# چارچوب MITRE ATLAS
نسخه: 1.0-draft
آخرین بهروزرسانی: 2026-02-04
روششناسی: MITRE ATLAS + نمودارهای جریان داده
چارچوب: MITRE ATLAS (چشمانداز تهدیدهای خصمانه برای سامانههای هوش مصنوعی)
# انتساب چارچوب
این مدل تهدید بر پایهٔ MITRE ATLAS ساخته شده است؛ چارچوب استاندارد صنعت برای مستندسازی تهدیدهای خصمانه علیه سامانههای هوش مصنوعی/یادگیری ماشین. ATLAS توسط MITRE با همکاری جامعهٔ امنیت هوش مصنوعی نگهداری میشود.
منابع کلیدی ATLAS:
# مشارکت در این مدل تهدید
این یک سند زنده است که توسط جامعهٔ OpenClaw نگهداری میشود. برای راهنماهای مشارکت، CONTRIBUTING-THREAT-MODEL.md را ببینید:
- گزارش تهدیدهای جدید
- بهروزرسانی تهدیدهای موجود
- پیشنهاد زنجیرههای حمله
- پیشنهاد راهکارهای کاهش ریسک
# 1. مقدمه
# 1.1 هدف
این مدل تهدید، تهدیدهای خصمانه علیه پلتفرم عامل هوش مصنوعی OpenClaw و بازار Skills در ClawHub را با استفاده از چارچوب MITRE ATLAS که بهطور خاص برای سامانههای هوش مصنوعی/یادگیری ماشین طراحی شده است، مستند میکند.
# 1.2 دامنه
| مؤلفه |
گنجانده شده |
یادداشتها |
| زمان اجرای عامل OpenClaw |
بله |
اجرای هستهٔ عامل، فراخوانی ابزارها، نشستها |
| Gateway |
بله |
احراز هویت، مسیریابی، یکپارچهسازی کانال |
| یکپارچهسازیهای کانال |
بله |
WhatsApp، Telegram، Discord، Signal، Slack و غیره |
| بازار ClawHub |
بله |
انتشار Skill، نظارت، توزیع |
| سرورهای MCP |
بله |
ارائهدهندگان ابزار خارجی |
| دستگاههای کاربر |
جزئی |
برنامههای موبایل، کلاینتهای دسکتاپ |
# 1.3 خارج از دامنه
هیچ چیز بهصراحت خارج از دامنهٔ این مدل تهدید نیست.
# 2. معماری سامانه
# 2.1 مرزهای اعتماد
┌─────────────────────────────────────────────────────────────────┐
│ UNTRUSTED ZONE │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ WhatsApp │ │ Telegram │ │ Discord │ ... │
│ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │
│ │ │ │ │
└─────────┼────────────────┼────────────────┼──────────────────────┘
│ │ │
▼ ▼ ▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 1: Channel Access │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ GATEWAY │ │
│ │ • Device Pairing (1h DM / 5m node grace period) │ │
│ │ • AllowFrom / AllowList validation │ │
│ │ • Token/Password/Tailscale auth │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 2: Session Isolation │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ AGENT SESSIONS │ │
│ │ • Session key = agent:channel:peer │ │
│ │ • Tool policies per agent │ │
│ │ • Transcript logging │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 3: Tool Execution │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ EXECUTION SANDBOX │ │
│ │ • Docker sandbox OR Host (exec-approvals) │ │
│ │ • Node remote execution │ │
│ │ • SSRF protection (DNS pinning + IP blocking) │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 4: External Content │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ FETCHED URLs / EMAILS / WEBHOOKS │ │
│ │ • External content wrapping (XML tags) │ │
