# إطار عمل MITRE ATLAS
الإصدار: 1.0-draft
آخر تحديث: 2026-02-04
المنهجية: MITRE ATLAS + مخططات تدفق البيانات
إطار العمل: MITRE ATLAS (مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي)
# نسب إطار العمل
بُني نموذج التهديد هذا على MITRE ATLAS، وهو إطار العمل القياسي في الصناعة لتوثيق التهديدات العدائية لأنظمة الذكاء الاصطناعي/تعلّم الآلة. تتم صيانة ATLAS بواسطة MITRE بالتعاون مع مجتمع أمن الذكاء الاصطناعي.
موارد ATLAS الرئيسية:
# المساهمة في نموذج التهديد هذا
هذا مستند حيّ تتم صيانته بواسطة مجتمع OpenClaw. راجع CONTRIBUTING-THREAT-MODEL.md للاطلاع على إرشادات المساهمة:
- الإبلاغ عن تهديدات جديدة
- تحديث التهديدات الحالية
- اقتراح سلاسل هجوم
- اقتراح إجراءات تخفيف
# 1. المقدمة
# 1.1 الغرض
يوثّق نموذج التهديد هذا التهديدات العدائية لمنصة وكلاء الذكاء الاصطناعي OpenClaw وسوق Skills في ClawHub، باستخدام إطار عمل MITRE ATLAS المصمم خصيصًا لأنظمة الذكاء الاصطناعي/تعلّم الآلة.
# 1.2 النطاق
| المكوّن |
مشمول |
ملاحظات |
| بيئة تشغيل وكيل OpenClaw |
نعم |
تنفيذ الوكيل الأساسي، استدعاءات الأدوات، الجلسات |
| Gateway |
نعم |
المصادقة، التوجيه، تكامل القنوات |
| تكاملات القنوات |
نعم |
WhatsApp، Telegram، Discord، Signal، Slack، إلخ. |
| سوق ClawHub |
نعم |
نشر Skills، الإشراف، التوزيع |
| خوادم MCP |
نعم |
مزوّدو الأدوات الخارجيون |
| أجهزة المستخدمين |
جزئي |
تطبيقات الأجهزة المحمولة، عملاء سطح المكتب |
# 1.3 خارج النطاق
لا يوجد شيء خارج نطاق نموذج التهديد هذا صراحةً.
# 2. بنية النظام
# 2.1 حدود الثقة
┌─────────────────────────────────────────────────────────────────┐
│ UNTRUSTED ZONE │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ WhatsApp │ │ Telegram │ │ Discord │ ... │
│ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │
│ │ │ │ │
└─────────┼────────────────┼────────────────┼──────────────────────┘
│ │ │
▼ ▼ ▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 1: Channel Access │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ GATEWAY │ │
│ │ • Device Pairing (1h DM / 5m node grace period) │ │
│ │ • AllowFrom / AllowList validation │ │
│ │ • Token/Password/Tailscale auth │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 2: Session Isolation │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ AGENT SESSIONS │ │
│ │ • Session key = agent:channel:peer │ │
│ │ • Tool policies per agent │ │
│ │ • Transcript logging │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 3: Tool Execution │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ EXECUTION SANDBOX │ │
│ │ • Docker sandbox OR Host (exec-approvals) │ │
│ │ • Node remote execution │ │
│ │ • SSRF protection (DNS pinning + IP blocking) │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 4: External Content │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ FETCHED URLs / EMAILS / WEBHOOKS │ │
