English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย

Security

Modelo de amenazas (MITRE ATLAS)

marco MITRE ATLAS

Versión: 1.0-borrador Última actualización: 2026-02-04 Metodología: MITRE ATLAS + diagramas de flujo de datos Marco: MITRE ATLAS (panorama de amenazas adversarias para sistemas de IA)

Atribución del marco

Este modelo de amenazas se basa en MITRE ATLAS, el marco estándar de la industria para documentar amenazas adversarias contra sistemas de IA/ML. ATLAS es mantenido por MITRE en colaboración con la comunidad de seguridad de IA.

Recursos clave de ATLAS:

Contribuir a este modelo de amenazas

Este es un documento vivo mantenido por la comunidad de OpenClaw. Consulta CONTRIBUTING-THREAT-MODEL.md para ver las pautas de contribución:

  • Informar sobre nuevas amenazas
  • Actualizar amenazas existentes
  • Proponer cadenas de ataque
  • Sugerir mitigaciones

1. Introducción

1.1 Propósito

Este modelo de amenazas documenta amenazas adversarias contra la plataforma de agentes de IA OpenClaw y el mercado de Skills ClawHub, usando el marco MITRE ATLAS diseñado específicamente para sistemas de IA/ML.

1.2 Alcance

Componente Incluido Notas
Runtime de agente OpenClaw Ejecución central de agentes, llamadas a herramientas, sesiones
Gateway Autenticación, enrutamiento, integración de canales
Integraciones de canales WhatsApp, Telegram, Discord, Signal, Slack, etc.
Marketplace de ClawHub Publicación, moderación y distribución de Skills
Servidores MCP Proveedores externos de herramientas
Dispositivos de usuario Parcial Aplicaciones móviles, clientes de escritorio

1.3 Fuera de alcance

Nada queda explícitamente fuera del alcance de este modelo de amenazas.

2. Arquitectura del sistema

2.1 Límites de confianza

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Flujos de datos

Flujo Origen Destino Datos Protección
F1 Canal Gateway Mensajes de usuario TLS, AllowFrom
F2 Gateway Agente Mensajes enrutados Aislamiento de sesión
F3 Agente Herramientas Invocaciones de herramientas Aplicación de políticas
F4 Agente Externo solicitudes web_fetch Bloqueo de SSRF
F5 ClawHub Agente Código de Skills Moderación, escaneo
F6 Agente Canal Respuestas Filtrado de salida

3. Análisis de amenazas por táctica de ATLAS

3.1 Reconocimiento (AML.TA0002)

T-RECON-001: Detección de endpoints de agentes

Atributo Valor
ID de ATLAS AML.T0006 - Escaneo activo
Descripción El atacante escanea endpoints expuestos del gateway de OpenClaw
Vector de ataque Escaneo de red, consultas de Shodan, enumeración de DNS
Componentes afectados Gateway, endpoints de API expuestos
Mitigaciones actuales Opción de autenticación con Tailscale, enlace a loopback de forma predeterminada
Riesgo residual Medio - Los gateways públicos son detectables
Recomendaciones Documentar el despliegue seguro, añadir limitación de tasa en endpoints de detección

T-RECON-002: Sondeo de integración de canales

Atributo Valor
ID de ATLAS AML.T0006 - Escaneo activo
Descripción El atacante sondea canales de mensajería para identificar cuentas administradas por IA
Vector de ataque Envío de mensajes de prueba, observación de patrones de respuesta
Componentes afectados Todas las integraciones de canales
Mitigaciones actuales Ninguna específica
Riesgo residual Bajo - Valor limitado solo con el descubrimiento
Recomendaciones Considerar la aleatorización del tiempo de respuesta

3.2 Acceso inicial (AML.TA0004)

T-ACCESS-001: Intercepción de código de emparejamiento

Atributo Valor
ID de ATLAS AML.T0040 - Acceso a la API de inferencia del modelo de IA
Descripción El atacante intercepta el código de emparejamiento durante el período de gracia de emparejamiento (1 h para el emparejamiento de canal de DM, 5 min para el emparejamiento de Node)
Vector de ataque Mirar por encima del hombro, rastreo de red, ingeniería social
Componentes afectados Sistema de emparejamiento de dispositivos
Mitigaciones actuales Vencimiento de 1 h (emparejamiento de DM) / vencimiento de 5 min (emparejamiento de Node), códigos enviados mediante el canal existente
Riesgo residual Medio - Período de gracia explotable
Recomendaciones Reducir el período de gracia, agregar paso de confirmación

