---
read_when:
    - Analisando a postura de segurança ou cenários de ameaça
    - Trabalhando em recursos de segurança ou respostas a auditorias
summary: Modelo de ameaças do OpenClaw mapeado para o framework MITRE ATLAS
title: Modelo de ameaças (MITRE ATLAS)
x-i18n:
    generated_at: "2026-07-12T00:24:12Z"
    model: gpt-5.6
    postprocess_version: locale-links-v1
    provider: openai
    source_hash: c88ffdef850bd2afaf835baab2555304c914a0be1df6b6b9109e0f55d1448392
    source_path: security/THREAT-MODEL-ATLAS.md
    workflow: 16
---

**Versão:** 1.0-rascunho | **Framework:** [MITRE ATLAS](https://atlas.mitre.org/) (Cenário de Ameaças Adversárias para Sistemas de IA) + diagramas de fluxo de dados

Este modelo de ameaças documenta ameaças adversárias à plataforma de agentes de IA OpenClaw e ao marketplace de Skills ClawHub. É um documento vivo mantido pela comunidade OpenClaw. Consulte [Como contribuir para o modelo de ameaças](/pt-BR/security/CONTRIBUTING-THREAT-MODEL) para saber como relatar novas ameaças, propor cadeias de ataque ou sugerir mitigações.

**Principais recursos do ATLAS:** [Técnicas](https://atlas.mitre.org/techniques/) | [Táticas](https://atlas.mitre.org/tactics/) | [Estudos de caso](https://atlas.mitre.org/studies/) | [ATLAS no GitHub](https://github.com/mitre-atlas/atlas-data) | [Como contribuir para o ATLAS](https://atlas.mitre.org/resources/contribute)

---

## 1. Escopo

| Componente                       | Incluído     | Observações                                           |
| -------------------------------- | ------------ | ----------------------------------------------------- |
| Ambiente de execução do agente OpenClaw | Sim          | Execução principal do agente, chamadas de ferramentas, sessões |
| Gateway                          | Sim          | Autenticação, roteamento, integração com canais       |
| Integrações com canais           | Sim          | WhatsApp, Telegram, Discord, Signal, Slack etc.       |
| Marketplace ClawHub              | Sim          | Publicação, moderação e distribuição de Skills        |
| Servidores MCP                   | Sim          | Provedores externos de ferramentas                    |
| Dispositivos dos usuários        | Parcialmente | Aplicativos móveis, clientes para desktop             |

Relatos fora do escopo e padrões de falsos positivos (exposição à internet pública, cadeias que envolvem apenas injeção de prompt sem contornar um limite, operadores mutuamente não confiáveis compartilhando um mesmo host do Gateway, entre outros) estão enumerados em [`SECURITY.md`](https://github.com/openclaw/openclaw/blob/main/SECURITY.md); esse arquivo é a fonte da verdade atual para o escopo de relatos de vulnerabilidades, não esta página.

## 2. Arquitetura do sistema

### 2.1 Limites de confiança

```text
┌─────────────────────────────────────────────────────────────────┐
│                    ZONA NÃO CONFIÁVEL                           │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 LIMITE DE CONFIANÇA 1: Acesso ao canal          │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Pareamento de dispositivo (TTL de 1h para pareamento  │   │
│  │    por MD / 5m para pareamento de Node)                  │   │
│  │  • Validação de AllowFrom / lista de permissões          │   │
│  │  • Autenticação por token / senha / Tailscale            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 LIMITE DE CONFIANÇA 2: Isolamento de sessões    │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   SESSÕES DO AGENTE                      │   │
│  │  • Chave da sessão = agente:canal:par                    │   │
│  │  • Políticas de ferramentas por agente                   │   │
│  │  • Registro de transcrições                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 LIMITE DE CONFIANÇA 3: Execução de ferramentas  │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  SANDBOX DE EXECUÇÃO                     │   │
│  │  • Sandbox do Docker (padrão) ou host (aprovações de     │   │
│  │    execução)                                             │   │
│  │  • Execução remota no Node                               │   │
│  │  • Proteção contra SSRF (fixação de DNS + bloqueio de IP)│   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 LIMITE DE CONFIANÇA 4: Conteúdo externo         │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              URLs / E-MAILS / WEBHOOKS OBTIDOS           │   │
│  │  • Encapsulamento de conteúdo externo (tags XML com      │   │
│  │    limites aleatórios)                                   │   │
│  │  • Injeção de avisos de segurança                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 LIMITE DE CONFIANÇA 5: Cadeia de suprimentos    │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Publicação de Skills (semver, SKILL.md obrigatório)   │   │
│  │  • Verificação de moderação por padrões estáticos e      │   │
│  │    análise semelhante a AST                              │   │
│  │  • Análise de riscos agêntica baseada em LLM +           │   │
│  │    verificação do VirusTotal                             │   │
│  │  • Verificação da idade da conta do GitHub (14 dias)     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
```

