Версія: 1.0-чернетка | Фреймворк:MITRE ATLAS (ландшафт змагальних загроз для систем ШІ) + діаграми потоків даних
Ця модель загроз документує змагальні загрози для платформи ШІ-агентів OpenClaw і маркетплейсу навичок ClawHub. Це актуалізований документ, який підтримує спільнота OpenClaw. Відомості про те, як повідомляти про нові загрози, пропонувати ланцюжки атак або заходи протидії, див. у розділі Участь у розробці моделі загроз.
Основне виконання агента, виклики інструментів, сеанси
Gateway
Так
Автентифікація, маршрутизація, інтеграція з каналами
Інтеграції з каналами
Так
WhatsApp, Telegram, Discord, Signal, Slack тощо
Маркетплейс ClawHub
Так
Публікація, модерація та розповсюдження навичок
Сервери MCP
Так
Зовнішні постачальники інструментів
Пристрої користувачів
Частково
Мобільні застосунки, настільні клієнти
Звіти, що не входять до області охоплення, і шаблони хибнопозитивних спрацювань (доступність із загальнодоступного інтернету, ланцюжки лише з ін’єкцією промпту без обходу межі, спільне використання одного хоста Gateway операторами без взаємної довіри тощо) перелічено в SECURITY.md; саме цей файл, а не ця сторінка, є актуальним джерелом істини щодо області охоплення звітів про вразливості.
web_fetch, приймання електронної пошти, зовнішні джерела даних
Поточні заходи
Обгортання вмісту XML-подібними маркерами з випадковими межами, нормалізація гомогліфів і спеціальних токенів та повідомлення про безпеку
Залишковий ризик
Високий — LLM усе ще може проігнорувати інструкції обгортки
Рекомендації
Окремі контексти виконання для обгорнутого вмісту
T-EXEC-003: Ін’єкція аргументів інструменту
Атрибут
Значення
ATLAS ID
AML.T0051.000 — ін’єкція промпту LLM: пряма
Опис
Зловмисник маніпулює аргументами інструменту через ін’єкцію промпту
Вектор атаки
Спеціально сформовані промпти, що впливають на значення параметрів інструменту
Уражені компоненти
Усі виклики інструментів
Поточні заходи
Підтвердження виконання небезпечних команд
Залишковий ризик
Високий — залежить від судження користувача
Рекомендації
Перевірка аргументів, параметризовані виклики інструментів
T-EXEC-004: Обхід підтвердження виконання
Атрибут
Значення
ATLAS ID
AML.T0043 — створення ворожих даних
Опис
Зловмисник формує команди, що обходять список дозволених команд для підтвердження
Вектор атаки
Обфускація команд, використання псевдонімів, маніпуляції зі шляхами
Уражені компоненти
src/infra/exec-approvals*.ts, список дозволених команд
Поточні заходи
Список дозволених команд і режим запиту, а також нормалізація команд (розгортання обгорток диспетчеризації, виявлення вбудованого обчислення, аналіз ланцюжків команд оболонки)
Залишковий ризик
Високий — нормалізація звужує, але не усуває можливість обходу через обфускацію; знахідки лише щодо паритету між шляхами виконання вважаються посиленням захисту, а не вразливостями (див. SECURITY.md)
Рекомендації
Продовжувати розширювати покриття нормалізації команд для протидії новим методам обфускації
3.4 Закріплення (AML.TA0006)
T-PERSIST-001: Встановлення шкідливої навички
Атрибут
Значення
ATLAS ID
AML.T0010.001 — компрометація ланцюга постачання: програмне забезпечення ШІ
Опис
Зловмисник публікує шкідливу навичку в ClawHub
Вектор атаки
Створення облікового запису та публікація навички з прихованим шкідливим кодом
Уражені компоненти
ClawHub, завантаження навичок, виконання агентом
Поточні заходи
Перевірка віку облікового запису GitHub, статичне сканування шаблонів і структур, суміжних з AST, агентний аналіз ризиків на основі LLM, сканування VirusTotal
Залишковий ризик
Високий — рівні виявлення наявні, але навички все одно виконуються з привілеями агента й без ізоляції виконання