│ │ • Security notice injection │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 5: Supply Chain │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ CLAWHUB │ │
│ │ • Skill publishing (semver, SKILL.md required) │ │
│ │ • Pattern-based moderation flags │ │
│ │ • VirusTotal scanning (coming soon) │ │
│ │ • GitHub account age verification │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
# 2.2 جریانهای داده
| جریان |
منبع |
مقصد |
دادهها |
محافظت |
| F1 |
کانال |
Gateway |
پیامهای کاربر |
TLS، AllowFrom |
| F2 |
Gateway |
عامل |
پیامهای مسیریابیشده |
جداسازی نشست |
| F3 |
عامل |
ابزارها |
فراخوانیهای ابزار |
اجرای سیاست |
| F4 |
عامل |
خارجی |
درخواستهای web_fetch |
مسدودسازی SSRF |
| F5 |
ClawHub |
عامل |
کد Skill |
نظارت، اسکن |
| F6 |
عامل |
کانال |
پاسخها |
پالایش خروجی |
# 3. تحلیل تهدید بر اساس تاکتیک ATLAS
# 3.1 شناسایی (AML.TA0002)
# T-RECON-001: کشف نقطهٔ پایانی عامل
| ویژگی |
مقدار |
| شناسهٔ ATLAS |
AML.T0006 - اسکن فعال |
| شرح |
مهاجم برای یافتن نقاط پایانی Gateway در معرض OpenClaw اسکن میکند |
| بردار حمله |
اسکن شبکه، پرسوجوهای shodan، شمارش DNS |
| مؤلفههای تحت تأثیر |
Gateway، نقاط پایانی API در معرض |
| کاهش ریسکهای فعلی |
گزینهٔ احراز هویت Tailscale، اتصال پیشفرض به loopback |
| ریسک باقیمانده |
متوسط - Gatewayهای عمومی قابل کشف هستند |
| توصیهها |
مستندسازی استقرار امن، افزودن محدودسازی نرخ روی نقاط پایانی کشف |
# T-RECON-002: کاوش یکپارچهسازی کانال
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0006 - اسکن فعال |
| توضیح |
مهاجم کانالهای پیامرسانی را برای شناسایی حسابهای مدیریتشده با هوش مصنوعی بررسی میکند |
| بردار حمله |
ارسال پیامهای آزمایشی، مشاهده الگوهای پاسخ |
| مؤلفههای تحت تأثیر |
همه یکپارچهسازیهای کانال |
| کاهشدهندههای فعلی |
مورد خاصی وجود ندارد |
| ریسک باقیمانده |
پایین - کشف بهتنهایی ارزش محدودی دارد |
| توصیهها |
تصادفیسازی زمانبندی پاسخ را در نظر بگیرید |
# ۳.۲ دسترسی اولیه (AML.TA0004)
# T-ACCESS-001: رهگیری کد جفتسازی
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی |
| توضیح |
مهاجم کد جفتسازی را در طول دوره مهلت جفتسازی رهگیری میکند (۱ ساعت برای جفتسازی کانال DM، ۵ دقیقه برای جفتسازی Node) |
| بردار حمله |
نگاه کردن از روی شانه، شنود شبکه، مهندسی اجتماعی |
| مؤلفههای تحت تأثیر |
سامانه جفتسازی دستگاه |
| کاهشدهندههای فعلی |
انقضای ۱ ساعته (جفتسازی DM) / انقضای ۵ دقیقهای (جفتسازی Node)، کدها از طریق کانال موجود ارسال میشوند |
| ریسک باقیمانده |
متوسط - دوره مهلت قابل سوءاستفاده است |
| توصیهها |
دوره مهلت را کاهش دهید، مرحله تأیید اضافه کنید |
# T-ACCESS-002: جعل AllowFrom
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی |
| توضیح |
مهاجم هویت فرستنده مجاز را در کانال جعل میکند |
| بردار حمله |
به کانال بستگی دارد - جعل شماره تلفن، جعل هویت نام کاربری |
| مؤلفههای تحت تأثیر |
اعتبارسنجی AllowFrom برای هر کانال |
| کاهشدهندههای فعلی |
راستیآزمایی هویت ویژه هر کانال |
| ریسک باقیمانده |
