---
read_when:
    - Анализ состояния безопасности или сценариев угроз
    - Работа над функциями безопасности или ответами на аудит
summary: Модель угроз OpenClaw, сопоставленная с фреймворком MITRE ATLAS
title: Модель угроз (MITRE ATLAS)
x-i18n:
    generated_at: "2026-07-13T18:37:28Z"
    model: gpt-5.6
    postprocess_version: locale-links-v1
    prompt_version: 24
    provider: openai
    source_hash: c88ffdef850bd2afaf835baab2555304c914a0be1df6b6b9109e0f55d1448392
    source_path: security/THREAT-MODEL-ATLAS.md
    workflow: 16
---

**Версия:** 1.0-draft | **Фреймворк:** [MITRE ATLAS](https://atlas.mitre.org/) (ландшафт состязательных угроз для систем ИИ) + диаграммы потоков данных

Эта модель угроз описывает состязательные угрозы для платформы ИИ-агентов OpenClaw и каталога Skills ClawHub. Это постоянно обновляемый документ, который поддерживается сообществом OpenClaw. Сведения о том, как сообщать о новых угрозах, предлагать цепочки атак или меры защиты, см. в разделе [Участие в разработке модели угроз](/ru/security/CONTRIBUTING-THREAT-MODEL).

**Основные ресурсы ATLAS:** [Техники](https://atlas.mitre.org/techniques/) | [Тактики](https://atlas.mitre.org/tactics/) | [Примеры исследований](https://atlas.mitre.org/studies/) | [ATLAS на GitHub](https://github.com/mitre-atlas/atlas-data) | [Участие в развитии ATLAS](https://atlas.mitre.org/resources/contribute)

---

## 1. Область охвата

| Компонент                       | Включён     | Примечания                                              |
| ------------------------------- | ----------- | ------------------------------------------------------- |
| Среда выполнения агента OpenClaw | Да          | Основное выполнение агента, вызовы инструментов, сеансы |
| Gateway                         | Да          | Аутентификация, маршрутизация, интеграция с каналами     |
| Интеграции с каналами           | Да          | WhatsApp, Telegram, Discord, Signal, Slack и т. д.       |
| Каталог ClawHub                 | Да          | Публикация, модерация и распространение Skills           |
| Серверы MCP                     | Да          | Внешние поставщики инструментов                          |
| Устройства пользователей       | Частично    | Мобильные приложения, настольные клиенты                 |

Отчёты, не входящие в область охвата, и типичные ложные срабатывания (доступность из общедоступного интернета, цепочки исключительно с внедрением в промпт без обхода границы, совместное использование одного хоста Gateway взаимно недоверяющими операторами и другие) перечислены в [`SECURITY.md`](https://github.com/openclaw/openclaw/blob/main/SECURITY.md); именно этот файл, а не данная страница, является актуальным источником истины для области охвата отчётов об уязвимостях.

## 2. Архитектура системы

### 2.1 Границы доверия

```text
┌─────────────────────────────────────────────────────────────────┐
│                    НЕДОВЕРЕННАЯ ЗОНА                             │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 ГРАНИЦА ДОВЕРИЯ 1: Доступ к каналу               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Сопряжение устройств (TTL: 1ч для ЛС / 5м для Node)   │   │
│  │  • Проверка AllowFrom / списка разрешённых                │   │
│  │  • Аутентификация по токену / паролю / через Tailscale    │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 ГРАНИЦА ДОВЕРИЯ 2: Изоляция сеансов              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   СЕАНСЫ АГЕНТОВ                          │   │
│  │  • Ключ сеанса = agent:channel:peer                       │   │
│  │  • Политики инструментов для каждого агента               │   │
│  │  • Журналирование расшифровок                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 ГРАНИЦА ДОВЕРИЯ 3: Выполнение инструментов       │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  ПЕСОЧНИЦА ВЫПОЛНЕНИЯ                     │   │
│  │  • Песочница Docker (по умолчанию) или хост               │   │
│  │    (с подтверждением выполнения)                          │   │
│  │  • Удалённое выполнение на Node                           │   │
│  │  • Защита от SSRF (фиксация DNS + блокировка IP)          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 ГРАНИЦА ДОВЕРИЯ 4: Внешнее содержимое            │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │         ПОЛУЧЕННЫЕ URL / ПИСЬМА / WEBHOOKS               │   │
│  │  • Обёртывание внешнего содержимого                       │   │
│  │    (XML-теги со случайными границами)                     │   │
│  │  • Добавление уведомления о безопасности                  │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 ГРАНИЦА ДОВЕРИЯ 5: Цепочка поставок              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Публикация Skills (semver, обязателен SKILL.md)        │   │
│  │  • Модерационное сканирование статических шаблонов        │   │
│  │    и структур, близких к AST                              │   │
│  │  • Агентная проверка рисков на основе LLM                 │   │
│  │    + сканирование VirusTotal                              │   │
│  │  • Проверка возраста учётной записи GitHub (14 дней)      │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
```

