Security

Модель угроз (MITRE ATLAS)

Версия: 1.0-draft | Фреймворк: MITRE ATLAS (ландшафт состязательных угроз для систем ИИ) + диаграммы потоков данных

Эта модель угроз описывает состязательные угрозы для платформы ИИ-агентов OpenClaw и каталога Skills ClawHub. Это постоянно обновляемый документ, который поддерживается сообществом OpenClaw. Сведения о том, как сообщать о новых угрозах, предлагать цепочки атак или меры защиты, см. в разделе Участие в разработке модели угроз.

Основные ресурсы ATLAS: Техники | Тактики | Примеры исследований | ATLAS на GitHub | Участие в развитии ATLAS


1. Область охвата

Компонент Включён Примечания
Среда выполнения агента OpenClaw Да Основное выполнение агента, вызовы инструментов, сеансы
Gateway Да Аутентификация, маршрутизация, интеграция с каналами
Интеграции с каналами Да WhatsApp, Telegram, Discord, Signal, Slack и т. д.
Каталог ClawHub Да Публикация, модерация и распространение Skills
Серверы MCP Да Внешние поставщики инструментов
Устройства пользователей Частично Мобильные приложения, настольные клиенты

Отчёты, не входящие в область охвата, и типичные ложные срабатывания (доступность из общедоступного интернета, цепочки исключительно с внедрением в промпт без обхода границы, совместное использование одного хоста Gateway взаимно недоверяющими операторами и другие) перечислены в SECURITY.md; именно этот файл, а не данная страница, является актуальным источником истины для области охвата отчётов об уязвимостях.

2. Архитектура системы

2.1 Границы доверия

text
┌─────────────────────────────────────────────────────────────────┐│                    НЕДОВЕРЕННАЯ ЗОНА                             ││  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              ││  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         ││  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              ││         │                │                │                      │└─────────┼────────────────┼────────────────┼──────────────────────┘          │                │                │          ▼                ▼                ▼┌─────────────────────────────────────────────────────────────────┐│                 ГРАНИЦА ДОВЕРИЯ 1: Доступ к каналу               ││  ┌──────────────────────────────────────────────────────────┐   ││  │                      GATEWAY                              │   ││  │  • Сопряжение устройств (TTL: 1ч для ЛС / 5м для Node)   │   ││  │  • Проверка AllowFrom / списка разрешённых                │   ││  │  • Аутентификация по токену / паролю / через Tailscale    │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 ГРАНИЦА ДОВЕРИЯ 2: Изоляция сеансов              ││  ┌──────────────────────────────────────────────────────────┐   ││  │                   СЕАНСЫ АГЕНТОВ                          │   ││  │  • Ключ сеанса = agent:channel:peer                       │   ││  │  • Политики инструментов для каждого агента               │   ││  │  • Журналирование расшифровок                              │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 ГРАНИЦА ДОВЕРИЯ 3: Выполнение инструментов       ││  ┌──────────────────────────────────────────────────────────┐   ││  │                  ПЕСОЧНИЦА ВЫПОЛНЕНИЯ                     │   ││  │  • Песочница Docker (по умолчанию) или хост               │   ││  │    (с подтверждением выполнения)                          │   ││  │  • Удалённое выполнение на Node                           │   ││  │  • Защита от SSRF (фиксация DNS + блокировка IP)          │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 ГРАНИЦА ДОВЕРИЯ 4: Внешнее содержимое            ││  ┌──────────────────────────────────────────────────────────┐   ││  │         ПОЛУЧЕННЫЕ URL / ПИСЬМА / WEBHOOKS               │   ││  │  • Обёртывание внешнего содержимого                       │   ││  │    (XML-теги со случайными границами)                     │   ││  │  • Добавление уведомления о безопасности                  │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 ГРАНИЦА ДОВЕРИЯ 5: Цепочка поставок              ││  ┌──────────────────────────────────────────────────────────┐   ││  │                      CLAWHUB                              │   ││  │  • Публикация Skills (semver, обязателен SKILL.md)        │   ││  │  • Модерационное сканирование статических шаблонов        │   ││  │    и структур, близких к AST                              │   ││  │  • Агентная проверка рисков на основе LLM                 │   ││  │    + сканирование VirusTotal                              │   ││  │  • Проверка возраста учётной записи GitHub (14 дней)      │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘

2.2 Потоки данных

Поток Источник Назначение Данные Защита
F1 Канал Gateway Сообщения пользователей TLS, AllowFrom
F2 Gateway Агент Маршрутизированные сообщения Изоляция сеансов
F3 Агент Инструменты Вызовы инструментов Применение политик
F4 Агент Внешние ресурсы запросы web_fetch Блокировка SSRF
F5 ClawHub Агент Код Skills Модерация, сканирование
F6 Агент Канал Ответы Фильтрация выходных данных

3. Анализ угроз по тактикам ATLAS

3.1 Разведка (AML.TA0002)

T-RECON-001: Обнаружение конечных точек агента

Атрибут Значение
Идентификатор ATLAS AML.T0006 — Активное сканирование
Описание Злоумышленник сканирует сеть в поисках открытых конечных точек Gateway OpenClaw
Вектор атаки Сканирование сети, запросы Shodan, перебор DNS
Затронутые компоненты Gateway, открытые конечные точки API
Текущие меры защиты Возможность аутентификации через Tailscale, привязка к loopback по умолчанию
Остаточный риск Средний — общедоступные Gateway можно обнаружить
Рекомендации Документировать безопасное развёртывание, добавить ограничение частоты запросов к конечным точкам обнаружения

T-RECON-002: Зондирование интеграций с каналами

Атрибут Значение
Идентификатор ATLAS AML.T0006 — Активное сканирование
Описание Злоумышленник зондирует каналы обмена сообщениями, чтобы выявить учётные записи под управлением ИИ
Вектор атаки Отправка тестовых сообщений, наблюдение за шаблонами ответов
Затронутые компоненты Все интеграции с каналами
Текущие меры защиты Специальные меры отсутствуют
Остаточный риск Низкий — само по себе обнаружение имеет ограниченную ценность
Рекомендации Рассмотреть рандомизацию времени ответа

3.2 Первоначальный доступ (AML.TA0004)

T-ACCESS-001: Перехват кода сопряжения

Атрибут Значение
Идентификатор ATLAS AML.T0040 - Доступ к API вывода модели ИИ
Описание Злоумышленник перехватывает код сопряжения в течение окна сопряжения (1 ч для ЛС/обычного сопряжения, 5 мин для сопряжения Node)
Вектор атаки Подсматривание из-за плеча, перехват сетевого трафика, социальная инженерия
Затронутые компоненты Система сопряжения устройств
Текущие меры защиты TTL 1 ч (ЛС/обычное сопряжение), TTL 5 мин (сопряжение Node); коды отправляются через существующий канал
Остаточный риск Средний — окно сопряжения может быть использовано
Рекомендации Сократить окно сопряжения, добавить этап подтверждения

T-ACCESS-002: Подмена AllowFrom

Атрибут Значение
Идентификатор ATLAS AML.T0040 - Доступ к API вывода модели ИИ
Описание Злоумышленник подменяет идентификатор разрешённого отправителя в канале
Вектор атаки Зависит от канала — подмена номера телефона, выдача себя за пользователя с чужим именем
Затронутые компоненты Проверка AllowFrom для каждого канала
Текущие меры защиты Проверка идентификатора с учётом особенностей канала
Остаточный риск Средний — некоторые каналы остаются уязвимыми к подмене
Рекомендации Документировать риски для каждого канала, по возможности добавить криптографическую проверку