### 2.2 Fluxos de dados

| Fluxo | Origem  | Destino  | Dados                         | Proteção                      |
| ----- | ------- | -------- | ----------------------------- | ----------------------------- |
| F1    | Canal   | Gateway  | Mensagens dos usuários        | TLS, AllowFrom                |
| F2    | Gateway | Agente   | Mensagens roteadas            | Isolamento de sessões         |
| F3    | Agente  | Ferramentas | Invocações de ferramentas  | Aplicação de políticas        |
| F4    | Agente  | Externo  | Solicitações de `web_fetch`   | Bloqueio de SSRF              |
| F5    | ClawHub | Agente   | Código de Skills              | Moderação, verificação        |
| F6    | Agente  | Canal    | Respostas                     | Filtragem de saída            |

---

## 3. Análise de ameaças por tática do ATLAS

### 3.1 Reconhecimento (AML.TA0002)

#### T-RECON-001: Descoberta de endpoints de agentes

| Atributo                 | Valor                                                                  |
| ------------------------ | ---------------------------------------------------------------------- |
| **ID do ATLAS**          | AML.T0006 - Varredura ativa                                            |
| **Descrição**            | O invasor procura endpoints expostos do Gateway OpenClaw               |
| **Vetor de ataque**      | Varredura de rede, consultas ao Shodan, enumeração de DNS              |
| **Componentes afetados** | Gateway, endpoints de API expostos                                     |
| **Mitigações atuais**    | Opção de autenticação via Tailscale, vinculação a local loopback por padrão |
| **Risco residual**       | Médio — gateways públicos podem ser descobertos                        |
| **Recomendações**        | Documentar a implantação segura e adicionar limitação de taxa aos endpoints de descoberta |

#### T-RECON-002: Sondagem de integrações com canais

| Atributo                 | Valor                                                                  |
| ------------------------ | ---------------------------------------------------------------------- |
| **ID do ATLAS**          | AML.T0006 - Varredura ativa                                            |
| **Descrição**            | O invasor sonda canais de mensagens para identificar contas gerenciadas por IA |
| **Vetor de ataque**      | Envio de mensagens de teste, observação de padrões de resposta         |
| **Componentes afetados** | Todas as integrações com canais                                        |
| **Mitigações atuais**    | Nenhuma específica                                                     |
| **Risco residual**       | Baixo — valor limitado obtido apenas com a descoberta                  |
| **Recomendações**        | Considerar a randomização do tempo de resposta                         |

---

### 3.2 Acesso inicial (AML.TA0004)

#### T-ACCESS-001: Interceptação do código de pareamento

| Atributo                | Valor                                                                                                           |
| ----------------------- | --------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0040 - Acesso à API de inferência de modelo de IA                                                          |
| **Descrição**           | O invasor intercepta um código de pareamento durante a janela de pareamento (1 h para MD/pareamento genérico, 5 min para pareamento de Node) |
| **Vetor de ataque**     | Observação por terceiros, interceptação de rede, engenharia social                                              |
| **Componentes afetados** | Sistema de pareamento de dispositivos                                                                          |
| **Mitigações atuais**   | TTL de 1 h (MD/pareamento genérico), TTL de 5 min (pareamento de Node); códigos enviados pelo canal existente   |
| **Risco residual**      | Médio — janela de pareamento explorável                                                                         |
| **Recomendações**       | Reduzir a janela de pareamento e adicionar uma etapa de confirmação                                             |

