Security

Модель загроз (MITRE ATLAS)

Версія: 1.0-чернетка | Фреймворк: MITRE ATLAS (ландшафт змагальних загроз для систем ШІ) + діаграми потоків даних

Ця модель загроз документує змагальні загрози для платформи ШІ-агентів OpenClaw і маркетплейсу навичок ClawHub. Це актуалізований документ, який підтримує спільнота OpenClaw. Відомості про те, як повідомляти про нові загрози, пропонувати ланцюжки атак або заходи протидії, див. у розділі Участь у розробці моделі загроз.

Ключові ресурси ATLAS: Методи | Тактики | Практичні приклади | ATLAS на GitHub | Участь у розробці ATLAS


1. Область охоплення

Компонент Включено Примітки
Середовище виконання агента OpenClaw Так Основне виконання агента, виклики інструментів, сеанси
Gateway Так Автентифікація, маршрутизація, інтеграція з каналами
Інтеграції з каналами Так WhatsApp, Telegram, Discord, Signal, Slack тощо
Маркетплейс ClawHub Так Публікація, модерація та розповсюдження навичок
Сервери MCP Так Зовнішні постачальники інструментів
Пристрої користувачів Частково Мобільні застосунки, настільні клієнти

Звіти, що не входять до області охоплення, і шаблони хибнопозитивних спрацювань (доступність із загальнодоступного інтернету, ланцюжки лише з ін’єкцією промпту без обходу межі, спільне використання одного хоста Gateway операторами без взаємної довіри тощо) перелічено в SECURITY.md; саме цей файл, а не ця сторінка, є актуальним джерелом істини щодо області охоплення звітів про вразливості.

2. Архітектура системи

2.1 Межі довіри

text
┌─────────────────────────────────────────────────────────────────┐│                    UNTRUSTED ZONE                                ││  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              ││  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         ││  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              ││         │                │                │                      │└─────────┼────────────────┼────────────────┼──────────────────────┘          │                │                │          ▼                ▼                ▼┌─────────────────────────────────────────────────────────────────┐│                 TRUST BOUNDARY 1: Channel Access                 ││  ┌──────────────────────────────────────────────────────────┐   ││  │                      GATEWAY                              │   ││  │  • Device pairing (1h DM pairing / 5m node pairing TTL)   │   ││  │  • AllowFrom / allowlist validation                       │   ││  │  • Token / password / Tailscale auth                      │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 TRUST BOUNDARY 2: Session Isolation              ││  ┌──────────────────────────────────────────────────────────┐   ││  │                   AGENT SESSIONS                          │   ││  │  • Session key = agent:channel:peer                       │   ││  │  • Tool policies per agent                                │   ││  │  • Transcript logging                                     │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 TRUST BOUNDARY 3: Tool Execution                 ││  ┌──────────────────────────────────────────────────────────┐   ││  │                  EXECUTION SANDBOX                        │   ││  │  • Docker sandbox (default) or host (exec approvals)      │   ││  │  • Node remote execution                                  │   ││  │  • SSRF protection (DNS pinning + IP blocking)            │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 TRUST BOUNDARY 4: External Content               ││  ┌──────────────────────────────────────────────────────────┐   ││  │              FETCHED URLs / EMAILS / WEBHOOKS             │   ││  │  • External content wrapping (random-boundary XML tags)   │   ││  │  • Security notice injection                              │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘┌─────────────────────────────────────────────────────────────────┐│                 TRUST BOUNDARY 5: Supply Chain                   ││  ┌──────────────────────────────────────────────────────────┐   ││  │                      CLAWHUB                              │   ││  │  • Skill publishing (semver, SKILL.md required)           │   ││  │  • Static pattern + AST-adjacent moderation scanning      │   ││  │  • LLM-based agentic risk review + VirusTotal scanning    │   ││  │  • GitHub account age verification (14 days)              │   ││  └──────────────────────────────────────────────────────────┘   │└─────────────────────────────────────────────────────────────────┘

2.2 Потоки даних

Потік Джерело Призначення Дані Захист
F1 Канал Gateway Повідомлення користувачів TLS, AllowFrom
F2 Gateway Агент Маршрутизовані повідомлення Ізоляція сеансів
F3 Агент Інструменти Виклики інструментів Застосування політик
F4 Агент Зовнішні ресурси Запити web_fetch Блокування SSRF
F5 ClawHub Агент Код навички Модерація, сканування
F6 Агент Канал Відповіді Фільтрація вихідних даних