### 2.2 Потоки данных

| Поток | Источник | Назначение        | Данные                      | Защита                       |
| ----- | -------- | ----------------- | --------------------------- | ---------------------------- |
| F1    | Канал    | Gateway           | Сообщения пользователей     | TLS, AllowFrom               |
| F2    | Gateway  | Агент             | Маршрутизированные сообщения | Изоляция сеансов             |
| F3    | Агент    | Инструменты       | Вызовы инструментов         | Применение политик           |
| F4    | Агент    | Внешние ресурсы   | запросы `web_fetch`  | Блокировка SSRF              |
| F5    | ClawHub  | Агент             | Код Skills                  | Модерация, сканирование      |
| F6    | Агент    | Канал             | Ответы                      | Фильтрация выходных данных   |

---

## 3. Анализ угроз по тактикам ATLAS

### 3.1 Разведка (AML.TA0002)

#### T-RECON-001: Обнаружение конечных точек агента

| Атрибут                  | Значение                                                                      |
| ------------------------ | ----------------------------------------------------------------------------- |
| **Идентификатор ATLAS**  | AML.T0006 — Активное сканирование                                             |
| **Описание**             | Злоумышленник сканирует сеть в поисках открытых конечных точек Gateway OpenClaw |
| **Вектор атаки**         | Сканирование сети, запросы Shodan, перебор DNS                                |
| **Затронутые компоненты** | Gateway, открытые конечные точки API                                          |
| **Текущие меры защиты**  | Возможность аутентификации через Tailscale, привязка к loopback по умолчанию   |
| **Остаточный риск**      | Средний — общедоступные Gateway можно обнаружить                              |
| **Рекомендации**         | Документировать безопасное развёртывание, добавить ограничение частоты запросов к конечным точкам обнаружения |

#### T-RECON-002: Зондирование интеграций с каналами

| Атрибут                  | Значение                                                                   |
| ------------------------ | -------------------------------------------------------------------------- |
| **Идентификатор ATLAS**  | AML.T0006 — Активное сканирование                                          |
| **Описание**             | Злоумышленник зондирует каналы обмена сообщениями, чтобы выявить учётные записи под управлением ИИ |
| **Вектор атаки**         | Отправка тестовых сообщений, наблюдение за шаблонами ответов                |
| **Затронутые компоненты** | Все интеграции с каналами                                                   |
| **Текущие меры защиты**  | Специальные меры отсутствуют                                                |
| **Остаточный риск**      | Низкий — само по себе обнаружение имеет ограниченную ценность               |
| **Рекомендации**         | Рассмотреть рандомизацию времени ответа                                     |

---

### 3.2 Первоначальный доступ (AML.TA0004)

#### T-ACCESS-001: Перехват кода сопряжения

| Атрибут                  | Значение                                                                                                           |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------ |
| **Идентификатор ATLAS**  | AML.T0040 - Доступ к API вывода модели ИИ                                                                          |
| **Описание**             | Злоумышленник перехватывает код сопряжения в течение окна сопряжения (1 ч для ЛС/обычного сопряжения, 5 мин для сопряжения Node) |
| **Вектор атаки**         | Подсматривание из-за плеча, перехват сетевого трафика, социальная инженерия                                        |
| **Затронутые компоненты** | Система сопряжения устройств                                                                                       |
| **Текущие меры защиты**  | TTL 1 ч (ЛС/обычное сопряжение), TTL 5 мин (сопряжение Node); коды отправляются через существующий канал           |
| **Остаточный риск**      | Средний — окно сопряжения может быть использовано                                                                  |
| **Рекомендации**         | Сократить окно сопряжения, добавить этап подтверждения                                                             |