#### T-ACCESS-002: Falsificação de AllowFrom

| Atributo                | Valor                                                                          |
| ----------------------- | ------------------------------------------------------------------------------ |
| **ID ATLAS**            | AML.T0040 - Acesso à API de inferência de modelo de IA                         |
| **Descrição**           | O invasor falsifica a identidade de um remetente permitido em um canal         |
| **Vetor de ataque**     | Dependente do canal — falsificação de número de telefone, personificação de nome de usuário |
| **Componentes afetados** | Validação de AllowFrom por canal                                               |
| **Mitigações atuais**   | Verificação de identidade específica do canal                                  |
| **Risco residual**      | Médio — alguns canais continuam vulneráveis à falsificação                     |
| **Recomendações**       | Documentar os riscos específicos de cada canal e adicionar verificação criptográfica quando possível |

#### T-ACCESS-003: Roubo de tokens

| Atributo                | Valor                                                              |
| ----------------------- | ------------------------------------------------------------------ |
| **ID ATLAS**            | AML.T0040 - Acesso à API de inferência de modelo de IA             |
| **Descrição**           | O invasor rouba tokens de autenticação de arquivos de configuração/credenciais |
| **Vetor de ataque**     | Malware, acesso não autorizado ao dispositivo, exposição de backup de configuração |
| **Componentes afetados** | Armazenamento de credenciais de canais/provedores, armazenamento de configurações |
| **Mitigações atuais**   | Permissões de arquivos                                             |
| **Risco residual**      | Alto — tokens armazenados em texto simples no disco                |
| **Recomendações**       | Implementar criptografia de tokens em repouso e adicionar rotação de tokens |

---

### 3.3 Execução (AML.TA0005)

#### T-EXEC-001: Injeção direta de prompt

| Atributo                | Valor                                                                                                                                        |
| ----------------------- | -------------------------------------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0051.000 - Injeção de prompt em LLM: direta                                                                                             |
| **Descrição**           | O invasor envia prompts elaborados para manipular o comportamento do agente                                                                  |
| **Vetor de ataque**     | Mensagens de canal contendo instruções adversariais                                                                                          |
| **Componentes afetados** | LLM do agente, todas as superfícies de entrada                                                                                              |
| **Mitigações atuais**   | Detecção de padrões, encapsulamento de conteúdo externo; considerado fora do escopo de relatórios de vulnerabilidade na ausência de violação de uma fronteira (consulte `SECURITY.md`) |
| **Risco residual**      | Crítico — apenas detecção, sem bloqueio; ataques sofisticados conseguem contorná-la                                                          |
| **Recomendações**       | Validação da saída e confirmação do usuário para ações confidenciais, sobrepostas à detecção existente                                       |

#### T-EXEC-002: Injeção indireta de prompt

| Atributo                | Valor                                                                                                                 |
| ----------------------- | --------------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0051.001 - Injeção de prompt em LLM: indireta                                                                    |
| **Descrição**           | O invasor incorpora instruções maliciosas ao conteúdo obtido                                                          |
| **Vetor de ataque**     | URLs maliciosos, e-mails envenenados, Webhooks comprometidos                                                          |
| **Componentes afetados** | `web_fetch`, ingestão de e-mails, fontes de dados externas                                                           |
| **Mitigações atuais**   | Encapsulamento de conteúdo com marcadores no estilo XML de limites aleatórios, normalização de homóglifos/tokens especiais e um aviso de segurança |
| **Risco residual**      | Alto — o LLM ainda pode ignorar as instruções do encapsulamento                                                       |
| **Recomendações**       | Contextos de execução separados para conteúdo encapsulado                                                             |

#### T-EXEC-003: Injeção de argumentos de ferramenta

| Atributo                | Valor                                                        |
| ----------------------- | ------------------------------------------------------------ |
| **ID ATLAS**            | AML.T0051.000 - Injeção de prompt em LLM: direta             |
| **Descrição**           | O invasor manipula argumentos de ferramentas por meio de injeção de prompt |
| **Vetor de ataque**     | Prompts elaborados que influenciam os valores dos parâmetros das ferramentas |
| **Componentes afetados** | Todas as invocações de ferramentas                          |
| **Mitigações atuais**   | Aprovações de execução para comandos perigosos               |
| **Risco residual**      | Alto — depende do julgamento do usuário                      |
| **Recomendações**       | Validação de argumentos, chamadas de ferramentas parametrizadas |