│ │ • External content wrapping (XML tags) │ │
│ │ • Security notice injection │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 5: Supply Chain │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ CLAWHUB │ │
│ │ • Skill publishing (semver, SKILL.md required) │ │
│ │ • Pattern-based moderation flags │ │
│ │ • VirusTotal scanning (coming soon) │ │
│ │ • GitHub account age verification │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
# 2.2 تدفقات البيانات
| التدفق |
المصدر |
الوجهة |
البيانات |
الحماية |
| F1 |
القناة |
Gateway |
رسائل المستخدم |
TLS، AllowFrom |
| F2 |
Gateway |
الوكيل |
الرسائل الموجّهة |
عزل الجلسات |
| F3 |
الوكيل |
الأدوات |
استدعاءات الأدوات |
فرض السياسة |
| F4 |
الوكيل |
خارجي |
طلبات web_fetch |
حظر SSRF |
| F5 |
ClawHub |
الوكيل |
شيفرة Skill |
الإشراف، الفحص |
| F6 |
الوكيل |
القناة |
الردود |
تصفية المخرجات |
# 3. تحليل التهديدات حسب تكتيك ATLAS
# 3.1 الاستطلاع (AML.TA0002)
# T-RECON-001: اكتشاف نقطة نهاية الوكيل
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0006 - الفحص النشط |
| الوصف |
يفحص المهاجم نقاط نهاية Gateway المكشوفة في OpenClaw |
| متجه الهجوم |
فحص الشبكة، استعلامات shodan، تعداد DNS |
| المكوّنات المتأثرة |
Gateway، نقاط نهاية API المكشوفة |
| إجراءات التخفيف الحالية |
خيار مصادقة Tailscale، الربط بـ local loopback افتراضيًا |
| الخطر المتبقي |
متوسط - يمكن اكتشاف البوابات العامة |
| التوصيات |
توثيق النشر الآمن، إضافة تحديد معدل على نقاط نهاية الاكتشاف |
# T-RECON-002: اختبار تكامل القنوات
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0006 - الفحص النشط |
| الوصف |
يجسّ المهاجم قنوات المراسلة لتحديد الحسابات المُدارة بالذكاء الاصطناعي |
| متجه الهجوم |
إرسال رسائل اختبار، ومراقبة أنماط الاستجابة |
| المكونات المتأثرة |
جميع تكاملات القنوات |
| التخفيفات الحالية |
لا توجد إجراءات محددة |
| الخطر المتبقي |
منخفض - قيمة محدودة من الاكتشاف وحده |
| التوصيات |
النظر في عشوائية توقيت الاستجابة |
# 3.2 الوصول الأولي (AML.TA0004)
# T-ACCESS-001: اعتراض رمز الاقتران
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي |
| الوصف |
يعترض المهاجم رمز الاقتران أثناء فترة سماح الاقتران (1h لاقتران قناة DM، و5m لاقتران Node) |
| متجه الهجوم |
التطفل البصري، والتنصت على الشبكة، والهندسة الاجتماعية |
| المكونات المتأثرة |
نظام اقتران الأجهزة |
| التخفيفات الحالية |
انتهاء الصلاحية بعد 1h (اقتران DM) / انتهاء الصلاحية بعد 5m (اقتران Node)، وتُرسل الرموز عبر القناة الحالية |
| الخطر المتبقي |
متوسط - فترة السماح قابلة للاستغلال |
| التوصيات |
تقليل فترة السماح، وإضافة خطوة تأكيد |
# T-ACCESS-002: انتحال AllowFrom
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي |
| الوصف |
ينتحل المهاجم هوية المرسل المسموح بها في القناة |
| متجه الهجوم |
