Версия: 1.0-draft | Фреймворк:MITRE ATLAS (ландшафт состязательных угроз для систем ИИ) + диаграммы потоков данных
Эта модель угроз описывает состязательные угрозы для платформы ИИ-агентов OpenClaw и каталога Skills ClawHub. Это постоянно обновляемый документ, который поддерживается сообществом OpenClaw. Сведения о том, как сообщать о новых угрозах, предлагать цепочки атак или меры защиты, см. в разделе Участие в разработке модели угроз.
Основное выполнение агента, вызовы инструментов, сеансы
Gateway
Да
Аутентификация, маршрутизация, интеграция с каналами
Интеграции с каналами
Да
WhatsApp, Telegram, Discord, Signal, Slack и т. д.
Каталог ClawHub
Да
Публикация, модерация и распространение Skills
Серверы MCP
Да
Внешние поставщики инструментов
Устройства пользователей
Частично
Мобильные приложения, настольные клиенты
Отчёты, не входящие в область охвата, и типичные ложные срабатывания (доступность из общедоступного интернета, цепочки исключительно с внедрением в промпт без обхода границы, совместное использование одного хоста Gateway взаимно недоверяющими операторами и другие) перечислены в SECURITY.md; именно этот файл, а не данная страница, является актуальным источником истины для области охвата отчётов об уязвимостях.
2. Архитектура системы
2.1 Границы доверия
text
┌─────────────────────────────────────────────────────────────────┐│ НЕДОВЕРЕННАЯ ЗОНА ││ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ││ │ WhatsApp │ │ Telegram │ │ Discord │ ... ││ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ ││ │ │ │ │└─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼┌─────────────────────────────────────────────────────────────────┐│ ГРАНИЦА ДОВЕРИЯ 1: Доступ к каналу ││ ┌──────────────────────────────────────────────────────────┐ ││ │ GATEWAY │ ││ │ • Сопряжение устройств (TTL: 1ч для ЛС / 5м для Node) │ ││ │ • Проверка AllowFrom / списка разрешённых │ ││ │ • Аутентификация по токену / паролю / через Tailscale │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ ГРАНИЦА ДОВЕРИЯ 2: Изоляция сеансов ││ ┌──────────────────────────────────────────────────────────┐ ││ │ СЕАНСЫ АГЕНТОВ │ ││ │ • Ключ сеанса = agent:channel:peer │ ││ │ • Политики инструментов для каждого агента │ ││ │ • Журналирование расшифровок │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ ГРАНИЦА ДОВЕРИЯ 3: Выполнение инструментов ││ ┌──────────────────────────────────────────────────────────┐ ││ │ ПЕСОЧНИЦА ВЫПОЛНЕНИЯ │ ││ │ • Песочница Docker (по умолчанию) или хост │ ││ │ (с подтверждением выполнения) │ ││ │ • Удалённое выполнение на Node │ ││ │ • Защита от SSRF (фиксация DNS + блокировка IP) │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ ГРАНИЦА ДОВЕРИЯ 4: Внешнее содержимое ││ ┌──────────────────────────────────────────────────────────┐ ││ │ ПОЛУЧЕННЫЕ URL / ПИСЬМА / WEBHOOKS │ ││ │ • Обёртывание внешнего содержимого │ ││ │ (XML-теги со случайными границами) │ ││ │ • Добавление уведомления о безопасности │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘ │ ▼┌─────────────────────────────────────────────────────────────────┐│ ГРАНИЦА ДОВЕРИЯ 5: Цепочка поставок ││ ┌──────────────────────────────────────────────────────────┐ ││ │ CLAWHUB │ ││ │ • Публикация Skills (semver, обязателен SKILL.md) │ ││ │ • Модерационное сканирование статических шаблонов │ ││ │ и структур, близких к AST │ ││ │ • Агентная проверка рисков на основе LLM │ ││ │ + сканирование VirusTotal │ ││ │ • Проверка возраста учётной записи GitHub (14 дней) │ ││ └──────────────────────────────────────────────────────────┘ │└─────────────────────────────────────────────────────────────────┘