#### T-ACCESS-002: Подмена AllowFrom

| Атрибут                  | Значение                                                                                   |
| ------------------------ | ------------------------------------------------------------------------------------------ |
| **Идентификатор ATLAS**  | AML.T0040 - Доступ к API вывода модели ИИ                                                  |
| **Описание**             | Злоумышленник подменяет идентификатор разрешённого отправителя в канале                    |
| **Вектор атаки**         | Зависит от канала — подмена номера телефона, выдача себя за пользователя с чужим именем     |
| **Затронутые компоненты** | Проверка AllowFrom для каждого канала                                                       |
| **Текущие меры защиты**  | Проверка идентификатора с учётом особенностей канала                                       |
| **Остаточный риск**      | Средний — некоторые каналы остаются уязвимыми к подмене                                    |
| **Рекомендации**         | Документировать риски для каждого канала, по возможности добавить криптографическую проверку |

#### T-ACCESS-003: Кража токенов

| Атрибут                  | Значение                                                                        |
| ------------------------ | ------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**  | AML.T0040 - Доступ к API вывода модели ИИ                                       |
| **Описание**             | Злоумышленник крадёт токены аутентификации из файлов конфигурации/учётных данных |
| **Вектор атаки**         | Вредоносное ПО, несанкционированный доступ к устройству, раскрытие резервной копии конфигурации |
| **Затронутые компоненты** | Хранилище учётных данных каналов/провайдеров, хранилище конфигурации             |
| **Текущие меры защиты**  | Разрешения файлов                                                              |
| **Остаточный риск**      | Высокий — токены хранятся на диске в виде открытого текста                      |
| **Рекомендации**         | Реализовать шифрование токенов при хранении, добавить ротацию токенов            |

---

### 3.3 Выполнение (AML.TA0005)

#### T-EXEC-001: Прямая инъекция промпта

| Атрибут                  | Значение                                                                                                                                                  |
| ------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**  | AML.T0051.000 - Инъекция промпта LLM: прямая                                                                                                              |
| **Описание**             | Злоумышленник отправляет специально сформированные промпты для манипулирования поведением агента                                                          |
| **Вектор атаки**         | Сообщения в каналах, содержащие вредоносные инструкции                                                                                                    |
| **Затронутые компоненты** | LLM агента, все поверхности ввода                                                                                                                         |
| **Текущие меры защиты**  | Обнаружение шаблонов, обёртывание внешнего содержимого; при отсутствии обхода границы считается выходящим за рамки отчётов об уязвимостях (см. `SECURITY.md`) |
| **Остаточный риск**      | Критический — выполняется только обнаружение без блокировки; сложные атаки обходят защиту                                                                 |
| **Рекомендации**         | Добавить проверку вывода и подтверждение пользователем конфиденциальных действий поверх существующего механизма обнаружения                               |

#### T-EXEC-002: Косвенная инъекция промпта

| Атрибут                  | Значение                                                                                                                        |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**  | AML.T0051.001 - Инъекция промпта LLM: косвенная                                                                                 |
| **Описание**             | Злоумышленник внедряет вредоносные инструкции в получаемое содержимое                                                           |
| **Вектор атаки**         | Вредоносные URL-адреса, отравленные электронные письма, скомпрометированные вебхуки                                              |
| **Затронутые компоненты** | `web_fetch`, приём электронной почты, внешние источники данных                                                           |
| **Текущие меры защиты**  | Обёртывание содержимого XML-подобными маркерами со случайными границами, нормализация омоглифов/специальных токенов и уведомление о безопасности |
| **Остаточный риск**      | Высокий — LLM всё ещё может игнорировать инструкции обёртки                                                                     |
| **Рекомендации**         | Разделить контексты выполнения для обёрнутого содержимого                                                                       |

#### T-EXEC-003: Инъекция аргументов инструмента

| Атрибут                  | Значение                                                                  |
| ------------------------ | ------------------------------------------------------------------------- |
| **Идентификатор ATLAS**  | AML.T0051.000 - Инъекция промпта LLM: прямая                              |
| **Описание**             | Злоумышленник манипулирует аргументами инструмента посредством инъекции промпта |
| **Вектор атаки**         | Специально сформированные промпты, влияющие на значения параметров инструмента |
| **Затронутые компоненты** | Все вызовы инструментов                                                   |
| **Текущие меры защиты**  | Подтверждение выполнения опасных команд                                   |
| **Остаточный риск**      | Высокий — зависит от решения пользователя                                 |
| **Рекомендации**         | Проверка аргументов, параметризованные вызовы инструментов                |