يعتمد على القناة - انتحال رقم الهاتف، وانتحال اسم المستخدم |
| المكونات المتأثرة |
التحقق من AllowFrom لكل قناة |
| التخفيفات الحالية |
التحقق من الهوية حسب القناة |
| الخطر المتبقي |
متوسط - بعض القنوات عرضة للانتحال |
| التوصيات |
توثيق المخاطر الخاصة بكل قناة، وإضافة تحقق تشفيري حيثما أمكن |
# T-ACCESS-003: سرقة الرمز المميز
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي |
| الوصف |
يسرق المهاجم رموز المصادقة من ملفات التكوين |
| متجه الهجوم |
برمجيات خبيثة، وصول غير مصرح به إلى الجهاز، انكشاف نسخ التكوين الاحتياطية |
| المكونات المتأثرة |
~/.openclaw/credentials/، تخزين التكوين |
| التخفيفات الحالية |
أذونات الملفات |
| الخطر المتبقي |
مرتفع - الرموز المميزة مخزنة بنص صريح |
| التوصيات |
تنفيذ تشفير الرموز المميزة أثناء السكون، وإضافة تدوير للرموز |
# 3.3 التنفيذ (AML.TA0005)
# T-EXEC-001: حقن موجه مباشر
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0051.000 - حقن موجه LLM: مباشر |
| الوصف |
يرسل المهاجم موجهات مصممة للتلاعب بسلوك الوكيل |
| متجه الهجوم |
رسائل القنوات التي تحتوي على تعليمات عدائية |
| المكونات المتأثرة |
LLM الخاص بالوكيل، وجميع أسطح الإدخال |
| التخفيفات الحالية |
اكتشاف الأنماط، وتغليف المحتوى الخارجي |
| الخطر المتبقي |
حرج - اكتشاف فقط، بلا حظر؛ الهجمات المتقدمة تتجاوزه |
| التوصيات |
تنفيذ دفاع متعدد الطبقات، والتحقق من المخرجات، وتأكيد المستخدم للإجراءات الحساسة |
# T-EXEC-002: حقن موجه غير مباشر
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0051.001 - حقن موجه LLM: غير مباشر |
| الوصف |
يضمّن المهاجم تعليمات خبيثة في المحتوى المُجلَب |
| متجه الهجوم |
عناوين URL خبيثة، ورسائل بريد إلكتروني مسمومة، وWebhooks مخترقة |
| المكونات المتأثرة |
web_fetch، واستيعاب البريد الإلكتروني، ومصادر البيانات الخارجية |
| التخفيفات الحالية |
تغليف المحتوى بوسوم XML وإشعار أمني |
| الخطر المتبقي |
مرتفع - قد يتجاهل LLM تعليمات التغليف |
| التوصيات |
تنفيذ تنقية المحتوى، وفصل سياقات التنفيذ |
# T-EXEC-003: حقن وسيطات الأداة
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0051.000 - حقن موجه LLM: مباشر |
| الوصف |
يتلاعب المهاجم بوسيطات الأداة من خلال حقن الموجه |
| متجه الهجوم |
موجهات مصممة تؤثر في قيم معلمات الأداة |
| المكونات المتأثرة |
جميع استدعاءات الأدوات |
| التخفيفات الحالية |
موافقات Exec للأوامر الخطرة |
| الخطر المتبقي |
مرتفع - يعتمد على تقدير المستخدم |
| التوصيات |
تنفيذ التحقق من الوسيطات، واستدعاءات أدوات ذات معلمات |
# T-EXEC-004: تجاوز موافقة Exec
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0043 - صياغة بيانات عدائية |
| الوصف |
يصوغ المهاجم أوامر تتجاوز قائمة السماح للموافقات |
| متجه الهجوم |
تعمية الأوامر، واستغلال الأسماء المستعارة، والتلاعب بالمسارات |
| المكونات المتأثرة |
exec-approvals.ts، قائمة السماح للأوامر |
| التخفيفات الحالية |
قائمة السماح + وضع السؤال |
