API/configuração por parte do operador.
Nenhum sandbox de execução em tempo de execução isola uma Skill dos privilégios do próprio agente depois de instalada.
4.3 Selos
Skills e pacotes recebem selos atribuídos por moderadores: highlighted, official, deprecated, redactionApproved (somente Skills). Denúncias da comunidade (skillReports) e registros de auditoria (auditLogs) dão suporte aos fluxos de trabalho de moderação.