Рекомендації
Ізоляція виконання навичок, розширена перевірка спільнотою
T-PERSIST-002: Отруєння оновлення навички
Атрибут
Значення
ATLAS ID
AML.T0010.001 — компрометація ланцюга постачання: програмне забезпечення ШІ
Опис
Зловмисник компрометує популярну навичку та надсилає шкідливе оновлення
Вектор атаки
Компрометація облікового запису, соціальна інженерія щодо власника навички
Уражені компоненти
Версіонування ClawHub, процеси автоматичного оновлення
Поточні заходи
Відбитки версій, повторна модерація та сканування нових версій
Залишковий ризик
Високий — автоматичні оновлення можуть отримати шкідливі версії до завершення перевірки
Рекомендації
Підписування оновлень, можливість відкочування, закріплення версій
T-PERSIST-003: Несанкціонована зміна конфігурації агента
Атрибут
Значення
Ідентифікатор ATLAS
AML.T0010.002 - Компрометація ланцюга постачання: дані
Опис
Зловмисник змінює конфігурацію агента, щоб зберегти доступ
Вектор атаки
Зміна файлу конфігурації, впровадження налаштувань
Уражені компоненти
Конфігурація агента, політики інструментів
Поточні заходи захисту
Дозволи файлів
Залишковий ризик
Середній — потрібен локальний доступ
Рекомендації
Перевірка цілісності конфігурації, журналювання аудиту змін конфігурації
3.5 Ухилення від засобів захисту (AML.TA0007)
T-EVADE-001: Обхід шаблонів модерації
Атрибут
Значення
Ідентифікатор ATLAS
AML.T0043 - Створення змагальних даних
Опис
Зловмисник створює вміст Skills для обходу перевірок модерації ClawHub
Вектор атаки
Юнікодні омогліфи, маніпуляції з кодуванням, динамічне завантаження
Уражені компоненти
Конвеєр модерації та сканування ClawHub
Поточні заходи захисту
Статичні правила шаблонів, сканування коду на основі AST, перевірка агентного ризику за допомогою LLM, VirusTotal
Залишковий ризик
Середній — нові методи обфускації все ще можуть обходити багаторівневі евристики
Рекомендації
Продовжувати розширювати корпус шаблонів і поведінкових ознак у міру виявлення нових методів ухилення
T-EVADE-002: Вихід за межі обгортки вмісту
Атрибут
Значення
Ідентифікатор ATLAS
AML.T0043 - Створення змагальних даних
Опис
Зловмисник створює вміст, який виходить за межі контексту обгортки зовнішнього вмісту
Зловмисник змушує агента надсилати повідомлення, що містять конфіденційні дані
Вектор атаки
Ін’єкція запиту, яка змушує агента надіслати повідомлення зловмиснику
Уражені компоненти
Інструмент повідомлень, інтеграції каналів
Поточні заходи захисту
Контроль вихідних повідомлень
Залишковий ризик
Середній — контроль можна обійти
Рекомендації
Явне підтвердження для нових одержувачів
T-EXFIL-003: Збирання облікових даних
Атрибут
Значення
Ідентифікатор ATLAS
AML.T0009 - Збирання
Опис
Шкідливий Skills збирає облікові дані з контексту агента
Вектор атаки
Код Skills зчитує змінні середовища та файли конфігурації
Уражені компоненти
Середовище виконання Skills
Поточні заходи захисту
Сканування ClawHub за шаблонами облікових даних (жорстко закодовані секрети, доступ до змінних середовища з обліковими даними в поєднанні з мережевим надсиланням); ізоляція виконання Skills під час роботи відсутня
Залишковий ризик
Критичний — Skills виконуються з привілеями агента
Рекомендації
Ізоляція виконання Skills, ізоляція облікових даних
3.8 Вплив (AML.TA0011)
T-IMPACT-001: Несанкціоноване виконання команд
Атрибут
Значення
Ідентифікатор ATLAS
AML.T0031 - Підрив цілісності моделі ШІ
Опис
Зловмисник виконує довільні команди в системі користувача
Вектор атаки
Ін’єкція запиту в поєднанні з обходом схвалення виконання
Уражені компоненти
Інструмент Bash, виконання команд