3. Аналіз загроз за тактиками ATLAS

3.1 Розвідка (AML.TA0002)

T-RECON-001: Виявлення кінцевих точок агента

Атрибут Значення
Ідентифікатор ATLAS AML.T0006 — активне сканування
Опис Зловмисник сканує доступні кінцеві точки Gateway OpenClaw
Вектор атаки Сканування мережі, запити Shodan, перебирання DNS
Уражені компоненти Gateway, доступні кінцеві точки API
Поточні заходи протидії Варіант автентифікації через Tailscale, типове прив’язування до loopback
Залишковий ризик Середній — загальнодоступні Gateway можна виявити
Рекомендації Документувати безпечне розгортання, додати обмеження частоти запитів до кінцевих точок виявлення

T-RECON-002: Зондування інтеграцій із каналами

Атрибут Значення
Ідентифікатор ATLAS AML.T0006 — активне сканування
Опис Зловмисник зондує канали обміну повідомленнями, щоб виявити облікові записи, керовані ШІ
Вектор атаки Надсилання тестових повідомлень, спостереження за шаблонами відповідей
Уражені компоненти Усі інтеграції з каналами
Поточні заходи протидії Спеціальні заходи відсутні
Залишковий ризик Низький — саме лише виявлення має обмежену цінність
Рекомендації Розглянути рандомізацію часу відповіді

3.2 Початковий доступ (AML.TA0004)

T-ACCESS-001: Перехоплення коду сполучення

Атрибут Значення
ATLAS ID AML.T0040 — доступ до API інференсу моделі ШІ
Опис Зловмисник перехоплює код сполучення протягом вікна сполучення (1 год для сполучення через DM/загального, 5 хв для Node)
Вектор атаки Підглядання через плече, перехоплення мережевого трафіку, соціальна інженерія
Уражені компоненти Система сполучення пристроїв
Поточні заходи TTL 1 год (сполучення через DM/загальне), TTL 5 хв (сполучення Node); коди надсилаються через наявний канал
Залишковий ризик Середній — вікно сполучення можна використати
Рекомендації Скоротити вікно сполучення, додати етап підтвердження

T-ACCESS-002: Підміна AllowFrom

Атрибут Значення
ATLAS ID AML.T0040 — доступ до API інференсу моделі ШІ
Опис Зловмисник підміняє ідентичність дозволеного відправника в каналі
Вектор атаки Залежить від каналу — підміна номера телефону, видавання себе за користувача
Уражені компоненти Перевірка AllowFrom для кожного каналу
Поточні заходи Перевірка ідентичності з урахуванням особливостей каналу
Залишковий ризик Середній — деякі канали залишаються вразливими до підміни
Рекомендації Задокументувати ризики для кожного каналу, за можливості додати криптографічну перевірку

T-ACCESS-003: Викрадення токенів

Атрибут Значення
ATLAS ID AML.T0040 — доступ до API інференсу моделі ШІ
Опис Зловмисник викрадає токени автентифікації з файлів конфігурації або облікових даних
Вектор атаки Шкідливе ПЗ, несанкціонований доступ до пристрою, розкриття резервної копії конфігурації
Уражені компоненти Сховище облікових даних каналів і провайдерів, сховище конфігурації
Поточні заходи Дозволи файлової системи
Залишковий ризик Високий — токени зберігаються на диску у відкритому вигляді
Рекомендації Реалізувати шифрування токенів у стані спокою, додати ротацію токенів

3.3 Виконання (AML.TA0005)

T-EXEC-001: Пряма ін’єкція промпту

Атрибут Значення
ATLAS ID AML.T0051.000 — ін’єкція промпту LLM: пряма
Опис Зловмисник надсилає спеціально сформовані промпти, щоб маніпулювати поведінкою агента
Вектор атаки Повідомлення в каналах, що містять ворожі інструкції
Уражені компоненти LLM агента, усі поверхні введення
Поточні заходи Виявлення шаблонів, обгортання зовнішнього вмісту; за відсутності обходу меж безпеки вважається поза межами звітів про вразливості (див. SECURITY.md)
Залишковий ризик Критичний — виконується лише виявлення без блокування; складні атаки обходять захист
Рекомендації Додати перевірку виведення та підтвердження користувачем чутливих дій поверх наявного механізму виявлення