| الخطر المتبقي |
مرتفع - لا توجد تنقية للأوامر |
| التوصيات |
تنفيذ تطبيع الأوامر، وتوسيع قائمة الحظر |
# 3.4 الاستمرارية (AML.TA0006)
# T-PERSIST-001: تثبيت Skill خبيثة
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي |
| الوصف |
ينشر المهاجم Skill خبيثة إلى ClawHub |
| متجه الهجوم |
إنشاء حساب، ونشر Skill تحتوي على شيفرة خبيثة مخفية |
| المكونات المتأثرة |
ClawHub، وتحميل Skill، وتنفيذ الوكيل |
| التخفيفات الحالية |
التحقق من عمر حساب GitHub، وأعلام الإشراف القائمة على الأنماط |
| الخطر المتبقي |
حرج - لا توجد بيئة عزل، ومراجعة محدودة |
| التوصيات |
تكامل VirusTotal (قيد التنفيذ)، وعزل Skill، ومراجعة المجتمع |
# T-PERSIST-002: تسميم تحديث Skill
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي |
| الوصف |
يخترق المهاجم Skill شائعة ويدفع تحديثًا خبيثًا |
| متجه الهجوم |
اختراق الحساب، والهندسة الاجتماعية لمالك Skill |
| المكونات المتأثرة |
إدارة إصدارات ClawHub، وتدفقات التحديث التلقائي |
| التخفيفات الحالية |
بصمة الإصدار |
| الخطر المتبقي |
مرتفع - قد تسحب التحديثات التلقائية إصدارات خبيثة |
| التوصيات |
تنفيذ توقيع التحديثات، وإمكانية التراجع، وتثبيت الإصدارات |
# T-PERSIST-003: العبث بتكوين الوكيل
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0010.002 - اختراق سلسلة التوريد: البيانات |
| الوصف |
يعدّل المهاجم تكوين الوكيل لاستدامة الوصول |
| متجه الهجوم |
تعديل ملف التكوين، وحقن الإعدادات |
| المكونات المتأثرة |
تكوين الوكيل، وسياسات الأدوات |
| التخفيفات الحالية |
أذونات الملفات |
| الخطر المتبقي |
متوسط - يتطلب وصولًا محليًا |
| التوصيات |
التحقق من سلامة التكوين، وتسجيل تدقيق لتغييرات التكوين |
# 3.5 التهرب الدفاعي (AML.TA0007)
# T-EVADE-001: تجاوز أنماط الإشراف
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0043 - صياغة بيانات عدائية |
| الوصف |
يصوغ المهاجم محتوى Skill للتهرب من أنماط الإشراف |
| متجه الهجوم |
محارف Unicode متشابهة الشكل، وحيل الترميز، والتحميل الديناميكي |
| المكونات المتأثرة |
moderation.ts في ClawHub |
| التخفيفات الحالية |
FLAG_RULES القائمة على الأنماط |
| الخطر المتبقي |
مرتفع - يمكن تجاوز regex بسيط بسهولة |
| التوصيات |
إضافة تحليل سلوكي (VirusTotal Code Insight)، واكتشاف قائم على AST |
# T-EVADE-002: الهروب من غلاف المحتوى
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0043 - صياغة بيانات عدائية |
| الوصف |
يصوغ المهاجم محتوى يخرج من سياق غلاف XML |
| متجه الهجوم |
التلاعب بالوسوم، إرباك السياق، تجاوز التعليمات |
| المكونات المتأثرة |
تغليف المحتوى الخارجي |
| التخفيفات الحالية |
وسوم XML + إشعار أمني |
| الخطر المتبقي |
متوسط - تُكتشف طرق خروج جديدة بانتظام |
| التوصيات |
طبقات تغليف متعددة، تحقق من جهة الإخراج |
# 3.6 الاكتشاف (AML.TA0008)
# T-DISC-001: تعداد الأدوات
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي |
| الوصف |
يعدّد المهاجم الأدوات المتاحة عبر التوجيهات |