2.2 Потоки данных
Поток
Источник
Назначение
Данные
Защита
F1
Канал
Gateway
Сообщения пользователей
TLS, AllowFrom
F2
Gateway
Агент
Маршрутизированные сообщения
Изоляция сеансов
F3
Агент
Инструменты
Вызовы инструментов
Применение политик
F4
Агент
Внешние ресурсы
запросы web_fetch
Блокировка SSRF
F5
ClawHub
Агент
Код Skills
Модерация, сканирование
F6
Агент
Канал
Ответы
Фильтрация выходных данных
3. Анализ угроз по тактикам ATLAS
3.1 Разведка (AML.TA0002)
T-RECON-001: Обнаружение конечных точек агента
Атрибут
Значение
Идентификатор ATLAS
AML.T0006 — Активное сканирование
Описание
Злоумышленник сканирует сеть в поисках открытых конечных точек Gateway OpenClaw
Вектор атаки
Сканирование сети, запросы Shodan, перебор DNS
Затронутые компоненты
Gateway, открытые конечные точки API
Текущие меры защиты
Возможность аутентификации через Tailscale, привязка к loopback по умолчанию
Злоумышленник зондирует каналы обмена сообщениями, чтобы выявить учётные записи под управлением ИИ
Вектор атаки
Отправка тестовых сообщений, наблюдение за шаблонами ответов
Затронутые компоненты
Все интеграции с каналами
Текущие меры защиты
Специальные меры отсутствуют
Остаточный риск
Низкий — само по себе обнаружение имеет ограниченную ценность
Рекомендации
Рассмотреть рандомизацию времени ответа
3.2 Первоначальный доступ (AML.TA0004)
T-ACCESS-001: Перехват кода сопряжения
Атрибут
Значение
Идентификатор ATLAS
AML.T0040 - Доступ к API вывода модели ИИ
Описание
Злоумышленник перехватывает код сопряжения в течение окна сопряжения (1 ч для ЛС/обычного сопряжения, 5 мин для сопряжения Node)
Вектор атаки
Подсматривание из-за плеча, перехват сетевого трафика, социальная инженерия
Затронутые компоненты
Система сопряжения устройств
Текущие меры защиты
TTL 1 ч (ЛС/обычное сопряжение), TTL 5 мин (сопряжение Node); коды отправляются через существующий канал
Остаточный риск
Средний — окно сопряжения может быть использовано
Рекомендации
Сократить окно сопряжения, добавить этап подтверждения
T-ACCESS-002: Подмена AllowFrom
Атрибут
Значение
Идентификатор ATLAS
AML.T0040 - Доступ к API вывода модели ИИ
Описание
Злоумышленник подменяет идентификатор разрешённого отправителя в канале
Вектор атаки
Зависит от канала — подмена номера телефона, выдача себя за пользователя с чужим именем
Затронутые компоненты
Проверка AllowFrom для каждого канала
Текущие меры защиты
Проверка идентификатора с учётом особенностей канала
Остаточный риск
Средний — некоторые каналы остаются уязвимыми к подмене
Рекомендации
Документировать риски для каждого канала, по возможности добавить криптографическую проверку
T-ACCESS-003: Кража токенов
Атрибут
Значение
Идентификатор ATLAS
AML.T0040 - Доступ к API вывода модели ИИ
Описание
Злоумышленник крадёт токены аутентификации из файлов конфигурации/учётных данных
Вектор атаки
Вредоносное ПО, несанкционированный доступ к устройству, раскрытие резервной копии конфигурации
Затронутые компоненты
Хранилище учётных данных каналов/провайдеров, хранилище конфигурации
Текущие меры защиты
Разрешения файлов
Остаточный риск
Высокий — токены хранятся на диске в виде открытого текста
Рекомендации
Реализовать шифрование токенов при хранении, добавить ротацию токенов
3.3 Выполнение (AML.TA0005)
T-EXEC-001: Прямая инъекция промпта
Атрибут
Значение
Идентификатор ATLAS
AML.T0051.000 - Инъекция промпта LLM: прямая