#### T-EXEC-004: Contorno da aprovação de execução

| Atributo                | Valor                                                                                                                                                                             |
| ----------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0043 - Criação de dados adversariais                                                                                                                                         |
| **Descrição**           | O invasor cria comandos que contornam a lista de permissões de aprovação                                                                                                          |
| **Vetor de ataque**     | Ofuscação de comandos, exploração de aliases, manipulação de caminhos                                                                                                             |
| **Componentes afetados** | `src/infra/exec-approvals*.ts`, lista de permissões de comandos                                                                                                                  |
| **Mitigações atuais**   | Lista de permissões + modo de solicitação, além da normalização de comandos (desencapsulamento do wrapper de despacho, detecção de avaliação em linha, análise de encadeamento do shell) |
| **Risco residual**      | Alto — a normalização reduz, mas não elimina, o contorno por ofuscação; constatações somente de paridade entre caminhos de execução são tratadas como reforço de segurança, não como vulnerabilidades (consulte `SECURITY.md`) |
| **Recomendações**       | Continuar ampliando a cobertura da normalização de comandos contra novas técnicas de ofuscação                                                                                    |

---

### 3.4 Persistência (AML.TA0006)

#### T-PERSIST-001: Instalação de skill maliciosa

| Atributo                | Valor                                                                                                                     |
| ----------------------- | ------------------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0010.001 - Comprometimento da cadeia de suprimentos: software de IA                                                   |
| **Descrição**           | O invasor publica uma skill maliciosa no ClawHub                                                                           |
| **Vetor de ataque**     | Criar uma conta e publicar uma skill com código malicioso oculto                                                           |
| **Componentes afetados** | ClawHub, carregamento de skills, execução do agente                                                                        |
| **Mitigações atuais**   | Verificação da idade da conta do GitHub, análise estática de padrões/próxima à AST, revisão de risco agêntica baseada em LLM, verificação pelo VirusTotal |
| **Risco residual**      | Alto — existem camadas de detecção, mas as skills ainda são executadas com privilégios do agente e sem isolamento da execução |
| **Recomendações**       | Isolamento da execução de skills, ampliação da revisão pela comunidade                                                      |

#### T-PERSIST-002: Envenenamento de atualização de skill

| Atributo                | Valor                                                                   |
| ----------------------- | ----------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0010.001 - Comprometimento da cadeia de suprimentos: software de IA |
| **Descrição**           | O invasor compromete uma skill popular e envia uma atualização maliciosa |
| **Vetor de ataque**     | Comprometimento da conta, engenharia social do proprietário da skill    |
| **Componentes afetados** | Versionamento do ClawHub, fluxos de atualização automática              |
| **Mitigações atuais**   | Impressão digital de versões, nova execução da moderação/verificação em novas versões |
| **Risco residual**      | Alto — as atualizações automáticas podem obter versões maliciosas antes da conclusão da revisão |
| **Recomendações**       | Assinatura de atualizações, capacidade de reversão, fixação de versão    |

#### T-PERSIST-003: Adulteração da configuração do agente

| Atributo                | Valor                                                                                  |
| ----------------------- | -------------------------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0010.002 - Comprometimento da cadeia de suprimentos: dados                        |
| **Descrição**           | O invasor modifica a configuração do agente para manter o acesso                       |
| **Vetor de ataque**     | Modificação do arquivo de configuração, injeção de configurações                       |
| **Componentes afetados** | Configuração do agente, políticas de ferramentas                                      |
| **Mitigações atuais**   | Permissões de arquivo                                                                  |
| **Risco residual**      | Médio — requer acesso local                                                            |
| **Recomendações**       | Verificação da integridade da configuração, registro de auditoria de alterações na configuração |

---

### 3.5 Evasão de defesas (AML.TA0007)

#### T-EVADE-001: Desvio dos padrões de moderação

| Atributo                | Valor                                                                                             |
| ----------------------- | ------------------------------------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0043 - Criação de dados adversariais                                                         |
| **Descrição**           | O invasor cria conteúdo de Skill para evitar as verificações de moderação do ClawHub               |
| **Vetor de ataque**     | Homoglifos Unicode, truques de codificação, carregamento dinâmico                                  |
| **Componentes afetados** | Pipeline de moderação/verificação do ClawHub                                                      |
| **Mitigações atuais**   | Regras de padrões estáticos, verificação de código próxima à AST, análise de risco agêntico por LLM, VirusTotal |
| **Risco residual**      | Médio — novas formas de ofuscação ainda podem passar pelas heurísticas em camadas                  |
| **Recomendações**       | Continuar expandindo o corpus de padrões e comportamentos conforme novas evasões forem descobertas |