| متجه الهجوم |
استعلامات بأسلوب "ما الأدوات التي لديك؟" |
| المكونات المتأثرة |
سجل أدوات الوكيل |
| التخفيفات الحالية |
لا يوجد شيء محدد |
| الخطر المتبقي |
منخفض - الأدوات موثقة عموما |
| التوصيات |
النظر في ضوابط إظهار الأدوات |
# T-DISC-002: استخراج بيانات الجلسة
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي |
| الوصف |
يستخرج المهاجم بيانات حساسة من سياق الجلسة |
| متجه الهجوم |
استعلامات "ماذا ناقشنا؟"، استكشاف السياق |
| المكونات المتأثرة |
نصوص الجلسات، نافذة السياق |
| التخفيفات الحالية |
عزل الجلسة لكل مرسل |
| الخطر المتبقي |
متوسط - يمكن الوصول إلى بيانات داخل الجلسة |
| التوصيات |
تنفيذ تنقيح البيانات الحساسة في السياق |
# 3.7 الجمع والإخراج غير المصرح به (AML.TA0009, AML.TA0010)
# T-EXFIL-001: سرقة البيانات عبر web_fetch
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0009 - الجمع |
| الوصف |
يخرج المهاجم البيانات بإصدار تعليمات للوكيل لإرسالها إلى URL خارجي |
| متجه الهجوم |
حقن توجيه يجعل الوكيل يرسل البيانات عبر POST إلى خادم المهاجم |
| المكونات المتأثرة |
أداة web_fetch |
| التخفيفات الحالية |
حظر SSRF للشبكات الداخلية |
| الخطر المتبقي |
عال - عناوين URL الخارجية مسموح بها |
| التوصيات |
تنفيذ قوائم السماح لعناوين URL، الوعي بتصنيف البيانات |
# T-EXFIL-002: إرسال رسائل غير مصرح به
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0009 - الجمع |
| الوصف |
يجعل المهاجم الوكيل يرسل رسائل تحتوي على بيانات حساسة |
| متجه الهجوم |
حقن توجيه يجعل الوكيل يرسل رسالة إلى المهاجم |
| المكونات المتأثرة |
أداة الرسائل، تكاملات القنوات |
| التخفيفات الحالية |
ضبط الرسائل الصادرة |
| الخطر المتبقي |
متوسط - قد يتم تجاوز الضبط |
| التوصيات |
طلب تأكيد صريح للمستلمين الجدد |
# T-EXFIL-003: جمع بيانات الاعتماد
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0009 - الجمع |
| الوصف |
Skill خبيثة تجمع بيانات الاعتماد من سياق الوكيل |
| متجه الهجوم |
تقرأ شيفرة Skill متغيرات البيئة وملفات الإعدادات |
| المكونات المتأثرة |
بيئة تنفيذ Skill |
| التخفيفات الحالية |
لا يوجد شيء محدد لـ Skills |
| الخطر المتبقي |
حرج - تعمل Skills بصلاحيات الوكيل |
| التوصيات |
عزل Skills، عزل بيانات الاعتماد |
# 3.8 الأثر (AML.TA0011)
# T-IMPACT-001: تنفيذ أوامر غير مصرح به
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي |
| الوصف |
ينفذ المهاجم أوامر عشوائية على نظام المستخدم |
| متجه الهجوم |
حقن توجيه مع تجاوز موافقة exec |
| المكونات المتأثرة |
أداة Bash، تنفيذ الأوامر |
| التخفيفات الحالية |
موافقات exec، خيار عزل Docker |
| الخطر المتبقي |
حرج - تنفيذ على المضيف دون عزل |
| التوصيات |
جعل العزل هو الافتراضي، تحسين تجربة الموافقة |
# T-IMPACT-002: استنزاف الموارد (DoS)
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي |
| الوصف |
يستنزف المهاجم أرصدة API أو موارد الحوسبة |
| متجه الهجوم |
إغراق آلي بالرسائل، استدعاءات أدوات مكلفة |