Описание
Злоумышленник отправляет специально сформированные промпты для манипулирования поведением агента
Вектор атаки
Сообщения в каналах, содержащие вредоносные инструкции
Затронутые компоненты
LLM агента, все поверхности ввода
Текущие меры защиты
Обнаружение шаблонов, обёртывание внешнего содержимого; при отсутствии обхода границы считается выходящим за рамки отчётов об уязвимостях (см. SECURITY.md)
Остаточный риск
Критический — выполняется только обнаружение без блокировки; сложные атаки обходят защиту
Рекомендации
Добавить проверку вывода и подтверждение пользователем конфиденциальных действий поверх существующего механизма обнаружения
T-EXEC-002: Косвенная инъекция промпта
Атрибут
Значение
Идентификатор ATLAS
AML.T0051.001 - Инъекция промпта LLM: косвенная
Описание
Злоумышленник внедряет вредоносные инструкции в получаемое содержимое
src/infra/exec-approvals*.ts, список разрешённых команд
Текущие меры защиты
Список разрешённых команд + режим запроса, а также нормализация команд (развёртывание обёрток диспетчеризации, обнаружение встроенного вычисления, анализ цепочек команд оболочки)
Остаточный риск
Высокий — нормализация сужает возможности обхода посредством обфускации, но не устраняет их; обнаруженные различия только между путями выполнения считаются усилением защиты, а не уязвимостями (см. SECURITY.md)
Рекомендации
Продолжать расширять охват нормализации команд с учётом новых методов обфускации
3.4 Закрепление (AML.TA0006)
T-PERSIST-001: Установка вредоносного навыка
Атрибут
Значение
Идентификатор ATLAS
AML.T0010.001 - Компрометация цепочки поставок: ПО ИИ
Описание
Злоумышленник публикует вредоносный навык в ClawHub
Вектор атаки
Создание учётной записи и публикация навыка со скрытым вредоносным кодом
Затронутые компоненты
ClawHub, загрузка навыков, выполнение агентом
Текущие меры защиты
Проверка возраста учётной записи GitHub, статическое сканирование шаблонов и элементов, смежных с AST, агентная оценка рисков на основе LLM, сканирование VirusTotal
Остаточный риск
Высокий — уровни обнаружения существуют, но навыки по-прежнему выполняются с привилегиями агента без изоляции выполнения
Рекомендации
Изоляция выполнения навыков, расширенная проверка сообществом
T-PERSIST-002: Отравление обновления навыка
Атрибут
Значение
Идентификатор ATLAS
AML.T0010.001 - Компрометация цепочки поставок: ПО ИИ
Описание
Злоумышленник компрометирует популярный навык и выпускает вредоносное обновление
Вектор атаки
Компрометация учётной записи, социальная инженерия в отношении владельца навыка
Затронутые компоненты
Управление версиями ClawHub, процессы автоматического обновления
Текущие меры защиты
Создание отпечатков версий, повторная модерация/сканирование новых версий
Остаточный риск
Высокий — автоматическое обновление может загрузить вредоносные версии до завершения проверки
Рекомендации
Подписание обновлений, возможность отката, фиксация версий
T-PERSIST-003: Несанкционированное изменение конфигурации агента
Атрибут
Значение
Идентификатор ATLAS
AML.T0010.002 - Компрометация цепочки поставок: данные
Описание
Злоумышленник изменяет конфигурацию агента для сохранения доступа
Вектор атаки
Изменение файла конфигурации, внедрение настроек
Затронутые компоненты
Конфигурация агента, политики инструментов
Текущие меры защиты
Разрешения файлов
Остаточный риск
Средний — требуется локальный доступ
Рекомендации
Проверка целостности конфигурации, журналирование изменений конфигурации
3.5 Обход средств защиты (AML.TA0007)