T-EXEC-002: Непряма ін’єкція промпту

Атрибут Значення
ATLAS ID AML.T0051.001 — ін’єкція промпту LLM: непряма
Опис Зловмисник вбудовує шкідливі інструкції в отриманий вміст
Вектор атаки Шкідливі URL-адреси, отруєні електронні листи, скомпрометовані Webhook
Уражені компоненти web_fetch, приймання електронної пошти, зовнішні джерела даних
Поточні заходи Обгортання вмісту XML-подібними маркерами з випадковими межами, нормалізація гомогліфів і спеціальних токенів та повідомлення про безпеку
Залишковий ризик Високий — LLM усе ще може проігнорувати інструкції обгортки
Рекомендації Окремі контексти виконання для обгорнутого вмісту

T-EXEC-003: Ін’єкція аргументів інструменту

Атрибут Значення
ATLAS ID AML.T0051.000 — ін’єкція промпту LLM: пряма
Опис Зловмисник маніпулює аргументами інструменту через ін’єкцію промпту
Вектор атаки Спеціально сформовані промпти, що впливають на значення параметрів інструменту
Уражені компоненти Усі виклики інструментів
Поточні заходи Підтвердження виконання небезпечних команд
Залишковий ризик Високий — залежить від судження користувача
Рекомендації Перевірка аргументів, параметризовані виклики інструментів

T-EXEC-004: Обхід підтвердження виконання

Атрибут Значення
ATLAS ID AML.T0043 — створення ворожих даних
Опис Зловмисник формує команди, що обходять список дозволених команд для підтвердження
Вектор атаки Обфускація команд, використання псевдонімів, маніпуляції зі шляхами
Уражені компоненти src/infra/exec-approvals*.ts, список дозволених команд
Поточні заходи Список дозволених команд і режим запиту, а також нормалізація команд (розгортання обгорток диспетчеризації, виявлення вбудованого обчислення, аналіз ланцюжків команд оболонки)
Залишковий ризик Високий — нормалізація звужує, але не усуває можливість обходу через обфускацію; знахідки лише щодо паритету між шляхами виконання вважаються посиленням захисту, а не вразливостями (див. SECURITY.md)
Рекомендації Продовжувати розширювати покриття нормалізації команд для протидії новим методам обфускації

3.4 Закріплення (AML.TA0006)

T-PERSIST-001: Встановлення шкідливої навички

Атрибут Значення
ATLAS ID AML.T0010.001 — компрометація ланцюга постачання: програмне забезпечення ШІ
Опис Зловмисник публікує шкідливу навичку в ClawHub
Вектор атаки Створення облікового запису та публікація навички з прихованим шкідливим кодом
Уражені компоненти ClawHub, завантаження навичок, виконання агентом
Поточні заходи Перевірка віку облікового запису GitHub, статичне сканування шаблонів і структур, суміжних з AST, агентний аналіз ризиків на основі LLM, сканування VirusTotal
Залишковий ризик Високий — рівні виявлення наявні, але навички все одно виконуються з привілеями агента й без ізоляції виконання
Рекомендації Ізоляція виконання навичок, розширена перевірка спільнотою

T-PERSIST-002: Отруєння оновлення навички

Атрибут Значення
ATLAS ID AML.T0010.001 — компрометація ланцюга постачання: програмне забезпечення ШІ
Опис Зловмисник компрометує популярну навичку та надсилає шкідливе оновлення
Вектор атаки Компрометація облікового запису, соціальна інженерія щодо власника навички
Уражені компоненти Версіонування ClawHub, процеси автоматичного оновлення
Поточні заходи Відбитки версій, повторна модерація та сканування нових версій
Залишковий ризик Високий — автоматичні оновлення можуть отримати шкідливі версії до завершення перевірки
Рекомендації Підписування оновлень, можливість відкочування, закріплення версій

T-PERSIST-003: Несанкціонована зміна конфігурації агента

Атрибут Значення
Ідентифікатор ATLAS AML.T0010.002 - Компрометація ланцюга постачання: дані
Опис Зловмисник змінює конфігурацію агента, щоб зберегти доступ
Вектор атаки Зміна файлу конфігурації, впровадження налаштувань
Уражені компоненти Конфігурація агента, політики інструментів
Поточні заходи захисту Дозволи файлів
Залишковий ризик Середній — потрібен локальний доступ
Рекомендації Перевірка цілісності конфігурації, журналювання аудиту змін конфігурації

3.5 Ухилення від засобів захисту (AML.TA0007)