T-ACCESS-002: Suplantación de AllowFrom

Atributo Valor
ID de ATLAS AML.T0040 - Acceso a la API de inferencia del modelo de IA
Descripción El atacante suplanta la identidad de remitente permitida en el canal
Vector de ataque Depende del canal - suplantación de número telefónico, suplantación de nombre de usuario
Componentes afectados Validación de AllowFrom por canal
Mitigaciones actuales Verificación de identidad específica del canal
Riesgo residual Medio - Algunos canales son vulnerables a la suplantación
Recomendaciones Documentar riesgos específicos del canal, agregar verificación criptográfica cuando sea posible

T-ACCESS-003: Robo de tokens

Atributo Valor
ID de ATLAS AML.T0040 - Acceso a la API de inferencia del modelo de IA
Descripción El atacante roba tokens de autenticación de archivos de configuración
Vector de ataque Malware, acceso no autorizado al dispositivo, exposición de copias de seguridad de configuración
Componentes afectados ~/.openclaw/credentials/, almacenamiento de configuración
Mitigaciones actuales Permisos de archivo
Riesgo residual Alto - Tokens almacenados en texto sin formato
Recomendaciones Implementar cifrado de tokens en reposo, agregar rotación de tokens

3.3 Ejecución (AML.TA0005)

T-EXEC-001: Inyección directa de instrucciones

Atributo Valor
ID de ATLAS AML.T0051.000 - Inyección directa de instrucciones en LLM
Descripción El atacante envía instrucciones diseñadas para manipular el comportamiento del agente
Vector de ataque Mensajes de canal que contienen instrucciones adversarias
Componentes afectados LLM del agente, todas las superficies de entrada
Mitigaciones actuales Detección de patrones, envoltura de contenido externo
Riesgo residual Crítico - Solo detección, sin bloqueo; los ataques sofisticados la eluden
Recomendaciones Implementar defensa multicapa, validación de salida, confirmación del usuario para acciones sensibles

T-EXEC-002: Inyección indirecta de instrucciones

Atributo Valor
ID de ATLAS AML.T0051.001 - Inyección indirecta de instrucciones en LLM
Descripción El atacante inserta instrucciones maliciosas en contenido recuperado
Vector de ataque URL maliciosas, correos electrónicos envenenados, Webhooks comprometidos
Componentes afectados web_fetch, ingesta de correo electrónico, fuentes de datos externas
Mitigaciones actuales Envoltura de contenido con etiquetas XML y aviso de seguridad
Riesgo residual Alto - El LLM puede ignorar las instrucciones de la envoltura
Recomendaciones Implementar saneamiento de contenido, separar contextos de ejecución

T-EXEC-003: Inyección de argumentos de herramientas

Atributo Valor
ID de ATLAS AML.T0051.000 - Inyección directa de instrucciones en LLM
Descripción El atacante manipula argumentos de herramientas mediante inyección de instrucciones
Vector de ataque Instrucciones diseñadas que influyen en los valores de parámetros de herramientas
Componentes afectados Todas las invocaciones de herramientas
Mitigaciones actuales Aprobaciones de ejecución para comandos peligrosos
Riesgo residual Alto - Depende del criterio del usuario
Recomendaciones Implementar validación de argumentos, llamadas a herramientas parametrizadas

T-EXEC-004: Omisión de aprobación de ejecución

Atributo Valor
ID de ATLAS AML.T0043 - Crear datos adversarios
Descripción El atacante crea comandos que omiten la lista de permitidos de aprobación
Vector de ataque Ofuscación de comandos, explotación de alias, manipulación de rutas
Componentes afectados exec-approvals.ts, lista de permitidos de comandos
Mitigaciones actuales Lista de permitidos + modo de solicitud
Riesgo residual Alto - Sin saneamiento de comandos
Recomendaciones Implementar normalización de comandos, ampliar la lista de bloqueo

3.4 Persistencia (AML.TA0006)

T-PERSIST-001: Instalación de Skill maliciosa

Atributo Valor
ID de ATLAS AML.T0010.001 - Compromiso de la cadena de suministro: software de IA
Descripción El atacante publica una Skill maliciosa en ClawHub
Vector de ataque Crear cuenta, publicar Skill con código malicioso oculto
Componentes afectados ClawHub, carga de Skills, ejecución del agente
Mitigaciones actuales Verificación de antigüedad de cuenta de GitHub, indicadores de moderación basados en patrones
Riesgo residual Crítico - Sin aislamiento, revisión limitada
Recomendaciones Integración con VirusTotal (en curso), aislamiento de Skills, revisión comunitaria