T-EVADE-001: Обход шаблонов модерации
Атрибут
Значение
Идентификатор ATLAS
AML.T0043 - Создание состязательных данных
Описание
Злоумышленник создаёт содержимое навыка, позволяющее обойти проверки модерации ClawHub
Вектор атаки
Омо́глифы Unicode, манипуляции с кодировкой, динамическая загрузка
Затронутые компоненты
Конвейер модерации и сканирования ClawHub
Текущие меры защиты
Статические правила шаблонов, сканирование кода с учётом AST, анализ агентных рисков с помощью LLM, VirusTotal
Остаточный риск
Средний — новые методы обфускации всё ещё могут обходить многоуровневые эвристические проверки
Рекомендации
Продолжать расширять корпус шаблонов и моделей поведения по мере обнаружения новых способов обхода
T-EVADE-002: Выход из оболочки содержимого
Атрибут
Значение
Идентификатор ATLAS
AML.T0043 - Создание состязательных данных
Описание
Злоумышленник создаёт содержимое, которое выходит из контекста оболочки внешнего содержимого
Вектор атаки
Манипуляции с тегами, смешение контекстов, переопределение инструкций
Затронутые компоненты
Оборачивание внешнего содержимого
Текущие меры защиты
XML-подобные маркеры со случайными границами и уведомление о безопасности, а также обнаружение поддельных маркеров с омоглифами и вариантами пробелов
Остаточный риск
Средний — новые способы выхода обнаруживаются регулярно
Рекомендации
Проверка на стороне вывода в дополнение к оборачиванию на стороне ввода
3.6 Разведка (AML.TA0008)
T-DISC-001: Перечисление инструментов
Атрибут
Значение
Идентификатор ATLAS
AML.T0040 - Доступ к API инференса модели ИИ
Описание
Злоумышленник перечисляет доступные инструменты с помощью промптов
Вектор атаки
Запросы в стиле «Какие у тебя есть инструменты?»
Затронутые компоненты
Реестр инструментов агента
Текущие меры защиты
Специальные меры отсутствуют
Остаточный риск
Низкий — инструменты обычно документированы
Рекомендации
Рассмотреть средства управления видимостью инструментов
T-DISC-002: Извлечение данных сеанса
Атрибут
Значение
Идентификатор ATLAS
AML.T0040 - Доступ к API инференса модели ИИ
Описание
Злоумышленник извлекает конфиденциальные данные из контекста сеанса
Вектор атаки
Запросы «Что мы обсуждали?», зондирование контекста
Затронутые компоненты
Расшифровки сеансов, контекстное окно
Текущие меры защиты
Изоляция сеансов по отправителю (ключ agent:channel:peer)
Остаточный риск
Средний — данные внутри сеанса доступны по замыслу
Рекомендации
Редактирование конфиденциальных данных в контексте
3.7 Сбор и эксфильтрация (AML.TA0009, AML.TA0010)
T-EXFIL-001: Кража данных через web_fetch
Атрибут
Значение
Идентификатор ATLAS
AML.T0009 - Сбор
Описание
Злоумышленник эксфильтрирует данные, инструктируя агента отправить их на внешний URL
Вектор атаки
Инъекция промпта, заставляющая агента отправить данные методом POST на сервер злоумышленника
Затронутые компоненты
Инструмент web_fetch
Текущие меры защиты
Блокировка SSRF для внутренних и частных сетей (фиксация DNS и блокировка IP-адресов)
Остаточный риск
Высокий — произвольные внешние URL по-прежнему разрешены
Злоумышленник заставляет агента отправлять сообщения с конфиденциальными данными
Вектор атаки
Инъекция промпта, заставляющая агента отправить сообщение злоумышленнику
Затронутые компоненты
Инструмент сообщений, интеграции с каналами
Текущие меры защиты
Контроль исходящей отправки сообщений
Остаточный риск
Средний — контроль может быть обойдён
Рекомендации
Явное подтверждение для новых получателей
T-EXFIL-003: Сбор учётных данных