T-EVADE-001: Обхід шаблонів модерації

Атрибут Значення
Ідентифікатор ATLAS AML.T0043 - Створення змагальних даних
Опис Зловмисник створює вміст Skills для обходу перевірок модерації ClawHub
Вектор атаки Юнікодні омогліфи, маніпуляції з кодуванням, динамічне завантаження
Уражені компоненти Конвеєр модерації та сканування ClawHub
Поточні заходи захисту Статичні правила шаблонів, сканування коду на основі AST, перевірка агентного ризику за допомогою LLM, VirusTotal
Залишковий ризик Середній — нові методи обфускації все ще можуть обходити багаторівневі евристики
Рекомендації Продовжувати розширювати корпус шаблонів і поведінкових ознак у міру виявлення нових методів ухилення

T-EVADE-002: Вихід за межі обгортки вмісту

Атрибут Значення
Ідентифікатор ATLAS AML.T0043 - Створення змагальних даних
Опис Зловмисник створює вміст, який виходить за межі контексту обгортки зовнішнього вмісту
Вектор атаки Маніпулювання тегами, сплутування контексту, перевизначення інструкцій
Уражені компоненти Обгортання зовнішнього вмісту
Поточні заходи захисту XML-подібні маркери з випадковими межами та сповіщення про безпеку, а також виявлення підроблення маркерів за допомогою омогліфів і варіантів пробілів
Залишковий ризик Середній — нові способи виходу виявляють регулярно
Рекомендації Перевірка вихідних даних на додачу до обгортання вхідних даних

3.6 Розвідка (AML.TA0008)

T-DISC-001: Перелічення інструментів

Атрибут Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник визначає доступні інструменти за допомогою запитів
Вектор атаки Запити на кшталт «Які інструменти в тебе є?»
Уражені компоненти Реєстр інструментів агента
Поточні заходи захисту Спеціальні заходи відсутні
Залишковий ризик Низький — інструменти зазвичай задокументовані
Рекомендації Розглянути засоби керування видимістю інструментів

T-DISC-002: Видобування даних сеансу

Атрибут Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник видобуває конфіденційні дані з контексту сеансу
Вектор атаки Запити на кшталт «Що ми обговорювали?», зондування контексту
Уражені компоненти Стенограми сеансів, контекстне вікно
Поточні заходи захисту Ізоляція сеансів для кожного відправника (ключ agent:channel:peer)
Залишковий ризик Середній — дані в межах сеансу доступні за задумом
Рекомендації Редагування конфіденційних даних у контексті

3.7 Збирання та ексфільтрація (AML.TA0009, AML.TA0010)

T-EXFIL-001: Викрадення даних через web_fetch

Атрибут Значення
Ідентифікатор ATLAS AML.T0009 - Збирання
Опис Зловмисник ексфільтрує дані, наказуючи агенту надіслати їх на зовнішню URL-адресу
Вектор атаки Ін’єкція запиту, яка змушує агента надіслати дані методом POST на сервер зловмисника
Уражені компоненти Інструмент web_fetch
Поточні заходи захисту Блокування SSRF для внутрішніх і приватних мереж (закріплення DNS та блокування IP-адрес)
Залишковий ризик Високий — довільні зовнішні URL-адреси залишаються дозволеними
Рекомендації Список дозволених URL-адрес, урахування класифікації даних

T-EXFIL-002: Несанкціоноване надсилання повідомлень

Атрибут Значення
Ідентифікатор ATLAS AML.T0009 - Збирання
Опис Зловмисник змушує агента надсилати повідомлення, що містять конфіденційні дані
Вектор атаки Ін’єкція запиту, яка змушує агента надіслати повідомлення зловмиснику
Уражені компоненти Інструмент повідомлень, інтеграції каналів
Поточні заходи захисту Контроль вихідних повідомлень
Залишковий ризик Середній — контроль можна обійти
Рекомендації Явне підтвердження для нових одержувачів

T-EXFIL-003: Збирання облікових даних

Атрибут Значення
Ідентифікатор ATLAS AML.T0009 - Збирання
Опис Шкідливий Skills збирає облікові дані з контексту агента
Вектор атаки Код Skills зчитує змінні середовища та файли конфігурації
Уражені компоненти Середовище виконання Skills
Поточні заходи захисту Сканування ClawHub за шаблонами облікових даних (жорстко закодовані секрети, доступ до змінних середовища з обліковими даними в поєднанні з мережевим надсиланням); ізоляція виконання Skills під час роботи відсутня
Залишковий ризик Критичний — Skills виконуються з привілеями агента
Рекомендації Ізоляція виконання Skills, ізоляція облікових даних

3.8 Вплив (AML.TA0011)