متوسط - برخی کانالها در برابر جعل آسیبپذیرند |
| توصیهها |
ریسکهای ویژه هر کانال را مستند کنید، در صورت امکان راستیآزمایی رمزنگارانه اضافه کنید |
# T-ACCESS-003: سرقت توکن
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی |
| توضیح |
مهاجم توکنهای احراز هویت را از فایلهای پیکربندی میدزدد |
| بردار حمله |
بدافزار، دسترسی غیرمجاز به دستگاه، افشای نسخه پشتیبان پیکربندی |
| مؤلفههای تحت تأثیر |
~/.openclaw/credentials/، ذخیرهسازی پیکربندی |
| کاهشدهندههای فعلی |
مجوزهای فایل |
| ریسک باقیمانده |
بالا - توکنها بهصورت متن ساده ذخیره میشوند |
| توصیهها |
رمزنگاری توکن در حالت سکون را پیادهسازی کنید، چرخش توکن اضافه کنید |
# ۳.۳ اجرا (AML.TA0005)
# T-EXEC-001: تزریق مستقیم پرامپت
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0051.000 - تزریق پرامپت LLM: مستقیم |
| توضیح |
مهاجم پرامپتهای دستکاریشده میفرستد تا رفتار عامل را تغییر دهد |
| بردار حمله |
پیامهای کانال که شامل دستورهای خصمانه هستند |
| مؤلفههای تحت تأثیر |
LLM عامل، همه سطوح ورودی |
| کاهشدهندههای فعلی |
تشخیص الگو، پوشاندن محتوای خارجی |
| ریسک باقیمانده |
بحرانی - فقط تشخیص وجود دارد، مسدودسازی نیست؛ حملات پیچیده عبور میکنند |
| توصیهها |
دفاع چندلایه، اعتبارسنجی خروجی و تأیید کاربر برای اقدامات حساس را پیادهسازی کنید |
# T-EXEC-002: تزریق غیرمستقیم پرامپت
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0051.001 - تزریق پرامپت LLM: غیرمستقیم |
| توضیح |
مهاجم دستورهای مخرب را در محتوای واکشیشده جاسازی میکند |
| بردار حمله |
URLهای مخرب، ایمیلهای آلوده، Webhookهای بهخطرافتاده |
| مؤلفههای تحت تأثیر |
web_fetch، دریافت ایمیل، منابع داده خارجی |
| کاهشدهندههای فعلی |
پوشاندن محتوا با تگهای XML و اعلان امنیتی |
| ریسک باقیمانده |
بالا - LLM ممکن است دستورهای پوشاننده را نادیده بگیرد |
| توصیهها |
پاکسازی محتوا و زمینههای اجرای جداگانه را پیادهسازی کنید |
# T-EXEC-003: تزریق آرگومان ابزار
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0051.000 - تزریق پرامپت LLM: مستقیم |
| توضیح |
مهاجم آرگومانهای ابزار را از طریق تزریق پرامپت دستکاری میکند |
| بردار حمله |
پرامپتهای دستکاریشدهای که بر مقادیر پارامتر ابزار اثر میگذارند |
| مؤلفههای تحت تأثیر |
همه فراخوانیهای ابزار |
| کاهشدهندههای فعلی |
تأییدهای exec برای دستورهای خطرناک |
| ریسک باقیمانده |
بالا - به قضاوت کاربر متکی است |
| توصیهها |
اعتبارسنجی آرگومان و فراخوانیهای پارامتریشده ابزار را پیادهسازی کنید |
# T-EXEC-004: دور زدن تأیید Exec
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0043 - ساخت داده خصمانه |
| توضیح |
مهاجم دستورهایی میسازد که فهرست مجاز تأیید را دور میزنند |
| بردار حمله |
مبهمسازی دستور، سوءاستفاده از alias، دستکاری مسیر |
| مؤلفههای تحت تأثیر |
exec-approvals.ts، فهرست مجاز دستور |
| کاهشدهندههای فعلی |
فهرست مجاز + حالت پرسش |
| ریسک باقیمانده |
بالا - پاکسازی دستور وجود ندارد |
| توصیهها |
نرمالسازی دستور را پیادهسازی کنید، فهرست مسدودسازی را گسترش دهید |