| المكونات المتأثرة |
Gateway، جلسات الوكيل، مزود API |
| التخفيفات الحالية |
لا يوجد |
| الخطر المتبقي |
عال - لا توجد حدود للمعدل |
| التوصيات |
تنفيذ حدود معدل لكل مرسل، ميزانيات تكلفة |
# T-IMPACT-003: الإضرار بالسمعة
| السمة |
القيمة |
| معرّف ATLAS |
AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي |
| الوصف |
يجعل المهاجم الوكيل يرسل محتوى ضارا/مسيئا |
| متجه الهجوم |
حقن توجيه يسبب ردودا غير ملائمة |
| المكونات المتأثرة |
توليد المخرجات، رسائل القنوات |
| التخفيفات الحالية |
سياسات محتوى مزود LLM |
| الخطر المتبقي |
متوسط - مرشحات المزود غير مثالية |
| التوصيات |
طبقة ترشيح للمخرجات، ضوابط للمستخدم |
# 4. تحليل سلسلة توريد ClawHub
# 4.1 ضوابط الأمان الحالية
| الضابط |
التنفيذ |
الفاعلية |
| عمر حساب GitHub |
requireGitHubAccountAge() |
متوسط - يرفع العائق أمام المهاجمين الجدد |
| تطهير المسار |
sanitizePath() |
عال - يمنع اجتياز المسارات |
| التحقق من نوع الملف |
isTextFile() |
متوسط - ملفات نصية فقط، لكنها قد تبقى خبيثة |
| حدود الحجم |
إجمالي الحزمة 50MB |
عال - يمنع استنزاف الموارد |
| SKILL.md مطلوب |
ملف تمهيدي إلزامي |
قيمة أمنية منخفضة - معلومات فقط |
| ضبط الأنماط |
FLAG_RULES في moderation.ts |
منخفض - يسهل تجاوزه |
| حالة الضبط |
حقل moderationStatus |
متوسط - المراجعة اليدوية ممكنة |
# 4.2 أنماط إشارات الضبط
الأنماط الحالية في moderation.ts:
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
القيود:
- يفحص فقط slug وdisplayName والملخص وfrontmatter والبيانات الوصفية ومسارات الملفات
- لا يحلل محتوى شيفرة Skill الفعلي
- تعبيرات regex بسيطة يسهل تجاوزها بالإخفاء
- لا يوجد تحليل سلوكي
# 4.3 التحسينات المخطط لها
| التحسين |
الحالة |
الأثر |
| تكامل VirusTotal |
قيد التنفيذ |
عال - تحليل سلوكي عبر Code Insight |
| الإبلاغ المجتمعي |
جزئي (جدول skillReports موجود) |
متوسط |
| تسجيل التدقيق |
جزئي (جدول auditLogs موجود) |
متوسط |
| نظام الشارات |
منفذ |
متوسط - highlighted, official, deprecated, redactionApproved |
# 5. مصفوفة المخاطر
# 5.1 الاحتمالية مقابل الأثر
| معرّف التهديد |
الاحتمالية |
الأثر |
مستوى الخطر |
الأولوية |
| T-EXEC-001 |
عالية |
حرج |
حرج |
P0 |
| T-PERSIST-001 |
عالية |
حرج |
حرج |
P0 |
| T-EXFIL-003 |
متوسطة |
حرج |
حرج |
P0 |
| T-IMPACT-001 |
متوسطة |
حرج |
عال |
P1 |
| T-EXEC-002 |
عالية |
عال |
عال |
P1 |
| T-EXEC-004 |
متوسطة |
عال |
عال |
P1 |
| T-ACCESS-003 |
متوسطة |
عال |
عال |
P1 |
| T-EXFIL-001 |
متوسطة |
عال |
عال |
P1 |
| T-IMPACT-002 |
عالية |
متوسط |
عال |
P1 |
| T-EVADE-001 |
عالية |
متوسط |
متوسط |
P2 |
| T-ACCESS-001 |
منخفضة |
عال |
متوسط |
P2 |
| T-ACCESS-002 |
منخفضة |
عال |
متوسط |
P2 |
| T-PERSIST-002 |
منخفضة |
عال |
متوسط |
P2 |
# 5.2 سلاسل الهجوم ذات المسار الحرج
سلسلة الهجوم 1: سرقة بيانات قائمة على Skill
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