#### T-EVADE-002: Escape do encapsulamento de conteúdo

| Atributo                | Valor                                                                                                               |
| ----------------------- | ------------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0043 - Criação de dados adversariais                                                                           |
| **Descrição**           | O invasor cria conteúdo que escapa do contexto do encapsulamento de conteúdo externo                                |
| **Vetor de ataque**     | Manipulação de tags, confusão de contexto, substituição de instruções                                                |
| **Componentes afetados** | Encapsulamento de conteúdo externo                                                                                  |
| **Mitigações atuais**   | Marcadores no estilo XML com limites aleatórios e aviso de segurança, além da detecção de falsificação de marcadores por homoglifos ou variantes de espaços em branco |
| **Risco residual**      | Médio — novos escapes são descobertos regularmente                                                                  |
| **Recomendações**       | Validação na saída, além do encapsulamento na entrada                                                               |

---

### 3.6 Descoberta (AML.TA0008)

#### T-DISC-001: Enumeração de ferramentas

| Atributo                | Valor                                                        |
| ----------------------- | ------------------------------------------------------------ |
| **ID ATLAS**            | AML.T0040 - Acesso à API de inferência do modelo de IA       |
| **Descrição**           | O invasor enumera as ferramentas disponíveis por meio de prompts |
| **Vetor de ataque**     | Consultas como "Quais ferramentas você tem?"                 |
| **Componentes afetados** | Registro de ferramentas do agente                           |
| **Mitigações atuais**   | Nenhuma específica                                           |
| **Risco residual**      | Baixo — as ferramentas geralmente são documentadas           |
| **Recomendações**       | Considerar controles de visibilidade das ferramentas         |

#### T-DISC-002: Extração de dados da sessão

| Atributo                | Valor                                                        |
| ----------------------- | ------------------------------------------------------------ |
| **ID ATLAS**            | AML.T0040 - Acesso à API de inferência do modelo de IA       |
| **Descrição**           | O invasor extrai dados confidenciais do contexto da sessão   |
| **Vetor de ataque**     | Consultas como "O que discutimos?", sondagem de contexto     |
| **Componentes afetados** | Transcrições da sessão, janela de contexto                   |
| **Mitigações atuais**   | Isolamento da sessão por remetente (chave `agent:channel:peer`) |
| **Risco residual**      | Médio — os dados da sessão são acessíveis por projeto        |
| **Recomendações**       | Mascaramento de dados confidenciais no contexto              |

---

### 3.7 Coleta e exfiltração (AML.TA0009, AML.TA0010)

#### T-EXFIL-001: Roubo de dados por meio de web_fetch

| Atributo                | Valor                                                                                  |
| ----------------------- | -------------------------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0009 - Coleta                                                                     |
| **Descrição**           | O invasor exfiltra dados instruindo o agente a enviá-los para uma URL externa          |
| **Vetor de ataque**     | Injeção de prompt que faz o agente enviar dados por POST a um servidor do invasor      |
| **Componentes afetados** | Ferramenta `web_fetch`                                                                |
| **Mitigações atuais**   | Bloqueio de SSRF para redes internas/privadas (fixação de DNS e bloqueio de IP)         |
| **Risco residual**      | Alto — URLs externas arbitrárias continuam permitidas                                  |
| **Recomendações**       | Lista de URLs permitidas, reconhecimento da classificação dos dados                    |

#### T-EXFIL-002: Envio não autorizado de mensagens

| Atributo                | Valor                                                                          |
| ----------------------- | ------------------------------------------------------------------------------ |
| **ID ATLAS**            | AML.T0009 - Coleta                                                             |
| **Descrição**           | O invasor faz o agente enviar mensagens contendo dados confidenciais           |
| **Vetor de ataque**     | Injeção de prompt que faz o agente enviar uma mensagem ao invasor              |
| **Componentes afetados** | Ferramenta de mensagens, integrações de canais                                |
| **Mitigações atuais**   | Controle de envio de mensagens                                                 |
| **Risco residual**      | Médio — o controle pode ser contornado                                         |
| **Recomendações**       | Confirmação explícita para novos destinatários                                 |