# ۳.۴ ماندگاری (AML.TA0006)
# T-PERSIST-001: نصب مخرب Skill
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0010.001 - بهخطرافتادن زنجیره تأمین: نرمافزار هوش مصنوعی |
| توضیح |
مهاجم Skill مخربی را در ClawHub منتشر میکند |
| بردار حمله |
ایجاد حساب، انتشار Skill با کد مخرب پنهان |
| مؤلفههای تحت تأثیر |
ClawHub، بارگذاری Skill، اجرای عامل |
| کاهشدهندههای فعلی |
راستیآزمایی سن حساب GitHub، پرچمهای نظارت مبتنی بر الگو |
| ریسک باقیمانده |
بحرانی - سندباکس وجود ندارد، بازبینی محدود است |
| توصیهها |
یکپارچهسازی VirusTotal (در حال انجام)، سندباکس Skill، بازبینی جامعه |
# T-PERSIST-002: مسمومسازی بهروزرسانی Skill
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0010.001 - بهخطرافتادن زنجیره تأمین: نرمافزار هوش مصنوعی |
| توضیح |
مهاجم Skill محبوبی را به خطر میاندازد و بهروزرسانی مخربی منتشر میکند |
| بردار حمله |
بهخطرافتادن حساب، مهندسی اجتماعی مالک Skill |
| مؤلفههای تحت تأثیر |
نسخهبندی ClawHub، جریانهای بهروزرسانی خودکار |
| کاهشدهندههای فعلی |
انگشتنگاری نسخه |
| ریسک باقیمانده |
بالا - بهروزرسانیهای خودکار ممکن است نسخههای مخرب را دریافت کنند |
| توصیهها |
امضای بهروزرسانی، قابلیت بازگردانی و سنجاق کردن نسخه را پیادهسازی کنید |
# T-PERSIST-003: دستکاری پیکربندی عامل
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0010.002 - بهخطرافتادن زنجیره تأمین: داده |
| توضیح |
مهاجم پیکربندی عامل را تغییر میدهد تا دسترسی را ماندگار کند |
| بردار حمله |
تغییر فایل پیکربندی، تزریق تنظیمات |
| مؤلفههای تحت تأثیر |
پیکربندی عامل، سیاستهای ابزار |
| کاهشدهندههای فعلی |
مجوزهای فایل |
| ریسک باقیمانده |
متوسط - به دسترسی محلی نیاز دارد |
| توصیهها |
راستیآزمایی یکپارچگی پیکربندی و ثبت ممیزی برای تغییرات پیکربندی |
# ۳.۵ فرار از دفاع (AML.TA0007)
# T-EVADE-001: دور زدن الگوهای نظارت
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0043 - ساخت داده خصمانه |
| توضیح |
مهاجم محتوای Skill را طوری میسازد که از الگوهای نظارت فرار کند |
| بردار حمله |
همساننماهای Unicode، ترفندهای کدگذاری، بارگذاری پویا |
| مؤلفههای تحت تأثیر |
moderation.ts مربوط به ClawHub |
| کاهشدهندههای فعلی |
FLAG_RULES مبتنی بر الگو |
| ریسک باقیمانده |
بالا - regex ساده بهراحتی دور زده میشود |
| توصیهها |
تحلیل رفتاری (VirusTotal Code Insight) و تشخیص مبتنی بر AST را اضافه کنید |
# T-EVADE-002: خروج از پوشاننده محتوا
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0043 - ساخت داده خصمانه |
| توضیح |
مهاجم محتوایی میسازد که از زمینه بستهبندی XML خارج میشود |
| بردار حمله |
دستکاری برچسب، سردرگمی زمینه، بازنویسی دستورالعمل |
| اجزای متاثر |
بستهبندی محتوای خارجی |
| کاهشدهندههای فعلی |
برچسبهای XML + اعلان امنیتی |
| ریسک باقیمانده |
متوسط - راههای خروج جدید بهطور منظم کشف میشوند |
| توصیهها |
چندین لایه بستهبندی، اعتبارسنجی در سمت خروجی |
# 3.6 کشف (AML.TA0008)
# T-DISC-001: شمارش ابزارها
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0040 - دسترسی به API استنتاج مدل AI |
| توضیح |
مهاجم ابزارهای در دسترس را از طریق پرامپتنویسی فهرست میکند |