Атрибут
Значение
Идентификатор ATLAS
AML.T0009 - Сбор
Описание
Вредоносный навык собирает учётные данные из контекста агента
Вектор атаки
Код навыка считывает переменные окружения и файлы конфигурации
Затронутые компоненты
Среда выполнения навыков
Текущие меры защиты
Сканирование шаблонов учётных данных в ClawHub (жёстко заданные секреты, доступ к переменным окружения с учётными данными в сочетании с сетевой отправкой); изоляция выполнения навыков во время работы отсутствует
Остаточный риск
Критический — навыки выполняются с привилегиями агента
Рекомендации
Изоляция выполнения навыков, изоляция учётных данных
3.8 Воздействие (AML.TA0011)
T-IMPACT-001: Несанкционированное выполнение команд
Атрибут
Значение
Идентификатор ATLAS
AML.T0031 - Нарушение целостности модели ИИ
Описание
Злоумышленник выполняет произвольные команды в системе пользователя
Вектор атаки
Инъекция промпта в сочетании с обходом подтверждения выполнения
Затронутые компоненты
Инструмент Bash, выполнение команд
Текущие меры защиты
Подтверждения выполнения, возможность изоляции Docker (серверная часть среды выполнения по умолчанию)
Остаточный риск
Критический — выполнение в основной системе возможно, когда изоляция отключена
Рекомендации
Улучшить интерфейс подтверждения; развёртывания с отключённой изоляцией остаются осознанным выбором оператора и документируются соответствующим образом
T-IMPACT-002: Исчерпание ресурсов (DoS)
Атрибут
Значение
Идентификатор ATLAS
AML.T0031 - Нарушение целостности модели ИИ
Описание
Злоумышленник исчерпывает кредиты API или вычислительные ресурсы
Подключено к процессам публикации и повторного сканирования навыков и выпусков пакетов; требует API-ключ оператора
Высокая при включении — обнаружение статическим механизмом
Статус модерации
Поле moderationStatus
Средняя — возможна ручная проверка
4.2 Ограничения модерации
Статическое сканирование ClawHub непосредственно проверяет содержимое кода навыка (а не только краткое имя, метаданные или frontmatter), охватывая опасные вызовы выполнения команд, динамическое выполнение кода, сбор учетных данных, шаблоны эксфильтрации, обфусцированные полезные нагрузки и другие угрозы. Известные пробелы:
Обнаружение на основе шаблонов всё равно можно обойти с помощью достаточно новой обфускации.
Проверка на основе LLM и сканирование VirusTotal зависят от включения API-ключей и конфигурации на стороне оператора.
После установки навыка отсутствует песочница выполнения, изолирующая его от собственных привилегий агента.
4.3 Значки
Навыкам и пакетам назначаются модераторами следующие значки: highlighted, official, deprecated, redactionApproved (только для навыков). Сообщения сообщества (skillReports) и журналирование аудита (auditLogs) поддерживают процессы модерации.
Политика разрешения и запрета инструментов песочницы
Критический
src/routing/resolve-route.ts
Изоляция и маршрутизация сеансов
Средний
7.3 Глоссарий
Термин
Определение
ATLAS
Ландшафт состязательных угроз MITRE для систем ИИ
ClawHub
Магазин навыков OpenClaw
Gateway
Уровень маршрутизации сообщений и аутентификации OpenClaw
MCP
Model Context Protocol — интерфейс поставщика инструментов
Внедрение промпта
Атака, при которой вредоносные инструкции встраиваются во входные данные
Навык
Загружаемое расширение для агентов OpenClaw
SSRF
Подделка серверных запросов
Эта модель угроз является постоянно обновляемым документом. Сообщайте о проблемах безопасности по адресу security@openclaw.ai или посетите страницу доверия.