Sürüm: 1.0-taslak | Çerçeve:MITRE ATLAS (Yapay Zekâ Sistemleri için Düşmanca Tehdit Ortamı) + veri akış diyagramları
Bu tehdit modeli, OpenClaw yapay zekâ ajan platformuna ve ClawHub Skills pazarına yönelik düşmanca tehditleri belgeler. OpenClaw topluluğu tarafından sürdürülen, sürekli güncellenen bir belgedir. Yeni tehditleri bildirme, saldırı zincirleri önerme veya risk azaltma önlemleri sunma hakkında bilgi için Tehdit modeline katkıda bulunma sayfasına bakın.
Kapsam dışı bildirimler ve yanlış pozitif örüntüleri (genel internete açık olma, bir sınır aşımı olmaksızın yalnızca istem enjeksiyonuna dayalı zincirler, karşılıklı olarak güvenilmeyen operatörlerin tek bir gateway ana makinesini paylaşması ve diğerleri) SECURITY.md dosyasında sıralanmıştır; güvenlik açığı bildirim kapsamı için güncel ve esas kaynak bu sayfa değil, söz konusu dosyadır.
Yüksek - belirteçler diskte düz metin olarak depolanır
Öneriler
Bekleyen belirteçler için şifreleme uygulayın, belirteç yenileme özelliği ekleyin
3.3 Yürütme (AML.TA0005)
T-EXEC-001: Doğrudan istem enjeksiyonu
Nitelik
Değer
ATLAS Kimliği
AML.T0051.000 - LLM İstem Enjeksiyonu: Doğrudan
Açıklama
Saldırgan, ajanın davranışını değiştirmek için özel hazırlanmış istemler gönderir
Saldırı vektörü
Düşmanca talimatlar içeren kanal mesajları
Etkilenen bileşenler
Ajan LLM'si, tüm giriş yüzeyleri
Mevcut önlemler
Örüntü algılama, harici içeriği sarmalama; bir sınır atlatma durumu olmadığında güvenlik açığı raporlarının kapsamı dışında kabul edilir (bkz. SECURITY.md)
Kalan risk
Kritik - yalnızca algılama vardır, engelleme yoktur; gelişmiş saldırılar algılamayı atlatır
Öneriler
Mevcut algılamaya ek olarak hassas eylemler için çıktı doğrulaması ve kullanıcı onayı uygulayın
T-EXEC-002: Dolaylı istem enjeksiyonu
Nitelik
Değer
ATLAS Kimliği
AML.T0051.001 - LLM İstem Enjeksiyonu: Dolaylı
Açıklama
Saldırgan, getirilen içeriğe kötü amaçlı talimatlar yerleştirir
Saldırı vektörü
Kötü amaçlı URL'ler, zehirlenmiş e-postalar, ele geçirilmiş Webhook'lar
Etkilenen bileşenler
web_fetch, e-posta alımı, harici veri kaynakları
Mevcut önlemler
Rastgele sınırlı XML tarzı işaretçilerle içerik sarmalama, benzer glif/özel belirteç normalizasyonu ve bir güvenlik bildirimi
Kalan risk
Yüksek - LLM, sarmalayıcı talimatlarını yine de yok sayabilir
Öneriler
Sarmalanmış içerik için ayrı yürütme bağlamları kullanın
T-EXEC-003: Araç argümanı enjeksiyonu
Nitelik
Değer
ATLAS Kimliği
AML.T0051.000 - LLM İstem Enjeksiyonu: Doğrudan
Açıklama
Saldırgan, istem enjeksiyonu yoluyla araç argümanlarını değiştirir
Saldırı vektörü
Araç parametresi değerlerini etkileyen özel hazırlanmış istemler
Etkilenen bileşenler
Tüm araç çağrıları
Mevcut önlemler
Tehlikeli komutlar için yürütme onayları
Kalan risk
Yüksek - kullanıcı muhakemesine dayanır
Öneriler
Argüman doğrulaması, parametreleştirilmiş araç çağrıları
T-EXEC-004: Yürütme onayını atlatma
Nitelik
Değer
ATLAS Kimliği
AML.T0043 - Düşmanca Veri Hazırlama
Açıklama
Saldırgan, onay izin listesini atlatan komutlar hazırlar
Saldırı vektörü
Komut gizleme, takma ad istismarı, yol manipülasyonu
Etkilenen bileşenler
src/infra/exec-approvals*.ts, komut izin listesi
Mevcut önlemler
İzin listesi + sorma modu ve komut normalizasyonu (dağıtım sarmalayıcısını açma, satır içi değerlendirme algılama, kabuk zinciri analizi)