#### T-EXFIL-003: Coleta de credenciais

| Atributo                | Valor                                                                                                                                                                  |
| ----------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0009 - Coleta                                                                                                                                                     |
| **Descrição**           | Uma Skill maliciosa coleta credenciais do contexto do agente                                                                                                          |
| **Vetor de ataque**     | O código da Skill lê variáveis de ambiente e arquivos de configuração                                                                                                 |
| **Componentes afetados** | Ambiente de execução da Skill                                                                                                                                         |
| **Mitigações atuais**   | Verificação de padrões de credenciais pelo ClawHub (segredos codificados diretamente, acesso a variáveis de ambiente de credenciais combinado com envios pela rede); não há isolamento da execução de Skills durante a execução |
| **Risco residual**      | Crítico — as Skills são executadas com os privilégios do agente                                                                                                       |
| **Recomendações**       | Isolamento da execução de Skills, isolamento de credenciais                                                                                                           |

---

### 3.8 Impacto (AML.TA0011)

#### T-IMPACT-001: Execução não autorizada de comandos

| Atributo                | Valor                                                                                                           |
| ----------------------- | --------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0031 - Comprometimento da integridade do modelo de IA                                                      |
| **Descrição**           | O invasor executa comandos arbitrários no sistema do usuário                                                    |
| **Vetor de ataque**     | Injeção de prompt combinada com desvio da aprovação de execução                                                 |
| **Componentes afetados** | Ferramenta Bash, execução de comandos                                                                          |
| **Mitigações atuais**   | Aprovações de execução, opção de sandbox do Docker (backend de execução padrão)                                  |
| **Risco residual**      | Crítico — a execução no host é possível quando o sandbox está desativado                                        |
| **Recomendações**       | Melhorar a experiência de aprovação; implantações sem sandbox continuam sendo uma escolha deliberada do operador, documentada como tal |

#### T-IMPACT-002: Esgotamento de recursos (DoS)

| Atributo                | Valor                                                   |
| ----------------------- | ------------------------------------------------------- |
| **ID ATLAS**            | AML.T0031 - Comprometimento da integridade do modelo de IA |
| **Descrição**           | O invasor esgota créditos de API ou recursos computacionais |
| **Vetor de ataque**     | Inundação automatizada de mensagens, chamadas caras de ferramentas |
| **Componentes afetados** | Gateway, sessões do agente, provedor de API             |
| **Mitigações atuais**   | Nenhuma                                                 |
| **Risco residual**      | Alto — não há limitação de taxa por remetente           |
| **Recomendações**       | Limites de taxa por remetente, orçamentos de custos     |

#### T-IMPACT-003: Danos à reputação

| Atributo                | Valor                                                            |
| ----------------------- | ---------------------------------------------------------------- |
| **ID ATLAS**            | AML.T0031 - Comprometimento da integridade do modelo de IA       |
| **Descrição**           | O invasor faz o agente enviar conteúdo nocivo ou ofensivo        |
| **Vetor de ataque**     | Injeção de prompt que causa respostas inadequadas                 |
| **Componentes afetados** | Geração de saída, mensagens em canais                            |
| **Mitigações atuais**   | Políticas de conteúdo do provedor de LLM                          |
| **Risco residual**      | Médio — os filtros do provedor são imperfeitos                    |
| **Recomendações**       | Camada de filtragem de saída, controles do usuário                |