T-PERSIST-002: Envenenamiento de actualización de Skill

Atributo Valor
ID de ATLAS AML.T0010.001 - Compromiso de la cadena de suministro: software de IA
Descripción El atacante compromete una Skill popular e impulsa una actualización maliciosa
Vector de ataque Compromiso de cuenta, ingeniería social del propietario de la Skill
Componentes afectados Versionado de ClawHub, flujos de actualización automática
Mitigaciones actuales Huella digital de versión
Riesgo residual Alto - Las actualizaciones automáticas pueden obtener versiones maliciosas
Recomendaciones Implementar firma de actualizaciones, capacidad de reversión, fijación de versión

T-PERSIST-003: Manipulación de configuración del agente

Atributo Valor
ID de ATLAS AML.T0010.002 - Compromiso de la cadena de suministro: datos
Descripción El atacante modifica la configuración del agente para persistir el acceso
Vector de ataque Modificación de archivos de configuración, inyección de ajustes
Componentes afectados Configuración del agente, políticas de herramientas
Mitigaciones actuales Permisos de archivo
Riesgo residual Medio - Requiere acceso local
Recomendaciones Verificación de integridad de configuración, registro de auditoría para cambios de configuración

3.5 Evasión de defensa (AML.TA0007)

T-EVADE-001: Omisión de patrones de moderación

Atributo Valor
ID de ATLAS AML.T0043 - Crear datos adversarios
Descripción El atacante crea contenido de Skill para evadir patrones de moderación
Vector de ataque Homoglifos Unicode, trucos de codificación, carga dinámica
Componentes afectados ClawHub moderation.ts
Mitigaciones actuales FLAG_RULES basadas en patrones
Riesgo residual Alto - Expresión regular simple que se elude fácilmente
Recomendaciones Agregar análisis de comportamiento (VirusTotal Code Insight), detección basada en AST

T-EVADE-002: Escape de envoltura de contenido

Atributo Valor
ID ATLAS AML.T0043 - Crear datos adversarios
Descripción El atacante crea contenido que escapa del contexto del contenedor XML
Vector de ataque Manipulación de etiquetas, confusión de contexto, anulación de instrucciones
Componentes afectados Envoltura de contenido externo
Mitigaciones actuales Etiquetas XML + aviso de seguridad
Riesgo residual Medio - Se descubren escapes nuevos con regularidad
Recomendaciones Varias capas de envoltura, validación del lado de salida

3.6 Descubrimiento (AML.TA0008)

T-DISC-001: Enumeración de herramientas

Atributo Valor
ID ATLAS AML.T0040 - Acceso a la API de inferencia de modelos de IA
Descripción El atacante enumera las herramientas disponibles mediante indicaciones
Vector de ataque Consultas del estilo "¿Qué herramientas tienes?"
Componentes afectados Registro de herramientas del agente
Mitigaciones actuales Ninguna específica
Riesgo residual Bajo - Las herramientas suelen estar documentadas
Recomendaciones Considerar controles de visibilidad de herramientas

T-DISC-002: Extracción de datos de sesión

Atributo Valor
ID ATLAS AML.T0040 - Acceso a la API de inferencia de modelos de IA
Descripción El atacante extrae datos confidenciales del contexto de sesión
Vector de ataque Consultas "¿Qué discutimos?", sondeo de contexto
Componentes afectados Transcripciones de sesión, ventana de contexto
Mitigaciones actuales Aislamiento de sesión por remitente
Riesgo residual Medio - Los datos dentro de la sesión son accesibles
Recomendaciones Implementar censura de datos confidenciales en el contexto

3.7 Recopilación y exfiltración (AML.TA0009, AML.TA0010)

T-EXFIL-001: Robo de datos mediante web_fetch

Atributo Valor
ID ATLAS AML.T0009 - Recopilación
Descripción El atacante exfiltra datos indicando al agente que los envíe a una URL externa
Vector de ataque Inyección de instrucciones que hace que el agente envíe datos por POST al servidor del atacante
Componentes afectados Herramienta web_fetch
Mitigaciones actuales Bloqueo de SSRF para redes internas
Riesgo residual Alto - Se permiten URL externas
Recomendaciones Implementar listas de URL permitidas, conciencia de clasificación de datos