Kalan risk
Yüksek - normalizasyon, gizleme yoluyla atlatmayı daraltır ancak ortadan kaldırmaz; yürütme yolları arasındaki yalnızca eşlik bulguları güvenlik açığı değil, sağlamlaştırma olarak değerlendirilir (bkz. SECURITY.md)
Öneriler
Yeni gizleme tekniklerine karşı komut normalizasyonu kapsamını genişletmeye devam edin
3.4 Kalıcılık (AML.TA0006)
T-PERSIST-001: Kötü amaçlı Skills kurulumu
Nitelik
Değer
ATLAS Kimliği
AML.T0010.001 - Tedarik Zincirinin Ele Geçirilmesi: Yapay Zekâ Yazılımı
Açıklama
Saldırgan, ClawHub'da kötü amaçlı bir Skills yayımlar
Saldırı vektörü
Hesap oluşturma, gizli kötü amaçlı kod içeren Skills yayımlama
Etkilenen bileşenler
ClawHub, Skills yükleme, ajan yürütmesi
Mevcut önlemler
GitHub hesap yaşı doğrulaması, statik örüntü/AST'ye yakın tarama, LLM tabanlı ajansal risk incelemesi, VirusTotal taraması
Kalan risk
Yüksek - algılama katmanları mevcuttur ancak Skills yine de ajan ayrıcalıklarıyla ve yürütme korumalı alanı olmadan çalışır
Öneriler
Skills yürütmesini korumalı alana alın, topluluk incelemesini genişletin
Gönderici başına oturum yalıtımı (agent:channel:peer anahtarı)
Kalan risk
Orta - oturum içindeki verilere tasarım gereği erişilebilir
Öneriler
Bağlamdaki hassas verilerin maskelenmesi
3.7 Toplama ve dışarı veri sızdırma (AML.TA0009, AML.TA0010)
T-EXFIL-001: web_fetch aracılığıyla veri hırsızlığı
Öznitelik
Değer
ATLAS kimliği
AML.T0009 - Toplama
Açıklama
Saldırgan, ajana verileri harici bir URL'ye göndermesini söyleyerek verileri dışarı sızdırır
Saldırı vektörü
Ajanın saldırgana ait bir sunucuya POST isteğiyle veri göndermesine neden olan istem enjeksiyonu
Etkilenen bileşenler
web_fetch aracı
Mevcut önlemler
Dahili/özel ağlar için SSRF engelleme (DNS sabitleme + IP engelleme)
Kalan risk
Yüksek - rastgele harici URL'lere hâlâ izin veriliyor
Öneriler
URL izin listesi, veri sınıflandırma farkındalığı
T-EXFIL-002: Yetkisiz mesaj gönderme
Öznitelik
Değer
ATLAS kimliği
AML.T0009 - Toplama
Açıklama
Saldırgan, ajanın hassas veriler içeren mesajlar göndermesine neden olur
Saldırı vektörü
Ajanın saldırgana mesaj göndermesine neden olan istem enjeksiyonu
Etkilenen bileşenler
Mesaj aracı, kanal entegrasyonları
Mevcut önlemler
Giden mesaj gönderimi denetimi
Kalan risk
Orta - denetim atlatılabilir
Öneriler
Yeni alıcılar için açık onay
T-EXFIL-003: Kimlik bilgisi toplama
Öznitelik
Değer
ATLAS kimliği
AML.T0009 - Toplama
Açıklama
Kötü amaçlı skill, ajan bağlamından kimlik bilgilerini toplar
Saldırı vektörü
Skill kodu ortam değişkenlerini ve yapılandırma dosyalarını okur
Etkilenen bileşenler
Skill yürütme ortamı
Mevcut önlemler
ClawHub kimlik bilgisi kalıbı taraması (sabit kodlanmış gizli bilgiler, ağ gönderimleriyle eşleşen kimlik bilgisi ortam değişkeni erişimi); çalışma zamanında skill'ler için yürütme korumalı alanı yoktur
Kalan risk
Kritik - skill'ler ajan ayrıcalıklarıyla çalışır
Öneriler
Skill yürütme için korumalı alan, kimlik bilgilerinin yalıtılması
3.8 Etki (AML.TA0011)
T-IMPACT-001: Yetkisiz komut yürütme
Öznitelik
Değer
ATLAS kimliği
AML.T0031 - Yapay Zekâ Modeli Bütünlüğünü Aşındırma
Yürütme onayını atlatmayla birleştirilmiş istem enjeksiyonu
Etkilenen bileşenler
Bash aracı, komut yürütme
Mevcut önlemler
Yürütme onayları, Docker korumalı alan seçeneği (varsayılan çalışma zamanı arka ucu)