T-ACCESS-003: Кража токенов

Атрибут Значение
Идентификатор ATLAS AML.T0040 - Доступ к API вывода модели ИИ
Описание Злоумышленник крадёт токены аутентификации из файлов конфигурации/учётных данных
Вектор атаки Вредоносное ПО, несанкционированный доступ к устройству, раскрытие резервной копии конфигурации
Затронутые компоненты Хранилище учётных данных каналов/провайдеров, хранилище конфигурации
Текущие меры защиты Разрешения файлов
Остаточный риск Высокий — токены хранятся на диске в виде открытого текста
Рекомендации Реализовать шифрование токенов при хранении, добавить ротацию токенов

3.3 Выполнение (AML.TA0005)

T-EXEC-001: Прямая инъекция промпта

Атрибут Значение
Идентификатор ATLAS AML.T0051.000 - Инъекция промпта LLM: прямая
Описание Злоумышленник отправляет специально сформированные промпты для манипулирования поведением агента
Вектор атаки Сообщения в каналах, содержащие вредоносные инструкции
Затронутые компоненты LLM агента, все поверхности ввода
Текущие меры защиты Обнаружение шаблонов, обёртывание внешнего содержимого; при отсутствии обхода границы считается выходящим за рамки отчётов об уязвимостях (см. SECURITY.md)
Остаточный риск Критический — выполняется только обнаружение без блокировки; сложные атаки обходят защиту
Рекомендации Добавить проверку вывода и подтверждение пользователем конфиденциальных действий поверх существующего механизма обнаружения

T-EXEC-002: Косвенная инъекция промпта

Атрибут Значение
Идентификатор ATLAS AML.T0051.001 - Инъекция промпта LLM: косвенная
Описание Злоумышленник внедряет вредоносные инструкции в получаемое содержимое
Вектор атаки Вредоносные URL-адреса, отравленные электронные письма, скомпрометированные вебхуки
Затронутые компоненты web_fetch, приём электронной почты, внешние источники данных
Текущие меры защиты Обёртывание содержимого XML-подобными маркерами со случайными границами, нормализация омоглифов/специальных токенов и уведомление о безопасности
Остаточный риск Высокий — LLM всё ещё может игнорировать инструкции обёртки
Рекомендации Разделить контексты выполнения для обёрнутого содержимого

T-EXEC-003: Инъекция аргументов инструмента

Атрибут Значение
Идентификатор ATLAS AML.T0051.000 - Инъекция промпта LLM: прямая
Описание Злоумышленник манипулирует аргументами инструмента посредством инъекции промпта
Вектор атаки Специально сформированные промпты, влияющие на значения параметров инструмента
Затронутые компоненты Все вызовы инструментов
Текущие меры защиты Подтверждение выполнения опасных команд
Остаточный риск Высокий — зависит от решения пользователя
Рекомендации Проверка аргументов, параметризованные вызовы инструментов

T-EXEC-004: Обход подтверждения выполнения

Атрибут Значение
Идентификатор ATLAS AML.T0043 - Создание состязательных данных
Описание Злоумышленник создаёт команды, обходящие список разрешённых команд
Вектор атаки Обфускация команд, эксплуатация псевдонимов, манипулирование путями
Затронутые компоненты src/infra/exec-approvals*.ts, список разрешённых команд
Текущие меры защиты Список разрешённых команд + режим запроса, а также нормализация команд (развёртывание обёрток диспетчеризации, обнаружение встроенного вычисления, анализ цепочек команд оболочки)
Остаточный риск Высокий — нормализация сужает возможности обхода посредством обфускации, но не устраняет их; обнаруженные различия только между путями выполнения считаются усилением защиты, а не уязвимостями (см. SECURITY.md)
Рекомендации Продолжать расширять охват нормализации команд с учётом новых методов обфускации

3.4 Закрепление (AML.TA0006)