#### T-EXEC-004: Обход подтверждения выполнения

| Атрибут                  | Значение                                                                                                                                                                                             |
| ------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**  | AML.T0043 - Создание состязательных данных                                                                                                                                                            |
| **Описание**             | Злоумышленник создаёт команды, обходящие список разрешённых команд                                                                                                                                    |
| **Вектор атаки**         | Обфускация команд, эксплуатация псевдонимов, манипулирование путями                                                                                                                                   |
| **Затронутые компоненты** | `src/infra/exec-approvals*.ts`, список разрешённых команд                                                                                                                                                         |
| **Текущие меры защиты**  | Список разрешённых команд + режим запроса, а также нормализация команд (развёртывание обёрток диспетчеризации, обнаружение встроенного вычисления, анализ цепочек команд оболочки)                     |
| **Остаточный риск**      | Высокий — нормализация сужает возможности обхода посредством обфускации, но не устраняет их; обнаруженные различия только между путями выполнения считаются усилением защиты, а не уязвимостями (см. `SECURITY.md`) |
| **Рекомендации**         | Продолжать расширять охват нормализации команд с учётом новых методов обфускации                                                                                                                      |

---

### 3.4 Закрепление (AML.TA0006)

#### T-PERSIST-001: Установка вредоносного навыка

| Атрибут                  | Значение                                                                                                                          |
| ------------------------ | --------------------------------------------------------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**  | AML.T0010.001 - Компрометация цепочки поставок: ПО ИИ                                                                              |
| **Описание**             | Злоумышленник публикует вредоносный навык в ClawHub                                                                                |
| **Вектор атаки**         | Создание учётной записи и публикация навыка со скрытым вредоносным кодом                                                           |
| **Затронутые компоненты** | ClawHub, загрузка навыков, выполнение агентом                                                                                      |
| **Текущие меры защиты**  | Проверка возраста учётной записи GitHub, статическое сканирование шаблонов и элементов, смежных с AST, агентная оценка рисков на основе LLM, сканирование VirusTotal |
| **Остаточный риск**      | Высокий — уровни обнаружения существуют, но навыки по-прежнему выполняются с привилегиями агента без изоляции выполнения            |
| **Рекомендации**         | Изоляция выполнения навыков, расширенная проверка сообществом                                                                      |

#### T-PERSIST-002: Отравление обновления навыка

| Атрибут                  | Значение                                                                                |
| ------------------------ | --------------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**  | AML.T0010.001 - Компрометация цепочки поставок: ПО ИИ                                   |
| **Описание**             | Злоумышленник компрометирует популярный навык и выпускает вредоносное обновление         |
| **Вектор атаки**         | Компрометация учётной записи, социальная инженерия в отношении владельца навыка          |
| **Затронутые компоненты** | Управление версиями ClawHub, процессы автоматического обновления                         |
| **Текущие меры защиты**  | Создание отпечатков версий, повторная модерация/сканирование новых версий                |
| **Остаточный риск**      | Высокий — автоматическое обновление может загрузить вредоносные версии до завершения проверки |
| **Рекомендации**         | Подписание обновлений, возможность отката, фиксация версий                               |

#### T-PERSIST-003: Несанкционированное изменение конфигурации агента

| Атрибут                   | Значение                                                                        |
| ------------------------- | ------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**   | AML.T0010.002 - Компрометация цепочки поставок: данные                          |
| **Описание**              | Злоумышленник изменяет конфигурацию агента для сохранения доступа               |
| **Вектор атаки**          | Изменение файла конфигурации, внедрение настроек                                |
| **Затронутые компоненты** | Конфигурация агента, политики инструментов                                      |
| **Текущие меры защиты**   | Разрешения файлов                                                              |
| **Остаточный риск**       | Средний — требуется локальный доступ                                            |
| **Рекомендации**          | Проверка целостности конфигурации, журналирование изменений конфигурации        |

---

### 3.5 Обход средств защиты (AML.TA0007)

#### T-EVADE-001: Обход шаблонов модерации

| Атрибут                   | Значение                                                                                              |
| ------------------------- | ----------------------------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**   | AML.T0043 - Создание состязательных данных                                                            |
| **Описание**              | Злоумышленник создаёт содержимое навыка, позволяющее обойти проверки модерации ClawHub                 |
| **Вектор атаки**          | Омо́глифы Unicode, манипуляции с кодировкой, динамическая загрузка                                    |
| **Затронутые компоненты** | Конвейер модерации и сканирования ClawHub                                                             |
| **Текущие меры защиты**   | Статические правила шаблонов, сканирование кода с учётом AST, анализ агентных рисков с помощью LLM, VirusTotal |
| **Остаточный риск**       | Средний — новые методы обфускации всё ещё могут обходить многоуровневые эвристические проверки        |
| **Рекомендации**          | Продолжать расширять корпус шаблонов и моделей поведения по мере обнаружения новых способов обхода    |