| بردار حمله |
پرسوجوهایی به سبک «چه ابزارهایی داری؟» |
| اجزای متاثر |
رجیستری ابزار عامل |
| کاهشدهندههای فعلی |
مورد مشخصی وجود ندارد |
| ریسک باقیمانده |
پایین - ابزارها معمولا مستند شدهاند |
| توصیهها |
کنترلهای نمایشپذیری ابزار را در نظر بگیرید |
# T-DISC-002: استخراج داده نشست
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0040 - دسترسی به API استنتاج مدل AI |
| توضیح |
مهاجم دادههای حساس را از زمینه نشست استخراج میکند |
| بردار حمله |
پرسوجوهای «چه چیزی را بحث کردیم؟»، کاوش زمینه |
| اجزای متاثر |
رونوشتهای نشست، پنجره زمینه |
| کاهشدهندههای فعلی |
جداسازی نشست برای هر فرستنده |
| ریسک باقیمانده |
متوسط - دادههای درون نشست قابل دسترسیاند |
| توصیهها |
حذفسازی دادههای حساس را در زمینه پیادهسازی کنید |
# 3.7 جمعآوری و برونبرد (AML.TA0009, AML.TA0010)
# T-EXFIL-001: سرقت داده از طریق web_fetch
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0009 - جمعآوری |
| توضیح |
مهاجم با دستور دادن به عامل برای ارسال به URL خارجی، داده را برونبرد میکند |
| بردار حمله |
تزریق پرامپت که باعث میشود عامل داده را به سرور مهاجم POST کند |
| اجزای متاثر |
ابزار web_fetch |
| کاهشدهندههای فعلی |
مسدودسازی SSRF برای شبکههای داخلی |
| ریسک باقیمانده |
بالا - URLهای خارجی مجازند |
| توصیهها |
فهرست مجاز URL و آگاهی از طبقهبندی داده را پیادهسازی کنید |
# T-EXFIL-002: ارسال پیام غیرمجاز
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0009 - جمعآوری |
| توضیح |
مهاجم باعث میشود عامل پیامهایی حاوی داده حساس ارسال کند |
| بردار حمله |
تزریق پرامپت که باعث میشود عامل به مهاجم پیام بدهد |
| اجزای متاثر |
ابزار پیام، یکپارچهسازیهای کانال |
| کاهشدهندههای فعلی |
کنترلگذاری پیامرسانی خروجی |
| ریسک باقیمانده |
متوسط - ممکن است کنترلگذاری دور زده شود |
| توصیهها |
برای گیرندگان جدید تایید صریح لازم کنید |
# T-EXFIL-003: برداشت اعتبارنامهها
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0009 - جمعآوری |
| توضیح |
Skill مخرب اعتبارنامهها را از زمینه عامل برداشت میکند |
| بردار حمله |
کد Skill متغیرهای محیطی و فایلهای پیکربندی را میخواند |
| اجزای متاثر |
محیط اجرای Skill |
| کاهشدهندههای فعلی |
مورد مشخصی برای Skills وجود ندارد |
| ریسک باقیمانده |
بحرانی - Skills با امتیازهای عامل اجرا میشوند |
| توصیهها |
ایزولهسازی Skill، جداسازی اعتبارنامهها |
# 3.8 اثر (AML.TA0011)
# T-IMPACT-001: اجرای فرمان غیرمجاز
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0031 - فرسایش یکپارچگی مدل AI |
| توضیح |
مهاجم فرمانهای دلخواه را روی سیستم کاربر اجرا میکند |
| بردار حمله |
تزریق پرامپت همراه با دور زدن تایید exec |
| اجزای متاثر |
ابزار Bash، اجرای فرمان |
| کاهشدهندههای فعلی |
تاییدهای Exec، گزینه سندباکس Docker |
| ریسک باقیمانده |
بحرانی - اجرای میزبان بدون سندباکس |
| توصیهها |
سندباکس را پیشفرض کنید، تجربه کاربری تایید را بهبود دهید |
# T-IMPACT-002: اتمام منابع (DoS)
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0031 - فرسایش یکپارچگی مدل AI |
| توضیح |