T-PERSIST-001: Установка вредоносного навыка

Атрибут Значение
Идентификатор ATLAS AML.T0010.001 - Компрометация цепочки поставок: ПО ИИ
Описание Злоумышленник публикует вредоносный навык в ClawHub
Вектор атаки Создание учётной записи и публикация навыка со скрытым вредоносным кодом
Затронутые компоненты ClawHub, загрузка навыков, выполнение агентом
Текущие меры защиты Проверка возраста учётной записи GitHub, статическое сканирование шаблонов и элементов, смежных с AST, агентная оценка рисков на основе LLM, сканирование VirusTotal
Остаточный риск Высокий — уровни обнаружения существуют, но навыки по-прежнему выполняются с привилегиями агента без изоляции выполнения
Рекомендации Изоляция выполнения навыков, расширенная проверка сообществом

T-PERSIST-002: Отравление обновления навыка

Атрибут Значение
Идентификатор ATLAS AML.T0010.001 - Компрометация цепочки поставок: ПО ИИ
Описание Злоумышленник компрометирует популярный навык и выпускает вредоносное обновление
Вектор атаки Компрометация учётной записи, социальная инженерия в отношении владельца навыка
Затронутые компоненты Управление версиями ClawHub, процессы автоматического обновления
Текущие меры защиты Создание отпечатков версий, повторная модерация/сканирование новых версий
Остаточный риск Высокий — автоматическое обновление может загрузить вредоносные версии до завершения проверки
Рекомендации Подписание обновлений, возможность отката, фиксация версий

T-PERSIST-003: Несанкционированное изменение конфигурации агента

Атрибут Значение
Идентификатор ATLAS AML.T0010.002 - Компрометация цепочки поставок: данные
Описание Злоумышленник изменяет конфигурацию агента для сохранения доступа
Вектор атаки Изменение файла конфигурации, внедрение настроек
Затронутые компоненты Конфигурация агента, политики инструментов
Текущие меры защиты Разрешения файлов
Остаточный риск Средний — требуется локальный доступ
Рекомендации Проверка целостности конфигурации, журналирование изменений конфигурации

3.5 Обход средств защиты (AML.TA0007)

T-EVADE-001: Обход шаблонов модерации

Атрибут Значение
Идентификатор ATLAS AML.T0043 - Создание состязательных данных
Описание Злоумышленник создаёт содержимое навыка, позволяющее обойти проверки модерации ClawHub
Вектор атаки Омо́глифы Unicode, манипуляции с кодировкой, динамическая загрузка
Затронутые компоненты Конвейер модерации и сканирования ClawHub
Текущие меры защиты Статические правила шаблонов, сканирование кода с учётом AST, анализ агентных рисков с помощью LLM, VirusTotal
Остаточный риск Средний — новые методы обфускации всё ещё могут обходить многоуровневые эвристические проверки
Рекомендации Продолжать расширять корпус шаблонов и моделей поведения по мере обнаружения новых способов обхода

T-EVADE-002: Выход из оболочки содержимого

Атрибут Значение
Идентификатор ATLAS AML.T0043 - Создание состязательных данных
Описание Злоумышленник создаёт содержимое, которое выходит из контекста оболочки внешнего содержимого
Вектор атаки Манипуляции с тегами, смешение контекстов, переопределение инструкций
Затронутые компоненты Оборачивание внешнего содержимого
Текущие меры защиты XML-подобные маркеры со случайными границами и уведомление о безопасности, а также обнаружение поддельных маркеров с омоглифами и вариантами пробелов
Остаточный риск Средний — новые способы выхода обнаруживаются регулярно
Рекомендации Проверка на стороне вывода в дополнение к оборачиванию на стороне ввода

3.6 Разведка (AML.TA0008)

T-DISC-001: Перечисление инструментов

Атрибут Значение
Идентификатор ATLAS AML.T0040 - Доступ к API инференса модели ИИ
Описание Злоумышленник перечисляет доступные инструменты с помощью промптов
Вектор атаки Запросы в стиле «Какие у тебя есть инструменты?»
Затронутые компоненты Реестр инструментов агента
Текущие меры защиты Специальные меры отсутствуют
Остаточный риск Низкий — инструменты обычно документированы
Рекомендации Рассмотреть средства управления видимостью инструментов