#### T-EVADE-002: Выход из оболочки содержимого

| Атрибут                   | Значение                                                                                                                        |
| ------------------------- | ------------------------------------------------------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**   | AML.T0043 - Создание состязательных данных                                                                                       |
| **Описание**              | Злоумышленник создаёт содержимое, которое выходит из контекста оболочки внешнего содержимого                                     |
| **Вектор атаки**          | Манипуляции с тегами, смешение контекстов, переопределение инструкций                                                            |
| **Затронутые компоненты** | Оборачивание внешнего содержимого                                                                                                |
| **Текущие меры защиты**   | XML-подобные маркеры со случайными границами и уведомление о безопасности, а также обнаружение поддельных маркеров с омоглифами и вариантами пробелов |
| **Остаточный риск**       | Средний — новые способы выхода обнаруживаются регулярно                                                                          |
| **Рекомендации**          | Проверка на стороне вывода в дополнение к оборачиванию на стороне ввода                                                         |

---

### 3.6 Разведка (AML.TA0008)

#### T-DISC-001: Перечисление инструментов

| Атрибут                   | Значение                                                          |
| ------------------------- | ----------------------------------------------------------------- |
| **Идентификатор ATLAS**   | AML.T0040 - Доступ к API инференса модели ИИ                      |
| **Описание**              | Злоумышленник перечисляет доступные инструменты с помощью промптов |
| **Вектор атаки**          | Запросы в стиле «Какие у тебя есть инструменты?»                  |
| **Затронутые компоненты** | Реестр инструментов агента                                       |
| **Текущие меры защиты**   | Специальные меры отсутствуют                                      |
| **Остаточный риск**       | Низкий — инструменты обычно документированы                       |
| **Рекомендации**          | Рассмотреть средства управления видимостью инструментов           |

#### T-DISC-002: Извлечение данных сеанса

| Атрибут                   | Значение                                                              |
| ------------------------- | --------------------------------------------------------------------- |
| **Идентификатор ATLAS**   | AML.T0040 - Доступ к API инференса модели ИИ                          |
| **Описание**              | Злоумышленник извлекает конфиденциальные данные из контекста сеанса   |
| **Вектор атаки**          | Запросы «Что мы обсуждали?», зондирование контекста                   |
| **Затронутые компоненты** | Расшифровки сеансов, контекстное окно                                 |
| **Текущие меры защиты**   | Изоляция сеансов по отправителю (ключ `agent:channel:peer`)             |
| **Остаточный риск**       | Средний — данные внутри сеанса доступны по замыслу                    |
| **Рекомендации**          | Редактирование конфиденциальных данных в контексте                    |

---

### 3.7 Сбор и эксфильтрация (AML.TA0009, AML.TA0010)

#### T-EXFIL-001: Кража данных через web_fetch

| Атрибут                   | Значение                                                                                              |
| ------------------------- | ----------------------------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**   | AML.T0009 - Сбор                                                                                      |
| **Описание**              | Злоумышленник эксфильтрирует данные, инструктируя агента отправить их на внешний URL                   |
| **Вектор атаки**          | Инъекция промпта, заставляющая агента отправить данные методом POST на сервер злоумышленника           |
| **Затронутые компоненты** | Инструмент `web_fetch`                                                                        |
| **Текущие меры защиты**   | Блокировка SSRF для внутренних и частных сетей (фиксация DNS и блокировка IP-адресов)                 |
| **Остаточный риск**       | Высокий — произвольные внешние URL по-прежнему разрешены                                              |
| **Рекомендации**          | Списки разрешённых URL, учёт классификации данных                                                     |

#### T-EXFIL-002: Несанкционированная отправка сообщений

| Атрибут                   | Значение                                                                          |
| ------------------------- | --------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**   | AML.T0009 - Сбор                                                                  |
| **Описание**              | Злоумышленник заставляет агента отправлять сообщения с конфиденциальными данными   |
| **Вектор атаки**          | Инъекция промпта, заставляющая агента отправить сообщение злоумышленнику           |
| **Затронутые компоненты** | Инструмент сообщений, интеграции с каналами                                       |
| **Текущие меры защиты**   | Контроль исходящей отправки сообщений                                             |
| **Остаточный риск**       | Средний — контроль может быть обойдён                                             |
| **Рекомендации**          | Явное подтверждение для новых получателей                                         |