---

## 4. Análise da cadeia de suprimentos do ClawHub

### 4.1 Controles de segurança atuais

| Controle                              | Implementação                                                                                               | Eficácia                                                                  |
| ------------------------------------- | ----------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------- |
| Idade da conta do GitHub              | `requireGitHubAccountAge()` (mínimo de 14 dias)                                                             | Média — aumenta a barreira para novos invasores                           |
| Sanitização de caminhos               | `sanitizePath()`                                                                                            | Alta — impede a travessia de diretórios                                   |
| Validação do tipo de arquivo          | `isTextFile()`                                                                                              | Média — apenas arquivos de texto são verificados, mas ainda são exploráveis |
| Limites de tamanho                    | Pacote total de 50 MB (`MAX_PUBLISH_TOTAL_BYTES`)                                                           | Alta — evita o esgotamento de recursos                                    |
| SKILL.md obrigatório                  | Readme obrigatório na publicação                                                                            | Baixo valor de segurança — apenas informativo                             |
| Verificação estática e adjacente à AST | Mecanismo de padrões que abrange execução, exfiltração, coleta de credenciais, ofuscação e muito mais       | Média-alta — abrange muitos padrões conhecidos de abuso, mas ainda se baseia em padrões |
| Análise agêntica de riscos com LLM    | Veredito orientado por prompt de segurança durante a publicação                                             | Média-alta — detecta comportamentos não identificados por padrões estáticos |
| Verificação pelo VirusTotal           | Integrada aos fluxos de publicação e nova verificação de Skills e versões de pacotes, condicionada à chave de API do operador | Alta quando ativada — detecção por mecanismos estáticos                   |
| Status de moderação                   | Campo `moderationStatus`                                                                                    | Média — permite análise manual                                            |

### 4.2 Limitações da moderação

A verificação estática do ClawHub inspeciona diretamente o conteúdo do código da Skill (não apenas slug/metadados/frontmatter), abrangendo chamadas de execução perigosas, execução dinâmica de código, coleta de credenciais, padrões de exfiltração, cargas úteis ofuscadas e muito mais. Lacunas conhecidas:

- A detecção baseada em padrões ainda pode ser contornada por técnicas de ofuscação suficientemente inéditas.
- A análise baseada em LLM e a verificação pelo VirusTotal dependem da ativação de chaves de API/configuração por parte do operador.
- Nenhum sandbox de execução em tempo de execução isola uma Skill dos privilégios do próprio agente depois de instalada.

### 4.3 Selos

Skills e pacotes recebem selos atribuídos por moderadores: `highlighted`, `official`, `deprecated`, `redactionApproved` (somente Skills). Denúncias da comunidade (`skillReports`) e registros de auditoria (`auditLogs`) dão suporte aos fluxos de trabalho de moderação.

---

## 5. Matriz de riscos

### 5.1 Probabilidade versus impacto

| ID da ameaça | Probabilidade | Impacto  | Nível de risco | Prioridade |
| ------------- | ------------- | -------- | -------------- | ---------- |
| T-EXEC-001    | Alta          | Crítico  | **Crítico**    | P0         |
| T-PERSIST-001 | Alta          | Crítico  | **Crítico**    | P0         |
| T-EXFIL-003   | Média         | Crítico  | **Crítico**    | P0         |
| T-IMPACT-001  | Média         | Crítico  | **Alto**       | P1         |
| T-EXEC-002    | Alta          | Alto     | **Alto**       | P1         |
| T-EXEC-004    | Média         | Alto     | **Alto**       | P1         |
| T-ACCESS-003  | Média         | Alto     | **Alto**       | P1         |
| T-EXFIL-001   | Média         | Alto     | **Alto**       | P1         |
| T-IMPACT-002  | Alta          | Médio    | **Alto**       | P1         |
| T-EVADE-001   | Alta          | Médio    | **Médio**      | P2         |
| T-ACCESS-001  | Baixa         | Alto     | **Médio**      | P2         |
| T-ACCESS-002  | Baixa         | Alto     | **Médio**      | P2         |
| T-PERSIST-002 | Baixa         | Alto     | **Médio**      | P2         |

### 5.2 Cadeias de ataque de caminho crítico

**Cadeia 1: roubo de dados por meio de Skill**

```text
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publicar Skill maliciosa) → (Contornar a moderação) → (Coletar credenciais)
```

**Cadeia 2: injeção de prompt para RCE**

```text
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Injetar prompt) → (Contornar a aprovação de execução) → (Executar comandos)
```

**Cadeia 3: injeção indireta por meio de conteúdo obtido**

```text
T-EXEC-002 → T-EXFIL-001 → Exfiltração externa
(Adulterar conteúdo de URL) → (Agente obtém e segue as instruções) → (Dados enviados ao invasor)
```

---

## 6. Resumo das recomendações

### 6.1 Imediatas (P0)

| ID    | Recomendação                                             | Aborda                     |
| ----- | -------------------------------------------------------- | -------------------------- |
| R-002 | Implementar sandbox para execução de Skills              | T-PERSIST-001, T-EXFIL-003 |
| R-003 | Adicionar validação de saída para ações sensíveis         | T-EXEC-001, T-EXEC-002     |