سلسلة الهجوم 2: حقن توجيه إلى RCE
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
سلسلة الهجوم 3: حقن غير مباشر عبر محتوى مجلوب
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)
# 6. ملخص التوصيات
# 6.1 فوري (P0)
| المعرّف |
التوصية |
يعالج |
| R-001 |
إكمال تكامل VirusTotal |
T-PERSIST-001, T-EVADE-001 |
| R-002 |
تنفيذ عزل المهارات |
T-PERSIST-001, T-EXFIL-003 |
| R-003 |
إضافة تحقق من المخرجات للإجراءات الحساسة |
T-EXEC-001, T-EXEC-002 |
# 6.2 المدى القصير (P1)
| المعرّف |
التوصية |
يعالج |
| R-004 |
تنفيذ تحديد معدل الطلبات |
T-IMPACT-002 |
| R-005 |
إضافة تشفير الرموز المميزة عند التخزين |
T-ACCESS-003 |
| R-006 |
تحسين تجربة موافقة exec والتحقق منها |
T-EXEC-004 |
| R-007 |
تنفيذ قائمة سماح لعناوين URL لـ web_fetch |
T-EXFIL-001 |
# 6.3 المدى المتوسط (P2)
| المعرّف |
التوصية |
يعالج |
| R-008 |
إضافة تحقق تشفيري من القناة حيثما أمكن |
T-ACCESS-002 |
| R-009 |
تنفيذ تحقق من سلامة الإعدادات |
T-PERSIST-003 |
| R-010 |
إضافة توقيع التحديثات وتثبيت الإصدارات |
T-PERSIST-002 |
# 7. الملاحق
# 7.1 ربط تقنيات ATLAS
| معرّف ATLAS |
اسم التقنية |
تهديدات OpenClaw |
| AML.T0006 |
الفحص النشط |
T-RECON-001, T-RECON-002 |
| AML.T0009 |
الجمع |
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 |
| AML.T0010.001 |
سلسلة التوريد: برمجيات الذكاء الاصطناعي |
T-PERSIST-001, T-PERSIST-002 |
| AML.T0010.002 |
سلسلة التوريد: البيانات |
T-PERSIST-003 |
| AML.T0031 |
إضعاف سلامة نموذج الذكاء الاصطناعي |
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 |
| AML.T0040 |
الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي |
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043 |
صياغة بيانات خصومية |
T-EXEC-004, T-EVADE-001, T-EVADE-002 |
| AML.T0051.000 |
حقن مطالبة LLM: مباشر |
T-EXEC-001, T-EXEC-003 |
| AML.T0051.001 |
حقن مطالبة LLM: غير مباشر |
T-EXEC-002 |
# 7.2 ملفات الأمان الرئيسية
| المسار |
الغرض |
مستوى الخطر |
src/infra/exec-approvals.ts |
منطق الموافقة على الأوامر |
حرج |
src/gateway/auth.ts |
مصادقة Gateway |
حرج |
src/infra/net/ssrf.ts |
حماية SSRF |
حرج |
src/security/external-content.ts |
تخفيف حقن المطالبات |
حرج |
src/agents/sandbox/tool-policy.ts |
إنفاذ سياسة الأدوات |
حرج |
src/routing/resolve-route.ts |
عزل الجلسات |
متوسط |
# 7.3 مسرد المصطلحات
| المصطلح |
التعريف |
| ATLAS |
مشهد MITRE للتهديدات الخصومية لأنظمة الذكاء الاصطناعي |
| ClawHub |
سوق المهارات في OpenClaw |
| Gateway |
طبقة توجيه الرسائل والمصادقة في OpenClaw |
| MCP |
Model Context Protocol - واجهة موفر الأدوات |
| Prompt Injection |
هجوم تُضمَّن فيه تعليمات ضارة في الإدخال |
| Skill |
امتداد قابل للتنزيل لوكلاء OpenClaw |
| SSRF |
تزوير الطلبات من جانب الخادم |
نموذج التهديدات هذا مستند حي. أبلغ عن مشكلات الأمان عبر [email protected]
# ذو صلة