#### T-EXFIL-003: Сбор учётных данных

| Атрибут                   | Значение                                                                                                                                                                 |
| ------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **Идентификатор ATLAS**   | AML.T0009 - Сбор                                                                                                                                                          |
| **Описание**              | Вредоносный навык собирает учётные данные из контекста агента                                                                                                             |
| **Вектор атаки**          | Код навыка считывает переменные окружения и файлы конфигурации                                                                                                            |
| **Затронутые компоненты** | Среда выполнения навыков                                                                                                                                                  |
| **Текущие меры защиты**   | Сканирование шаблонов учётных данных в ClawHub (жёстко заданные секреты, доступ к переменным окружения с учётными данными в сочетании с сетевой отправкой); изоляция выполнения навыков во время работы отсутствует |
| **Остаточный риск**       | Критический — навыки выполняются с привилегиями агента                                                                                                                    |
| **Рекомендации**          | Изоляция выполнения навыков, изоляция учётных данных                                                                                                                      |

---

### 3.8 Воздействие (AML.TA0011)

#### T-IMPACT-001: Несанкционированное выполнение команд

| Атрибут                   | Значение                                                                                                                     |
| ------------------------- | ---------------------------------------------------------------------------------------------------------------------------- |
| **Идентификатор ATLAS**   | AML.T0031 - Нарушение целостности модели ИИ                                                                                  |
| **Описание**              | Злоумышленник выполняет произвольные команды в системе пользователя                                                         |
| **Вектор атаки**          | Инъекция промпта в сочетании с обходом подтверждения выполнения                                                              |
| **Затронутые компоненты** | Инструмент Bash, выполнение команд                                                                                           |
| **Текущие меры защиты**   | Подтверждения выполнения, возможность изоляции Docker (серверная часть среды выполнения по умолчанию)                       |
| **Остаточный риск**       | Критический — выполнение в основной системе возможно, когда изоляция отключена                                               |
| **Рекомендации**          | Улучшить интерфейс подтверждения; развёртывания с отключённой изоляцией остаются осознанным выбором оператора и документируются соответствующим образом |

#### T-IMPACT-002: Исчерпание ресурсов (DoS)

| Атрибут                   | Значение                                                    |
| ------------------------- | ----------------------------------------------------------- |
| **Идентификатор ATLAS**   | AML.T0031 - Нарушение целостности модели ИИ                 |
| **Описание**              | Злоумышленник исчерпывает кредиты API или вычислительные ресурсы |
| **Вектор атаки**          | Автоматизированная массовая отправка сообщений, дорогостоящие вызовы инструментов |
| **Затронутые компоненты** | Gateway, сеансы агента, поставщик API                       |
| **Текущие меры защиты**   | Отсутствуют                                                 |
| **Остаточный риск**       | Высокий — ограничение частоты для отдельных отправителей отсутствует |
| **Рекомендации**          | Ограничения частоты для отдельных отправителей, бюджеты расходов |

#### T-IMPACT-003: Ущерб репутации

| Атрибут                   | Значение                                                              |
| ------------------------- | --------------------------------------------------------------------- |
| **Идентификатор ATLAS**   | AML.T0031 - Нарушение целостности модели ИИ                           |
| **Описание**              | Злоумышленник заставляет агента отправлять вредоносное или оскорбительное содержимое |
| **Вектор атаки**          | Инъекция промпта, вызывающая неприемлемые ответы                       |
| **Затронутые компоненты** | Формирование вывода, обмен сообщениями через каналы                    |
| **Текущие меры защиты**   | Политики поставщика LLM в отношении содержимого                        |
| **Остаточный риск**       | Средний — фильтры поставщика несовершенны                              |
| **Рекомендации**          | Уровень фильтрации вывода, пользовательские средства управления       |