مهاجم اعتبارهای API یا منابع محاسباتی را تمام میکند |
| بردار حمله |
سیل خودکار پیام، فراخوانیهای پرهزینه ابزار |
| اجزای متاثر |
Gateway، نشستهای عامل، ارائهدهنده API |
| کاهشدهندههای فعلی |
هیچکدام |
| ریسک باقیمانده |
بالا - محدودسازی نرخ وجود ندارد |
| توصیهها |
محدودیت نرخ برای هر فرستنده و بودجه هزینه را پیادهسازی کنید |
# T-IMPACT-003: آسیب به اعتبار
| ویژگی |
مقدار |
| شناسه ATLAS |
AML.T0031 - فرسایش یکپارچگی مدل AI |
| توضیح |
مهاجم باعث میشود عامل محتوای آسیبزا/توهینآمیز ارسال کند |
| بردار حمله |
تزریق پرامپت که باعث پاسخهای نامناسب میشود |
| اجزای متاثر |
تولید خروجی، پیامرسانی کانال |
| کاهشدهندههای فعلی |
سیاستهای محتوای ارائهدهنده LLM |
| ریسک باقیمانده |
متوسط - فیلترهای ارائهدهنده کامل نیستند |
| توصیهها |
لایه فیلتر خروجی، کنترلهای کاربر |
# 4. تحلیل زنجیره تامین ClawHub
# 4.1 کنترلهای امنیتی فعلی
| کنترل |
پیادهسازی |
اثربخشی |
| سن حساب GitHub |
requireGitHubAccountAge() |
متوسط - مانع را برای مهاجمان جدید بالاتر میبرد |
| پاکسازی مسیر |
sanitizePath() |
بالا - از پیمایش مسیر جلوگیری میکند |
| اعتبارسنجی نوع فایل |
isTextFile() |
متوسط - فقط فایلهای متنی، اما همچنان میتوانند مخرب باشند |
| محدودیتهای اندازه |
بسته کل 50MB |
بالا - از اتمام منابع جلوگیری میکند |
| SKILL.md الزامی |
راهنمای اجباری |
ارزش امنیتی پایین - فقط اطلاعرسانی |
| تعدیل الگو |
FLAG_RULES در moderation.ts |
پایین - بهراحتی دور زده میشود |
| وضعیت تعدیل |
فیلد moderationStatus |
متوسط - بازبینی دستی ممکن است |
# 4.2 الگوهای پرچمگذاری تعدیل
الگوهای فعلی در moderation.ts:
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
محدودیتها:
- فقط slug، displayName، summary، frontmatter، metadata و مسیرهای فایل را بررسی میکند
- محتوای واقعی کد Skill را تحلیل نمیکند
- regex ساده بهراحتی با مبهمسازی دور زده میشود
- تحلیل رفتاری وجود ندارد
# 4.3 بهبودهای برنامهریزیشده
| بهبود |
وضعیت |
اثر |
| یکپارچهسازی VirusTotal |
در حال انجام |
بالا - تحلیل رفتاری Code Insight |
| گزارشدهی جامعه |
جزئی (جدول skillReports وجود دارد) |
متوسط |
| ثبت لاگ حسابرسی |
جزئی (جدول auditLogs وجود دارد) |
متوسط |
| سیستم نشان |
پیادهسازیشده |
متوسط - highlighted، official، deprecated، redactionApproved |
# 5. ماتریس ریسک
# 5.1 احتمال در برابر اثر
| شناسه تهدید |
احتمال |
اثر |
سطح ریسک |
اولویت |
| T-EXEC-001 |
بالا |
بحرانی |
بحرانی |
P0 |
| T-PERSIST-001 |
بالا |
بحرانی |
بحرانی |
P0 |
| T-EXFIL-003 |
متوسط |
بحرانی |
بحرانی |
P0 |
| T-IMPACT-001 |
متوسط |
بحرانی |
بالا |
P1 |
| T-EXEC-002 |
بالا |
بالا |
بالا |
P1 |
| T-EXEC-004 |
متوسط |
بالا |
بالا |
P1 |
| T-ACCESS-003 |
متوسط |
بالا |
بالا |
P1 |
| T-EXFIL-001 |
متوسط |
بالا |
بالا |
P1 |
| T-IMPACT-002 |
بالا |
متوسط |
بالا |
P1 |
| T-EVADE-001 |
بالا |
متوسط |
متوسط |
P2 |
| T-ACCESS-001 |
پایین |
بالا |
متوسط |
P2 |
| T-ACCESS-002 |
پایین |
بالا |
متوسط |
P2 |
| T-PERSIST-002 |
پایین |
بالا |
متوسط |
P2 |
# 5.2 زنجیرههای حمله مسیر بحرانی
زنجیره حمله 1: سرقت داده مبتنی بر Skill