Kalan risk
Kritik - korumalı alan devre dışı bırakıldığında ana sistemde yürütme mümkündür
Öneriler
Onay kullanıcı deneyimini iyileştirin; korumalı alanın kapalı olduğu dağıtımlar bilinçli bir operatör tercihi olmaya devam eder ve bu şekilde belgelenir
T-IMPACT-002: Kaynak tüketimi (DoS)
Öznitelik
Değer
ATLAS kimliği
AML.T0031 - Yapay Zekâ Modeli Bütünlüğünü Aşındırma
Açıklama
Saldırgan, API kredilerini veya hesaplama kaynaklarını tüketir
Saldırı vektörü
Otomatik mesaj bombardımanı, pahalı araç çağrıları
Etkilenen bileşenler
Gateway, ajan oturumları, API sağlayıcısı
Mevcut önlemler
Yok
Kalan risk
Yüksek - gönderici başına hız sınırlaması yok
Öneriler
Gönderici başına hız sınırları, maliyet bütçeleri
T-IMPACT-003: İtibar kaybı
Öznitelik
Değer
ATLAS kimliği
AML.T0031 - Yapay Zekâ Modeli Bütünlüğünü Aşındırma
Açıklama
Saldırgan, ajanın zararlı veya saldırgan içerik göndermesine neden olur
Saldırı vektörü
Uygunsuz yanıtlara neden olan istem enjeksiyonu
Etkilenen bileşenler
Çıktı oluşturma, kanal mesajlaşması
Mevcut önlemler
LLM sağlayıcısının içerik politikaları
Kalan risk
Orta - sağlayıcı filtreleri kusursuz değildir
Öneriler
Çıktı filtreleme katmanı, kullanıcı denetimleri
4. ClawHub tedarik zinciri analizi
4.1 Mevcut güvenlik denetimleri
Denetim
Uygulama
Etkililik
GitHub hesabının yaşı
requireGitHubAccountAge() (en az 14 gün)
Orta - yeni saldırganlar için çıtayı yükseltir
Yol temizleme
sanitizePath()
Yüksek - yol geçişini önler
Dosya türü doğrulaması
isTextFile()
Orta - yalnızca metin dosyaları taranır, ancak yine de istismar edilebilir
Boyut sınırları
Toplam 50 MB paket (MAX_PUBLISH_TOTAL_BYTES)
Yüksek - kaynakların tüketilmesini önler
Zorunlu SKILL.md
Yayımlama sırasında zorunlu benioku
Düşük güvenlik değeri - yalnızca bilgilendirme amaçlı
Statik + AST'ye yakın tarama
Çalıştırma, dışarı veri sızdırma, kimlik bilgisi toplama, gizleme ve daha fazlasını kapsayan örüntü motoru
Orta-Yüksek - bilinen birçok kötüye kullanım örüntüsünü kapsar, ancak hâlâ örüntü tabanlıdır
LLM tabanlı ajansal risk incelemesi
Yayımlama sırasında güvenlik istemiyle yönlendirilen karar
Skills ve paket sürümü yayımlama/yeniden tarama akışlarına bağlıdır; operatör API anahtarına tabidir
Etkinleştirildiğinde yüksek - statik motor algılaması
Moderasyon durumu
moderationStatus alanı
Orta - manuel inceleme mümkündür
4.2 Moderasyon sınırlamaları
ClawHub'ın statik taraması, yalnızca kısa ad/meta veri/frontmatter yerine Skills kodunun içeriğini doğrudan inceler; tehlikeli çalıştırma çağrılarını, dinamik kod yürütmeyi, kimlik bilgisi toplamayı, dışarı veri sızdırma örüntülerini, gizlenmiş yükleri ve daha fazlasını kapsar. Bilinen eksiklikler:
Örüntü tabanlı algılama, yeterince yeni gizleme teknikleriyle yine de aşılabilir.
LLM tabanlı inceleme ve VirusTotal taraması, operatör tarafındaki API anahtarlarının/yapılandırmanın etkinleştirilmesine bağlıdır.
Kurulduktan sonra hiçbir çalışma zamanı yürütme korumalı alanı, bir Skills'i ajanın kendi ayrıcalıklarından yalıtmaz.
4.3 Rozetler
Skills ve paketler, moderatörler tarafından atanan şu rozetleri taşır: highlighted, official, deprecated, redactionApproved (yalnızca Skills). Topluluk bildirimleri (skillReports) ve denetim günlükleri (auditLogs), moderasyon iş akışlarını destekler.