T-DISC-002: Извлечение данных сеанса

Атрибут Значение
Идентификатор ATLAS AML.T0040 - Доступ к API инференса модели ИИ
Описание Злоумышленник извлекает конфиденциальные данные из контекста сеанса
Вектор атаки Запросы «Что мы обсуждали?», зондирование контекста
Затронутые компоненты Расшифровки сеансов, контекстное окно
Текущие меры защиты Изоляция сеансов по отправителю (ключ agent:channel:peer)
Остаточный риск Средний — данные внутри сеанса доступны по замыслу
Рекомендации Редактирование конфиденциальных данных в контексте

3.7 Сбор и эксфильтрация (AML.TA0009, AML.TA0010)

T-EXFIL-001: Кража данных через web_fetch

Атрибут Значение
Идентификатор ATLAS AML.T0009 - Сбор
Описание Злоумышленник эксфильтрирует данные, инструктируя агента отправить их на внешний URL
Вектор атаки Инъекция промпта, заставляющая агента отправить данные методом POST на сервер злоумышленника
Затронутые компоненты Инструмент web_fetch
Текущие меры защиты Блокировка SSRF для внутренних и частных сетей (фиксация DNS и блокировка IP-адресов)
Остаточный риск Высокий — произвольные внешние URL по-прежнему разрешены
Рекомендации Списки разрешённых URL, учёт классификации данных

T-EXFIL-002: Несанкционированная отправка сообщений

Атрибут Значение
Идентификатор ATLAS AML.T0009 - Сбор
Описание Злоумышленник заставляет агента отправлять сообщения с конфиденциальными данными
Вектор атаки Инъекция промпта, заставляющая агента отправить сообщение злоумышленнику
Затронутые компоненты Инструмент сообщений, интеграции с каналами
Текущие меры защиты Контроль исходящей отправки сообщений
Остаточный риск Средний — контроль может быть обойдён
Рекомендации Явное подтверждение для новых получателей

T-EXFIL-003: Сбор учётных данных

Атрибут Значение
Идентификатор ATLAS AML.T0009 - Сбор
Описание Вредоносный навык собирает учётные данные из контекста агента
Вектор атаки Код навыка считывает переменные окружения и файлы конфигурации
Затронутые компоненты Среда выполнения навыков
Текущие меры защиты Сканирование шаблонов учётных данных в ClawHub (жёстко заданные секреты, доступ к переменным окружения с учётными данными в сочетании с сетевой отправкой); изоляция выполнения навыков во время работы отсутствует
Остаточный риск Критический — навыки выполняются с привилегиями агента
Рекомендации Изоляция выполнения навыков, изоляция учётных данных

3.8 Воздействие (AML.TA0011)

T-IMPACT-001: Несанкционированное выполнение команд

Атрибут Значение
Идентификатор ATLAS AML.T0031 - Нарушение целостности модели ИИ
Описание Злоумышленник выполняет произвольные команды в системе пользователя
Вектор атаки Инъекция промпта в сочетании с обходом подтверждения выполнения
Затронутые компоненты Инструмент Bash, выполнение команд
Текущие меры защиты Подтверждения выполнения, возможность изоляции Docker (серверная часть среды выполнения по умолчанию)
Остаточный риск Критический — выполнение в основной системе возможно, когда изоляция отключена
Рекомендации Улучшить интерфейс подтверждения; развёртывания с отключённой изоляцией остаются осознанным выбором оператора и документируются соответствующим образом

T-IMPACT-002: Исчерпание ресурсов (DoS)

Атрибут Значение
Идентификатор ATLAS AML.T0031 - Нарушение целостности модели ИИ
Описание Злоумышленник исчерпывает кредиты API или вычислительные ресурсы
Вектор атаки Автоматизированная массовая отправка сообщений, дорогостоящие вызовы инструментов
Затронутые компоненты Gateway, сеансы агента, поставщик API
Текущие меры защиты Отсутствуют
Остаточный риск Высокий — ограничение частоты для отдельных отправителей отсутствует
Рекомендации Ограничения частоты для отдельных отправителей, бюджеты расходов