### 6.2 Curto prazo (P1)

| ID    | Recomendação                                                                   | Aborda       |
| ----- | ------------------------------------------------------------------------------ | ------------ |
| R-004 | Implementar limitação de taxa por remetente                                    | T-IMPACT-002 |
| R-005 | Adicionar criptografia de tokens em repouso                                    | T-ACCESS-003 |
| R-006 | Melhorar a experiência de aprovação de execução e continuar ampliando a normalização de comandos | T-EXEC-004 |
| R-007 | Implementar lista de permissões de URLs para `web_fetch`                       | T-EXFIL-001  |

### 6.3 Médio prazo (P2)

| ID    | Recomendação                                                       | Aborda        |
| ----- | ------------------------------------------------------------------ | ------------- |
| R-008 | Adicionar verificação criptográfica de canais quando possível      | T-ACCESS-002  |
| R-009 | Implementar verificação de integridade da configuração             | T-PERSIST-003 |
| R-010 | Adicionar assinatura de atualizações e fixação de versões          | T-PERSIST-002 |

---

## 7. Apêndices

### 7.1 Mapeamento de técnicas do ATLAS

| ID do ATLAS  | Nome da técnica                              | Ameaças do OpenClaw                                               |
| ------------ | -------------------------------------------- | ----------------------------------------------------------------- |
| AML.T0006     | Varredura ativa                              | T-RECON-001, T-RECON-002                                         |
| AML.T0009     | Coleta                                       | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003                            |
| AML.T0010.001 | Cadeia de suprimentos: software de IA        | T-PERSIST-001, T-PERSIST-002                                     |
| AML.T0010.002 | Cadeia de suprimentos: dados                 | T-PERSIST-003                                                    |
| AML.T0031     | Comprometimento da integridade do modelo de IA | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003                       |
| AML.T0040     | Acesso à API de inferência de modelo de IA   | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043     | Criação de dados adversariais                | T-EXEC-004, T-EVADE-001, T-EVADE-002                             |
| AML.T0051.000 | Injeção de prompt em LLM: direta             | T-EXEC-001, T-EXEC-003                                           |
| AML.T0051.001 | Injeção de prompt em LLM: indireta           | T-EXEC-002                                                       |

### 7.2 Principais arquivos de segurança

| Caminho                             | Finalidade                                         | Nível de risco |
| ----------------------------------- | -------------------------------------------------- | -------------- |
| `src/infra/exec-approvals.ts`       | Lógica de aprovação de comandos                    | **Crítico**    |
| `src/gateway/auth.ts`               | Autenticação do Gateway                            | **Crítico**    |
| `src/infra/net/ssrf.ts`             | Proteção contra SSRF                               | **Crítico**    |
| `src/security/external-content.ts`  | Mitigação de injeção de prompt                     | **Crítico**    |
| `src/agents/sandbox/tool-policy.ts` | Política de permissão/negação de ferramentas do sandbox | **Crítico** |
| `src/routing/resolve-route.ts`      | Isolamento de sessões/roteamento                   | **Médio**      |

### 7.3 Glossário

| Termo                  | Definição                                                            |
| ---------------------- | --------------------------------------------------------------------- |
| **ATLAS**              | Cenário de ameaças adversariais para sistemas de IA do MITRE          |
| **ClawHub**            | Marketplace de Skills do OpenClaw                                    |
| **Gateway**            | Camada de roteamento de mensagens e autenticação do OpenClaw          |
| **MCP**                | Protocolo de Contexto de Modelo — interface de provedor de ferramentas |
| **Injeção de prompt**  | Ataque no qual instruções maliciosas são incorporadas à entrada       |
| **Skill**              | Extensão disponível para download para agentes do OpenClaw            |
| **SSRF**               | Falsificação de solicitação do lado do servidor                       |

---

_Este modelo de ameaças é um documento em evolução. Relate problemas de segurança para `security@openclaw.ai` ou consulte a [página de confiança](https://trust.openclaw.ai)._

## Relacionados

- [Como contribuir para o modelo de ameaças](/pt-BR/security/CONTRIBUTING-THREAT-MODEL)
- [Resposta a incidentes](/pt-BR/security/incident-response)
- [Proxy de rede](/pt-BR/security/network-proxy)
- [Verificação formal](/pt-BR/security/formal-verification)