T-IMPACT-001: Несанкціоноване виконання команд

Атрибут Значення
Ідентифікатор ATLAS AML.T0031 - Підрив цілісності моделі ШІ
Опис Зловмисник виконує довільні команди в системі користувача
Вектор атаки Ін’єкція запиту в поєднанні з обходом схвалення виконання
Уражені компоненти Інструмент Bash, виконання команд
Поточні заходи захисту Схвалення виконання, можливість ізоляції Docker (типовий серверний компонент середовища виконання)
Залишковий ризик Критичний — виконання в хост-системі можливе, коли ізоляцію вимкнено
Рекомендації Поліпшити взаємодію користувача з процесом схвалення; розгортання без ізоляції залишаються свідомим вибором оператора, що відповідно задокументовано

T-IMPACT-002: Вичерпання ресурсів (DoS)

Атрибут Значення
Ідентифікатор ATLAS AML.T0031 - Підрив цілісності моделі ШІ
Опис Зловмисник вичерпує кредити API або обчислювальні ресурси
Вектор атаки Автоматизований потік повідомлень, дорогі виклики інструментів
Уражені компоненти Gateway, сеанси агента, постачальник API
Поточні заходи захисту Відсутні
Залишковий ризик Високий — немає обмеження частоти для окремих відправників
Рекомендації Обмеження частоти для окремих відправників, бюджети витрат

T-IMPACT-003: Репутаційна шкода

Атрибут Значення
Ідентифікатор ATLAS AML.T0031 - Підрив цілісності моделі ШІ
Опис Зловмисник змушує агента надсилати шкідливий або образливий вміст
Вектор атаки Ін’єкція запиту, яка спричиняє неприйнятні відповіді
Уражені компоненти Генерування вихідних даних, обмін повідомленнями через канали
Поточні заходи захисту Політики постачальника LLM щодо вмісту
Залишковий ризик Середній — фільтри постачальника недосконалі
Рекомендації Рівень фільтрації вихідних даних, засоби керування для користувачів

4. Аналіз ланцюга постачання ClawHub

4.1 Поточні засоби контролю безпеки

Механізм контролю Реалізація Ефективність
Вік облікового запису GitHub requireGitHubAccountAge() (мінімум 14 днів) Середня — підвищує поріг входу для нових зловмисників
Очищення шляхів sanitizePath() Висока — запобігає обходу каталогів
Перевірка типу файлів isTextFile() Середня — скануються лише текстові файли, але вразливість усе ще можлива
Обмеження розміру Загальний розмір пакета 50 МБ (MAX_PUBLISH_TOTAL_BYTES) Висока — запобігає виснаженню ресурсів
Обов’язковий SKILL.md Обов’язковий файл readme під час публікації Низька цінність для безпеки — лише інформаційна
Статичне й наближене до AST сканування Рушій шаблонів, що охоплює виконання команд, ексфільтрацію, викрадення облікових даних, обфускацію тощо Середньо-висока — охоплює багато відомих шаблонів зловживань, але все ще ґрунтується на шаблонах
Агентна перевірка ризиків на основі LLM Вердикт під час публікації на основі підказки безпеки Середньо-висока — виявляє поведінку, яку пропускають статичні шаблони
Сканування VirusTotal Підключене до процесів публікації та повторного сканування Skills і випусків пакетів; потребує API-ключа оператора Висока, коли ввімкнено — виявлення статичним рушієм
Статус модерації Поле moderationStatus Середня — можливе ручне рецензування

4.2 Обмеження модерації

Статичне сканування ClawHub безпосередньо перевіряє вміст коду Skills (а не лише коротку назву, метадані чи frontmatter), охоплюючи небезпечні виклики виконання команд, динамічне виконання коду, викрадення облікових даних, шаблони ексфільтрації, обфусковані корисні навантаження тощо. Відомі прогалини:

  • Виявлення на основі шаблонів усе ще можна обійти за допомогою достатньо нової обфускації.
  • Перевірка на основі LLM і сканування VirusTotal залежать від увімкнення API-ключів і конфігурації на боці оператора.
  • Жодна пісочниця виконання не ізолює Skills від власних привілеїв агента після встановлення.

4.3 Значки

Skills і пакети мають призначені модераторами значки: highlighted, official, deprecated, redactionApproved (лише для Skills). Повідомлення спільноти (skillReports) і журналювання аудиту (auditLogs) підтримують процеси модерації.