T-IMPACT-003: Ущерб репутации

Атрибут Значение
Идентификатор ATLAS AML.T0031 - Нарушение целостности модели ИИ
Описание Злоумышленник заставляет агента отправлять вредоносное или оскорбительное содержимое
Вектор атаки Инъекция промпта, вызывающая неприемлемые ответы
Затронутые компоненты Формирование вывода, обмен сообщениями через каналы
Текущие меры защиты Политики поставщика LLM в отношении содержимого
Остаточный риск Средний — фильтры поставщика несовершенны
Рекомендации Уровень фильтрации вывода, пользовательские средства управления

4. Анализ цепочки поставок ClawHub

4.1 Текущие средства контроля безопасности

Мера контроля Реализация Эффективность
Возраст учетной записи GitHub requireGitHubAccountAge() (минимум 14 дней) Средняя — повышает порог входа для новых злоумышленников
Очистка путей sanitizePath() Высокая — предотвращает обход каталогов
Проверка типов файлов isTextFile() Средняя — сканируются только текстовые файлы, но эксплуатация возможна
Ограничения размера Общий размер пакета 50MB (MAX_PUBLISH_TOTAL_BYTES) Высокая — предотвращает исчерпание ресурсов
Обязательный SKILL.md Обязательный файл сведений при публикации Низкая ценность для безопасности — только информационная мера
Статическое и близкое к AST сканирование Механизм шаблонов, охватывающий выполнение команд, эксфильтрацию, сбор учетных данных, обфускацию и другие угрозы Средняя–высокая — охватывает многие известные шаблоны злоупотреблений, но по-прежнему основана на шаблонах
Агентная проверка рисков на основе LLM Вердикт при публикации на основе промпта безопасности Средняя–высокая — выявляет поведение, пропускаемое статическими шаблонами
Сканирование VirusTotal Подключено к процессам публикации и повторного сканирования навыков и выпусков пакетов; требует API-ключ оператора Высокая при включении — обнаружение статическим механизмом
Статус модерации Поле moderationStatus Средняя — возможна ручная проверка

4.2 Ограничения модерации

Статическое сканирование ClawHub непосредственно проверяет содержимое кода навыка (а не только краткое имя, метаданные или frontmatter), охватывая опасные вызовы выполнения команд, динамическое выполнение кода, сбор учетных данных, шаблоны эксфильтрации, обфусцированные полезные нагрузки и другие угрозы. Известные пробелы:

  • Обнаружение на основе шаблонов всё равно можно обойти с помощью достаточно новой обфускации.
  • Проверка на основе LLM и сканирование VirusTotal зависят от включения API-ключей и конфигурации на стороне оператора.
  • После установки навыка отсутствует песочница выполнения, изолирующая его от собственных привилегий агента.

4.3 Значки

Навыкам и пакетам назначаются модераторами следующие значки: highlighted, official, deprecated, redactionApproved (только для навыков). Сообщения сообщества (skillReports) и журналирование аудита (auditLogs) поддерживают процессы модерации.


5. Матрица рисков

5.1 Вероятность и влияние

Идентификатор угрозы Вероятность Влияние Уровень риска Приоритет
T-EXEC-001 Высокая Критическое Критический P0
T-PERSIST-001 Высокая Критическое Критический P0
T-EXFIL-003 Средняя Критическое Критический P0
T-IMPACT-001 Средняя Критическое Высокий P1
T-EXEC-002 Высокая Высокое Высокий P1
T-EXEC-004 Средняя Высокое Высокий P1
T-ACCESS-003 Средняя Высокое Высокий P1
T-EXFIL-001 Средняя Высокое Высокий P1
T-IMPACT-002 Высокая Среднее Высокий P1
T-EVADE-001 Высокая Среднее Средний P2
T-ACCESS-001 Низкая Высокое Средний P2
T-ACCESS-002 Низкая Высокое Средний P2
T-PERSIST-002 Низкая Высокое Средний P2