T-EXFIL-002: Envío no autorizado de mensajes

Atributo Valor
ID ATLAS AML.T0009 - Recopilación
Descripción El atacante hace que el agente envíe mensajes que contienen datos confidenciales
Vector de ataque Inyección de instrucciones que hace que el agente envíe un mensaje al atacante
Componentes afectados Herramienta de mensajes, integraciones de canales
Mitigaciones actuales Control de mensajes salientes
Riesgo residual Medio - El control puede omitirse
Recomendaciones Exigir confirmación explícita para nuevos destinatarios

T-EXFIL-003: Recolección de credenciales

Atributo Valor
ID ATLAS AML.T0009 - Recopilación
Descripción Una Skill maliciosa recolecta credenciales del contexto del agente
Vector de ataque El código de la Skill lee variables de entorno y archivos de configuración
Componentes afectados Entorno de ejecución de Skills
Mitigaciones actuales Ninguna específica para Skills
Riesgo residual Crítico - Las Skills se ejecutan con privilegios de agente
Recomendaciones Aislamiento de Skills, aislamiento de credenciales

3.8 Impacto (AML.TA0011)

T-IMPACT-001: Ejecución no autorizada de comandos

Atributo Valor
ID ATLAS AML.T0031 - Erosionar la integridad del modelo de IA
Descripción El atacante ejecuta comandos arbitrarios en el sistema del usuario
Vector de ataque Inyección de instrucciones combinada con omisión de aprobación de ejecución
Componentes afectados Herramienta Bash, ejecución de comandos
Mitigaciones actuales Aprobaciones de ejecución, opción de entorno aislado Docker
Riesgo residual Crítico - Ejecución en el host sin entorno aislado
Recomendaciones Usar entorno aislado de forma predeterminada, mejorar la experiencia de aprobación

T-IMPACT-002: Agotamiento de recursos (DoS)

Atributo Valor
ID ATLAS AML.T0031 - Erosionar la integridad del modelo de IA
Descripción El atacante agota créditos de API o recursos de cómputo
Vector de ataque Inundación automatizada de mensajes, llamadas costosas a herramientas
Componentes afectados Gateway, sesiones de agente, proveedor de API
Mitigaciones actuales Ninguna
Riesgo residual Alto - Sin limitación de tasa
Recomendaciones Implementar límites de tasa por remitente y presupuestos de coste

T-IMPACT-003: Daño reputacional

Atributo Valor
ID ATLAS AML.T0031 - Erosionar la integridad del modelo de IA
Descripción El atacante hace que el agente envíe contenido dañino u ofensivo
Vector de ataque Inyección de instrucciones que provoca respuestas inapropiadas
Componentes afectados Generación de salida, mensajería de canales
Mitigaciones actuales Políticas de contenido del proveedor de LLM
Riesgo residual Medio - Los filtros del proveedor son imperfectos
Recomendaciones Capa de filtrado de salida, controles de usuario

4. Análisis de cadena de suministro de ClawHub

4.1 Controles de seguridad actuales

Control Implementación Eficacia
Antigüedad de la cuenta de GitHub requireGitHubAccountAge() Media - Eleva la barrera para nuevos atacantes
Saneamiento de rutas sanitizePath() Alta - Evita el recorrido de rutas
Validación de tipo de archivo isTextFile() Media - Solo archivos de texto, pero aún pueden ser maliciosos
Límites de tamaño Paquete total de 50 MB Alta - Evita el agotamiento de recursos
SKILL.md obligatorio Léame obligatorio Bajo valor de seguridad - Solo informativo
Moderación de patrones FLAG_RULES en moderation.ts Baja - Se omite fácilmente
Estado de moderación Campo moderationStatus Media - La revisión manual es posible

4.2 Patrones de marcas de moderación

Patrones actuales en moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Limitaciones:

  • Solo comprueba slug, displayName, resumen, frontmatter, metadatos y rutas de archivo
  • No analiza el contenido real del código de la Skill
  • Las expresiones regulares simples se omiten fácilmente con ofuscación
  • Sin análisis de comportamiento