Поточні заходи захисту
Схвалення виконання, можливість ізоляції Docker (типовий серверний компонент середовища виконання)
Залишковий ризик
Критичний — виконання в хост-системі можливе, коли ізоляцію вимкнено
Рекомендації
Поліпшити взаємодію користувача з процесом схвалення; розгортання без ізоляції залишаються свідомим вибором оператора, що відповідно задокументовано
T-IMPACT-002: Вичерпання ресурсів (DoS)
Атрибут
Значення
Ідентифікатор ATLAS
AML.T0031 - Підрив цілісності моделі ШІ
Опис
Зловмисник вичерпує кредити API або обчислювальні ресурси
Вектор атаки
Автоматизований потік повідомлень, дорогі виклики інструментів
Уражені компоненти
Gateway, сеанси агента, постачальник API
Поточні заходи захисту
Відсутні
Залишковий ризик
Високий — немає обмеження частоти для окремих відправників
Рекомендації
Обмеження частоти для окремих відправників, бюджети витрат
T-IMPACT-003: Репутаційна шкода
Атрибут
Значення
Ідентифікатор ATLAS
AML.T0031 - Підрив цілісності моделі ШІ
Опис
Зловмисник змушує агента надсилати шкідливий або образливий вміст
Вектор атаки
Ін’єкція запиту, яка спричиняє неприйнятні відповіді
Уражені компоненти
Генерування вихідних даних, обмін повідомленнями через канали
Поточні заходи захисту
Політики постачальника LLM щодо вмісту
Залишковий ризик
Середній — фільтри постачальника недосконалі
Рекомендації
Рівень фільтрації вихідних даних, засоби керування для користувачів
4. Аналіз ланцюга постачання ClawHub
4.1 Поточні засоби контролю безпеки
Механізм контролю
Реалізація
Ефективність
Вік облікового запису GitHub
requireGitHubAccountAge() (мінімум 14 днів)
Середня — підвищує поріг входу для нових зловмисників
Очищення шляхів
sanitizePath()
Висока — запобігає обходу каталогів
Перевірка типу файлів
isTextFile()
Середня — скануються лише текстові файли, але вразливість усе ще можлива
Обмеження розміру
Загальний розмір пакета 50 МБ (MAX_PUBLISH_TOTAL_BYTES)
Висока — запобігає виснаженню ресурсів
Обов’язковий SKILL.md
Обов’язковий файл readme під час публікації
Низька цінність для безпеки — лише інформаційна
Статичне й наближене до AST сканування
Рушій шаблонів, що охоплює виконання команд, ексфільтрацію, викрадення облікових даних, обфускацію тощо
Середньо-висока — охоплює багато відомих шаблонів зловживань, але все ще ґрунтується на шаблонах
Агентна перевірка ризиків на основі LLM
Вердикт під час публікації на основі підказки безпеки
Середньо-висока — виявляє поведінку, яку пропускають статичні шаблони
Сканування VirusTotal
Підключене до процесів публікації та повторного сканування Skills і випусків пакетів; потребує API-ключа оператора
Висока, коли ввімкнено — виявлення статичним рушієм
Статус модерації
Поле moderationStatus
Середня — можливе ручне рецензування
4.2 Обмеження модерації
Статичне сканування ClawHub безпосередньо перевіряє вміст коду Skills (а не лише коротку назву, метадані чи frontmatter), охоплюючи небезпечні виклики виконання команд, динамічне виконання коду, викрадення облікових даних, шаблони ексфільтрації, обфусковані корисні навантаження тощо. Відомі прогалини:
Виявлення на основі шаблонів усе ще можна обійти за допомогою достатньо нової обфускації.
Перевірка на основі LLM і сканування VirusTotal залежать від увімкнення API-ключів і конфігурації на боці оператора.
Жодна пісочниця виконання не ізолює Skills від власних привілеїв агента після встановлення.
4.3 Значки
Skills і пакети мають призначені модераторами значки: highlighted, official, deprecated, redactionApproved (лише для Skills). Повідомлення спільноти (skillReports) і журналювання аудиту (auditLogs) підтримують процеси модерації.