---

## 4. Анализ цепочки поставок ClawHub

### 4.1 Текущие средства контроля безопасности

| Мера контроля                  | Реализация                                                                           | Эффективность                                                           |
| ------------------------------ | ------------------------------------------------------------------------------------ | ----------------------------------------------------------------------- |
| Возраст учетной записи GitHub  | `requireGitHubAccountAge()` (минимум 14 дней)                                                 | Средняя — повышает порог входа для новых злоумышленников                 |
| Очистка путей                  | `sanitizePath()`                                                                   | Высокая — предотвращает обход каталогов                                  |
| Проверка типов файлов          | `isTextFile()`                                                                   | Средняя — сканируются только текстовые файлы, но эксплуатация возможна   |
| Ограничения размера            | Общий размер пакета 50MB (`MAX_PUBLISH_TOTAL_BYTES`)                                        | Высокая — предотвращает исчерпание ресурсов                              |
| Обязательный SKILL.md          | Обязательный файл сведений при публикации                                            | Низкая ценность для безопасности — только информационная мера            |
| Статическое и близкое к AST сканирование | Механизм шаблонов, охватывающий выполнение команд, эксфильтрацию, сбор учетных данных, обфускацию и другие угрозы | Средняя–высокая — охватывает многие известные шаблоны злоупотреблений, но по-прежнему основана на шаблонах |
| Агентная проверка рисков на основе LLM | Вердикт при публикации на основе промпта безопасности                                | Средняя–высокая — выявляет поведение, пропускаемое статическими шаблонами |
| Сканирование VirusTotal        | Подключено к процессам публикации и повторного сканирования навыков и выпусков пакетов; требует API-ключ оператора | Высокая при включении — обнаружение статическим механизмом               |
| Статус модерации               | Поле `moderationStatus`                                                              | Средняя — возможна ручная проверка                                       |

### 4.2 Ограничения модерации

Статическое сканирование ClawHub непосредственно проверяет содержимое кода навыка (а не только краткое имя, метаданные или frontmatter), охватывая опасные вызовы выполнения команд, динамическое выполнение кода, сбор учетных данных, шаблоны эксфильтрации, обфусцированные полезные нагрузки и другие угрозы. Известные пробелы:

- Обнаружение на основе шаблонов всё равно можно обойти с помощью достаточно новой обфускации.
- Проверка на основе LLM и сканирование VirusTotal зависят от включения API-ключей и конфигурации на стороне оператора.
- После установки навыка отсутствует песочница выполнения, изолирующая его от собственных привилегий агента.

### 4.3 Значки

Навыкам и пакетам назначаются модераторами следующие значки: `highlighted`, `official`, `deprecated`, `redactionApproved` (только для навыков). Сообщения сообщества (`skillReports`) и журналирование аудита (`auditLogs`) поддерживают процессы модерации.

---

## 5. Матрица рисков

### 5.1 Вероятность и влияние

| Идентификатор угрозы | Вероятность | Влияние      | Уровень риска    | Приоритет |
| -------------------- | ----------- | ------------ | ---------------- | --------- |
| T-EXEC-001           | Высокая     | Критическое  | **Критический**  | P0        |
| T-PERSIST-001        | Высокая     | Критическое  | **Критический**  | P0        |
| T-EXFIL-003          | Средняя     | Критическое  | **Критический**  | P0        |
| T-IMPACT-001         | Средняя     | Критическое  | **Высокий**       | P1        |
| T-EXEC-002           | Высокая     | Высокое      | **Высокий**       | P1        |
| T-EXEC-004           | Средняя     | Высокое      | **Высокий**       | P1        |
| T-ACCESS-003         | Средняя     | Высокое      | **Высокий**       | P1        |
| T-EXFIL-001          | Средняя     | Высокое      | **Высокий**       | P1        |
| T-IMPACT-002         | Высокая     | Среднее      | **Высокий**       | P1        |
| T-EVADE-001          | Высокая     | Среднее      | **Средний**       | P2        |
| T-ACCESS-001         | Низкая      | Высокое      | **Средний**       | P2        |
| T-ACCESS-002         | Низкая      | Высокое      | **Средний**       | P2        |
| T-PERSIST-002        | Низкая      | Высокое      | **Средний**       | P2        |

### 5.2 Цепочки атак критического пути

**Цепочка 1: кража данных через навык**

```text
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Опубликовать вредоносный навык) → (Обойти модерацию) → (Собрать учетные данные)
```

**Цепочка 2: от внедрения промпта до удаленного выполнения кода**

```text
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Внедрить промпт) → (Обойти подтверждение выполнения команд) → (Выполнить команды)
```

**Цепочка 3: косвенное внедрение через полученное содержимое**

```text
T-EXEC-002 → T-EXFIL-001 → Внешняя эксфильтрация
(Отравить содержимое URL) → (Агент получает содержимое и выполняет инструкции) → (Данные отправляются злоумышленнику)
```

---

## 6. Сводка рекомендаций

### 6.1 Немедленные меры (P0)

| ID    | Рекомендация                                               | Устраняет                   |
| ----- | ---------------------------------------------------------- | --------------------------- |
| R-002 | Реализовать изоляцию выполнения навыков в песочнице         | T-PERSIST-001, T-EXFIL-003  |
| R-003 | Добавить проверку выходных данных для чувствительных действий | T-EXEC-001, T-EXEC-002    |