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
زنجیره حمله 2: تزریق پرامپت به RCE
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
زنجیره حمله 3: تزریق غیرمستقیم از طریق محتوای واکشیشده
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)
# 6. خلاصه توصیهها
# 6.1 فوری (P0)
| شناسه |
توصیه |
موارد تحت پوشش |
| R-001 |
تکمیل یکپارچهسازی VirusTotal |
T-PERSIST-001, T-EVADE-001 |
| R-002 |
پیادهسازی sandboxing برای skill |
T-PERSIST-001, T-EXFIL-003 |
| R-003 |
افزودن اعتبارسنجی خروجی برای اقدامات حساس |
T-EXEC-001, T-EXEC-002 |
# 6.2 کوتاهمدت (P1)
| شناسه |
توصیه |
موارد تحت پوشش |
| R-004 |
پیادهسازی محدودسازی نرخ |
T-IMPACT-002 |
| R-005 |
افزودن رمزنگاری توکن در حالت ذخیرهشده |
T-ACCESS-003 |
| R-006 |
بهبود تجربه کاربری و اعتبارسنجی تأیید exec |
T-EXEC-004 |
| R-007 |
پیادهسازی فهرست مجاز URL برای web_fetch |
T-EXFIL-001 |
# 6.3 میانمدت (P2)
| شناسه |
توصیه |
موارد تحت پوشش |
| R-008 |
افزودن راستیآزمایی رمزنگارانه کانال در صورت امکان |
T-ACCESS-002 |
| R-009 |
پیادهسازی راستیآزمایی یکپارچگی پیکربندی |
T-PERSIST-003 |
| R-010 |
افزودن امضای بهروزرسانی و pinning نسخه |
T-PERSIST-002 |
# 7. پیوستها
# 7.1 نگاشت تکنیکهای ATLAS
| شناسه ATLAS |
نام تکنیک |
تهدیدهای OpenClaw |
| AML.T0006 |
اسکن فعال |
T-RECON-001, T-RECON-002 |
| AML.T0009 |
گردآوری |
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 |
| AML.T0010.001 |
زنجیره تأمین: نرمافزار هوش مصنوعی |
T-PERSIST-001, T-PERSIST-002 |
| AML.T0010.002 |
زنجیره تأمین: داده |
T-PERSIST-003 |
| AML.T0031 |
تضعیف یکپارچگی مدل هوش مصنوعی |
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 |
| AML.T0040 |
دسترسی به API استنتاج مدل هوش مصنوعی |
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043 |
ساخت داده خصمانه |
T-EXEC-004, T-EVADE-001, T-EVADE-002 |
| AML.T0051.000 |
تزریق پرامپت LLM: مستقیم |
T-EXEC-001, T-EXEC-003 |
| AML.T0051.001 |
تزریق پرامپت LLM: غیرمستقیم |
T-EXEC-002 |
# 7.2 فایلهای امنیتی کلیدی
| مسیر |
هدف |
سطح ریسک |
src/infra/exec-approvals.ts |
منطق تأیید فرمان |
بحرانی |
src/gateway/auth.ts |
احراز هویت Gateway |
بحرانی |
src/infra/net/ssrf.ts |
محافظت در برابر SSRF |
بحرانی |
src/security/external-content.ts |
کاهش اثر تزریق پرامپت |
بحرانی |
src/agents/sandbox/tool-policy.ts |
اعمال سیاست ابزار |
بحرانی |
src/routing/resolve-route.ts |
جداسازی نشست |
متوسط |
# 7.3 واژهنامه
| اصطلاح |
تعریف |
| ATLAS |
چشمانداز تهدیدهای خصمانه MITRE برای سامانههای هوش مصنوعی |
| ClawHub |
بازار skillهای OpenClaw |
| Gateway |
لایه مسیریابی پیام و احراز هویت OpenClaw |
| MCP |
Model Context Protocol - رابط ارائهدهنده ابزار |
| تزریق پرامپت |
حملهای که در آن دستورالعملهای مخرب در ورودی جاسازی میشوند |
| Skill |
افزونه قابل دانلود برای عاملهای OpenClaw |
| SSRF |
جعل درخواست سمت سرور |
این مدل تهدید یک سند زنده است. مسائل امنیتی را به [email protected] گزارش دهید
# مرتبط