4.3 Mejoras planificadas

Mejora Estado Impacto
Integración con VirusTotal En curso Alto - Análisis de comportamiento de Code Insight
Informes de la comunidad Parcial (existe la tabla skillReports) Medio
Registro de auditoría Parcial (existe la tabla auditLogs) Medio
Sistema de insignias Implementado Medio - highlighted, official, deprecated, redactionApproved

5. Matriz de riesgos

5.1 Probabilidad frente a impacto

ID de amenaza Probabilidad Impacto Nivel de riesgo Prioridad
T-EXEC-001 Alta Crítico Crítico P0
T-PERSIST-001 Alta Crítico Crítico P0
T-EXFIL-003 Media Crítico Crítico P0
T-IMPACT-001 Media Crítico Alto P1
T-EXEC-002 Alta Alto Alto P1
T-EXEC-004 Media Alto Alto P1
T-ACCESS-003 Media Alto Alto P1
T-EXFIL-001 Media Alto Alto P1
T-IMPACT-002 Alta Medio Alto P1
T-EVADE-001 Alta Medio Medio P2
T-ACCESS-001 Baja Alto Medio P2
T-ACCESS-002 Baja Alto Medio P2
T-PERSIST-002 Baja Alto Medio P2

5.2 Cadenas de ataque de ruta crítica

Cadena de ataque 1: robo de datos basado en Skills

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Cadena de ataque 2: inyección de instrucciones a RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Cadena de ataque 3: inyección indirecta mediante contenido obtenido

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Resumen de recomendaciones

6.1 Inmediatas (P0)

ID Recomendación Aborda
R-001 Completar la integración de VirusTotal T-PERSIST-001, T-EVADE-001
R-002 Implementar el aislamiento de Skills T-PERSIST-001, T-EXFIL-003
R-003 Agregar validación de salida para acciones sensibles T-EXEC-001, T-EXEC-002

6.2 Corto plazo (P1)

ID Recomendación Aborda
R-004 Implementar limitación de tasa T-IMPACT-002
R-005 Agregar cifrado de tokens en reposo T-ACCESS-003
R-006 Mejorar la UX de aprobación de exec y la validación T-EXEC-004
R-007 Implementar lista de permitidos de URL para web_fetch T-EXFIL-001

6.3 Mediano plazo (P2)

ID Recomendación Aborda
R-008 Agregar verificación criptográfica de canal cuando sea posible T-ACCESS-002
R-009 Implementar verificación de integridad de la configuración T-PERSIST-003
R-010 Agregar firma de actualizaciones y fijación de versiones T-PERSIST-002

7. Apéndices

7.1 Mapeo de técnicas ATLAS

ID de ATLAS Nombre de la técnica Amenazas de OpenClaw
AML.T0006 Escaneo activo T-RECON-001, T-RECON-002
AML.T0009 Recopilación T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001 Cadena de suministro: software de IA T-PERSIST-001, T-PERSIST-002
AML.T0010.002 Cadena de suministro: datos T-PERSIST-003
AML.T0031 Erosionar la integridad del modelo de IA T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040 Acceso a la API de inferencia del modelo de IA T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043 Crear datos adversariales T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000 Inyección de prompts en LLM: directa T-EXEC-001, T-EXEC-003
AML.T0051.001 Inyección de prompts en LLM: indirecta T-EXEC-002

7.2 Archivos de seguridad clave

Ruta Propósito Nivel de riesgo
src/infra/exec-approvals.ts Lógica de aprobación de comandos Crítico
src/gateway/auth.ts Autenticación de Gateway Crítico
src/infra/net/ssrf.ts Protección contra SSRF Crítico
src/security/external-content.ts Mitigación de inyección de prompts Crítico
src/agents/sandbox/tool-policy.ts Aplicación de políticas de herramientas Crítico
src/routing/resolve-route.ts Aislamiento de sesiones Medio

7.3 Glosario

Término Definición
ATLAS Panorama de amenazas adversariales de MITRE para sistemas de IA
ClawHub Marketplace de Skills de OpenClaw
Gateway Capa de autenticación y enrutamiento de mensajes de OpenClaw
MCP Protocolo de contexto de modelo: interfaz de proveedor de herramientas
Inyección de prompts Ataque en el que se incrustan instrucciones maliciosas en la entrada
Skill Extensión descargable para agentes de OpenClaw
SSRF Falsificación de solicitudes del lado del servidor

Este modelo de amenazas es un documento vivo. Reporta problemas de seguridad a [email protected]

Relacionado