### 6.2 Краткосрочные меры (P1)

| ID    | Рекомендация                                                                  | Устраняет     |
| ----- | ----------------------------------------------------------------------------- | ------------- |
| R-004 | Реализовать ограничение частоты запросов для каждого отправителя              | T-IMPACT-002  |
| R-005 | Добавить шифрование токенов при хранении                                      | T-ACCESS-003  |
| R-006 | Улучшить интерфейс подтверждения выполнения команд и продолжить расширение нормализации команд | T-EXEC-004 |
| R-007 | Реализовать список разрешенных URL для `web_fetch`                     | T-EXFIL-001   |

### 6.3 Среднесрочные меры (P2)

| ID    | Рекомендация                                                      | Устраняет      |
| ----- | ----------------------------------------------------------------- | -------------- |
| R-008 | Добавить криптографическую проверку каналов там, где это возможно  | T-ACCESS-002   |
| R-009 | Реализовать проверку целостности конфигурации                      | T-PERSIST-003  |
| R-010 | Добавить подписание обновлений и фиксацию версий                   | T-PERSIST-002  |

---

## 7. Приложения

### 7.1 Сопоставление техник ATLAS

| ID ATLAS      | Название техники                         | Угрозы OpenClaw                                                   |
| ------------- | ---------------------------------------- | ----------------------------------------------------------------- |
| AML.T0006     | Активное сканирование                    | T-RECON-001, T-RECON-002                                         |
| AML.T0009     | Сбор данных                              | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003                            |
| AML.T0010.001 | Цепочка поставок: программное обеспечение ИИ | T-PERSIST-001, T-PERSIST-002                                  |
| AML.T0010.002 | Цепочка поставок: данные                 | T-PERSIST-003                                                    |
| AML.T0031     | Нарушение целостности модели ИИ          | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003                         |
| AML.T0040     | Доступ к API вывода модели ИИ            | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043     | Создание состязательных данных           | T-EXEC-004, T-EVADE-001, T-EVADE-002                             |
| AML.T0051.000 | Внедрение промпта LLM: прямое            | T-EXEC-001, T-EXEC-003                                           |
| AML.T0051.001 | Внедрение промпта LLM: косвенное         | T-EXEC-002                                                       |

### 7.2 Ключевые файлы безопасности

| Путь                                | Назначение                                  | Уровень риска   |
| ----------------------------------- | ------------------------------------------- | --------------- |
| `src/infra/exec-approvals.ts`                  | Логика подтверждения выполнения команд      | **Критический** |
| `src/gateway/auth.ts`                  | Аутентификация Gateway                      | **Критический** |
| `src/infra/net/ssrf.ts`                  | Защита от SSRF                              | **Критический** |
| `src/security/external-content.ts`                  | Снижение риска внедрения промптов            | **Критический** |
| `src/agents/sandbox/tool-policy.ts`                  | Политика разрешения и запрета инструментов песочницы | **Критический** |
| `src/routing/resolve-route.ts`                  | Изоляция и маршрутизация сеансов             | **Средний**     |

### 7.3 Глоссарий

| Термин               | Определение                                                        |
| -------------------- | ------------------------------------------------------------------ |
| **ATLAS**            | Ландшафт состязательных угроз MITRE для систем ИИ                   |
| **ClawHub**          | Магазин навыков OpenClaw                                           |
| **Gateway**          | Уровень маршрутизации сообщений и аутентификации OpenClaw          |
| **MCP**              | Model Context Protocol — интерфейс поставщика инструментов          |
| **Внедрение промпта** | Атака, при которой вредоносные инструкции встраиваются во входные данные |
| **Навык**            | Загружаемое расширение для агентов OpenClaw                         |
| **SSRF**             | Подделка серверных запросов                                        |

---

_Эта модель угроз является постоянно обновляемым документом. Сообщайте о проблемах безопасности по адресу `security@openclaw.ai` или посетите [страницу доверия](https://trust.openclaw.ai)._

## Связанные материалы

- [Участие в разработке модели угроз](/ru/security/CONTRIBUTING-THREAT-MODEL)
- [Реагирование на инциденты](/ru/security/incident-response)
- [Сетевой прокси-сервер](/ru/security/network-proxy)
- [Формальная верификация](/ru/security/formal-verification)