5. Матриця ризиків

5.1 Імовірність і вплив

Ідентифікатор загрози Імовірність Вплив Рівень ризику Пріоритет
T-EXEC-001 Висока Критичний Критичний P0
T-PERSIST-001 Висока Критичний Критичний P0
T-EXFIL-003 Середня Критичний Критичний P0
T-IMPACT-001 Середня Критичний Високий P1
T-EXEC-002 Висока Високий Високий P1
T-EXEC-004 Середня Високий Високий P1
T-ACCESS-003 Середня Високий Високий P1
T-EXFIL-001 Середня Високий Високий P1
T-IMPACT-002 Висока Середній Високий P1
T-EVADE-001 Висока Середній Середній P2
T-ACCESS-001 Низька Високий Середній P2
T-ACCESS-002 Низька Високий Середній P2
T-PERSIST-002 Низька Високий Середній P2

5.2 Ланцюжки атак критичного шляху

Ланцюжок 1: Викрадення даних через Skills

text
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003(Публікація шкідливого Skills) → (Обхід модерації) → (Викрадення облікових даних)

Ланцюжок 2: Від ін’єкції підказок до віддаленого виконання коду

text
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001(Ін’єкція підказки) → (Обхід схвалення виконання команд) → (Виконання команд)

Ланцюжок 3: Непряма ін’єкція через отриманий вміст

text
T-EXEC-002 → T-EXFIL-001 → Зовнішня ексфільтрація(Отруєння вмісту URL) → (Агент отримує вміст і виконує інструкції) → (Дані надсилаються зловмиснику)

6. Зведення рекомендацій

6.1 Негайні (P0)

ID Рекомендація Усуває
R-002 Реалізувати ізоляцію виконання Skills у пісочниці T-PERSIST-001, T-EXFIL-003
R-003 Додати перевірку результатів для чутливих дій T-EXEC-001, T-EXEC-002

6.2 Короткострокові (P1)

ID Рекомендація Усуває
R-004 Реалізувати обмеження частоти запитів для кожного відправника T-IMPACT-002
R-005 Додати шифрування токенів у стані зберігання T-ACCESS-003
R-006 Поліпшити зручність схвалення виконання команд і далі розширювати нормалізацію команд T-EXEC-004
R-007 Реалізувати список дозволених URL для web_fetch T-EXFIL-001

6.3 Середньострокові (P2)

ID Рекомендація Усуває
R-008 Додати криптографічну перевірку каналів, де це можливо T-ACCESS-002
R-009 Реалізувати перевірку цілісності конфігурації T-PERSIST-003
R-010 Додати підписування оновлень і фіксацію версій T-PERSIST-002

7. Додатки

7.1 Відповідність технікам ATLAS

ID ATLAS Назва техніки Загрози OpenClaw
AML.T0006 Активне сканування T-RECON-001, T-RECON-002
AML.T0009 Збирання T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001 Ланцюг постачання: програмне забезпечення ШІ T-PERSIST-001, T-PERSIST-002
AML.T0010.002 Ланцюг постачання: дані T-PERSIST-003
AML.T0031 Порушення цілісності моделі ШІ T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040 Доступ до API інференсу моделі ШІ T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043 Створення змагальних даних T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000 Ін’єкція підказок LLM: пряма T-EXEC-001, T-EXEC-003
AML.T0051.001 Ін’єкція підказок LLM: непряма T-EXEC-002

7.2 Ключові файли безпеки

Шлях Призначення Рівень ризику
src/infra/exec-approvals.ts Логіка схвалення команд Критичний
src/gateway/auth.ts Автентифікація Gateway Критичний
src/infra/net/ssrf.ts Захист від SSRF Критичний
src/security/external-content.ts Протидія ін’єкції підказок Критичний
src/agents/sandbox/tool-policy.ts Політика дозволу й заборони інструментів пісочниці Критичний
src/routing/resolve-route.ts Ізоляція сеансів і маршрутизація Середній

7.3 Глосарій

Термін Визначення
ATLAS Ландшафт змагальних загроз MITRE для систем ШІ
ClawHub Маркетплейс Skills для OpenClaw
Gateway Рівень маршрутизації повідомлень і автентифікації OpenClaw
MCP Протокол контексту моделі — інтерфейс постачальника інструментів
Ін’єкція підказок Атака, під час якої шкідливі інструкції вбудовуються у вхідні дані
Skills Завантажуване розширення для агентів OpenClaw
SSRF Підроблення запитів на боці сервера

Ця модель загроз є живим документом. Повідомляйте про проблеми безпеки на адресу security@openclaw.ai або перегляньте сторінку довіри.

Пов’язані матеріали

Was this useful?
On this page

On this page