5.2 Цепочки атак критического пути

Цепочка 1: кража данных через навык

text
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003(Опубликовать вредоносный навык) → (Обойти модерацию) → (Собрать учетные данные)

Цепочка 2: от внедрения промпта до удаленного выполнения кода

text
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001(Внедрить промпт) → (Обойти подтверждение выполнения команд) → (Выполнить команды)

Цепочка 3: косвенное внедрение через полученное содержимое

text
T-EXEC-002 → T-EXFIL-001 → Внешняя эксфильтрация(Отравить содержимое URL) → (Агент получает содержимое и выполняет инструкции) → (Данные отправляются злоумышленнику)

6. Сводка рекомендаций

6.1 Немедленные меры (P0)

ID Рекомендация Устраняет
R-002 Реализовать изоляцию выполнения навыков в песочнице T-PERSIST-001, T-EXFIL-003
R-003 Добавить проверку выходных данных для чувствительных действий T-EXEC-001, T-EXEC-002

6.2 Краткосрочные меры (P1)

ID Рекомендация Устраняет
R-004 Реализовать ограничение частоты запросов для каждого отправителя T-IMPACT-002
R-005 Добавить шифрование токенов при хранении T-ACCESS-003
R-006 Улучшить интерфейс подтверждения выполнения команд и продолжить расширение нормализации команд T-EXEC-004
R-007 Реализовать список разрешенных URL для web_fetch T-EXFIL-001

6.3 Среднесрочные меры (P2)

ID Рекомендация Устраняет
R-008 Добавить криптографическую проверку каналов там, где это возможно T-ACCESS-002
R-009 Реализовать проверку целостности конфигурации T-PERSIST-003
R-010 Добавить подписание обновлений и фиксацию версий T-PERSIST-002

7. Приложения

7.1 Сопоставление техник ATLAS

ID ATLAS Название техники Угрозы OpenClaw
AML.T0006 Активное сканирование T-RECON-001, T-RECON-002
AML.T0009 Сбор данных T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001 Цепочка поставок: программное обеспечение ИИ T-PERSIST-001, T-PERSIST-002
AML.T0010.002 Цепочка поставок: данные T-PERSIST-003
AML.T0031 Нарушение целостности модели ИИ T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040 Доступ к API вывода модели ИИ T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043 Создание состязательных данных T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000 Внедрение промпта LLM: прямое T-EXEC-001, T-EXEC-003
AML.T0051.001 Внедрение промпта LLM: косвенное T-EXEC-002

7.2 Ключевые файлы безопасности

Путь Назначение Уровень риска
src/infra/exec-approvals.ts Логика подтверждения выполнения команд Критический
src/gateway/auth.ts Аутентификация Gateway Критический
src/infra/net/ssrf.ts Защита от SSRF Критический
src/security/external-content.ts Снижение риска внедрения промптов Критический
src/agents/sandbox/tool-policy.ts Политика разрешения и запрета инструментов песочницы Критический
src/routing/resolve-route.ts Изоляция и маршрутизация сеансов Средний

7.3 Глоссарий

Термин Определение
ATLAS Ландшафт состязательных угроз MITRE для систем ИИ
ClawHub Магазин навыков OpenClaw
Gateway Уровень маршрутизации сообщений и аутентификации OpenClaw
MCP Model Context Protocol — интерфейс поставщика инструментов
Внедрение промпта Атака, при которой вредоносные инструкции встраиваются во входные данные
Навык Загружаемое расширение для агентов OpenClaw
SSRF Подделка серверных запросов

Эта модель угроз является постоянно обновляемым документом. Сообщайте о проблемах безопасности по адресу security@openclaw.ai или посетите страницу доверия.

Связанные материалы

Was this useful?
On this page

On this page