English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย

Security

Modèle de menace (MITRE ATLAS)

Cadre MITRE ATLAS

Version : 1.0-brouillon Dernière mise à jour : 2026-02-04 Méthodologie : MITRE ATLAS + diagrammes de flux de données Cadre : MITRE ATLAS (paysage des menaces adversariales pour les systèmes d’IA)

Attribution du cadre

Ce modèle de menace s’appuie sur MITRE ATLAS, le cadre de référence du secteur pour documenter les menaces adversariales visant les systèmes d’IA/ML. ATLAS est maintenu par MITRE en collaboration avec la communauté de la sécurité de l’IA.

Ressources ATLAS clés :

Contribuer à ce modèle de menace

Il s’agit d’un document évolutif maintenu par la communauté OpenClaw. Consultez CONTRIBUTING-THREAT-MODEL.md pour les consignes de contribution :

  • Signaler de nouvelles menaces
  • Mettre à jour les menaces existantes
  • Proposer des chaînes d’attaque
  • Suggérer des mesures d’atténuation

1. Introduction

1.1 Objectif

Ce modèle de menace documente les menaces adversariales visant la plateforme d’agent IA OpenClaw et le marché de Skills ClawHub, à l’aide du cadre MITRE ATLAS conçu spécifiquement pour les systèmes d’IA/ML.

1.2 Périmètre

Composant Inclus Notes
Environnement d’exécution de l’agent OpenClaw Oui Exécution principale de l’agent, appels d’outils, sessions
Gateway Oui Authentification, routage, intégration des canaux
Intégrations de canaux Oui WhatsApp, Telegram, Discord, Signal, Slack, etc.
Marché ClawHub Oui Publication, modération, distribution des Skills
Serveurs MCP Oui Fournisseurs d’outils externes
Appareils utilisateur Partiel Applications mobiles, clients de bureau

1.3 Hors périmètre

Rien n’est explicitement hors périmètre pour ce modèle de menace.

2. Architecture du système

2.1 Limites de confiance

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Flux de données

Flux Source Destination Données Protection
F1 Canal Gateway Messages utilisateur TLS, AllowFrom
F2 Gateway Agent Messages routés Isolation de session
F3 Agent Outils Appels d’outils Application des politiques
F4 Agent Externe Requêtes web_fetch Blocage SSRF
F5 ClawHub Agent Code des Skills Modération, analyse
F6 Agent Canal Réponses Filtrage de sortie

3. Analyse des menaces par tactique ATLAS

3.1 Reconnaissance (AML.TA0002)

T-RECON-001 : Découverte des points de terminaison d’agent

Attribut Valeur
ID ATLAS AML.T0006 - Analyse active
Description Un attaquant recherche les points de terminaison Gateway OpenClaw exposés
Vecteur d’attaque Analyse réseau, requêtes Shodan, énumération DNS
Composants affectés Gateway, points de terminaison d’API exposés
Mesures d’atténuation actuelles Option d’authentification Tailscale, liaison à loopback par défaut
Risque résiduel Moyen - Les gateways publics sont découvrables
Recommandations Documenter le déploiement sécurisé, ajouter une limitation de débit sur les points de terminaison de découverte

T-RECON-002 : Sondage des intégrations de canaux

Attribut Valeur
ID ATLAS AML.T0006 - Analyse active
Description L’attaquant sonde les canaux de messagerie pour identifier les comptes gérés par l’IA
Vecteur d’attaque Envoi de messages de test, observation des schémas de réponse
Composants affectés Toutes les intégrations de canaux
Atténuations actuelles Aucune spécifique
Risque résiduel Faible - Valeur limitée de la découverte seule
Recommandations Envisager une randomisation du délai de réponse

3.2 Accès initial (AML.TA0004)

T-ACCESS-001 : Interception du code d’appairage

Attribut Valeur
ID ATLAS AML.T0040 - Accès à l’API d’inférence du modèle d’IA
Description L’attaquant intercepte le code d’appairage pendant la période de grâce d’appairage (1 h pour l’appairage de canal DM, 5 min pour l’appairage de node)
Vecteur d’attaque Observation par-dessus l’épaule, sniffing réseau, ingénierie sociale
Composants affectés Système d’appairage des appareils
Atténuations actuelles Expiration 1 h (appairage DM) / expiration 5 min (appairage de node), codes envoyés via le canal existant
Risque résiduel Moyen - Période de grâce exploitable
Recommandations Réduire la période de grâce, ajouter une étape de confirmation

T-ACCESS-002 : Usurpation AllowFrom

Attribut Valeur
ID ATLAS AML.T0040 - Accès à l’API d’inférence du modèle d’IA
Description L’attaquant usurpe l’identité d’un expéditeur autorisé dans le canal
Vecteur d’attaque Dépend du canal - usurpation de numéro de téléphone, usurpation de nom d’utilisateur
Composants affectés Validation AllowFrom par canal
Atténuations actuelles Vérification d’identité propre au canal
Risque résiduel Moyen - Certains canaux sont vulnérables à l’usurpation
Recommandations Documenter les risques propres aux canaux, ajouter une vérification cryptographique lorsque c’est possible

T-ACCESS-003 : Vol de jetons

Attribut Valeur
ID ATLAS AML.T0040 - Accès à l’API d’inférence du modèle d’IA
Description L’attaquant vole des jetons d’authentification depuis les fichiers de configuration
Vecteur d’attaque Malware, accès non autorisé à l’appareil, exposition de sauvegarde de configuration
Composants affectés ~/.openclaw/credentials/, stockage de configuration
Atténuations actuelles Permissions de fichier
Risque résiduel Élevé - Jetons stockés en texte clair
Recommandations Mettre en œuvre le chiffrement des jetons au repos, ajouter la rotation des jetons

3.3 Exécution (AML.TA0005)

T-EXEC-001 : Injection directe de prompt

Attribut Valeur
ID ATLAS AML.T0051.000 - Injection de prompt LLM : directe
Description L’attaquant envoie des prompts conçus pour manipuler le comportement de l’agent
Vecteur d’attaque Messages de canal contenant des instructions adversariales
Composants affectés LLM de l’agent, toutes les surfaces d’entrée
Atténuations actuelles Détection de motifs, encapsulation du contenu externe
Risque résiduel Critique - Détection uniquement, aucun blocage ; les attaques sophistiquées la contournent
Recommandations Mettre en œuvre une défense multicouche, la validation des sorties, la confirmation utilisateur pour les actions sensibles

T-EXEC-002 : Injection indirecte de prompt

Attribut Valeur
ID ATLAS AML.T0051.001 - Injection de prompt LLM : indirecte
Description L’attaquant intègre des instructions malveillantes dans du contenu récupéré
Vecteur d’attaque URL malveillantes, e-mails empoisonnés, webhooks compromis
Composants affectés web_fetch, ingestion d’e-mails, sources de données externes
Atténuations actuelles Encapsulation du contenu avec des balises XML et un avis de sécurité
Risque résiduel Élevé - Le LLM peut ignorer les instructions d’encapsulation
Recommandations Mettre en œuvre la sanitisation du contenu, séparer les contextes d’exécution

T-EXEC-003 : Injection d’arguments d’outil

Attribut Valeur
ID ATLAS AML.T0051.000 - Injection de prompt LLM : directe
Description L’attaquant manipule les arguments d’outil par injection de prompt
Vecteur d’attaque Prompts conçus qui influencent les valeurs des paramètres d’outil
Composants affectés Tous les appels d’outils
Atténuations actuelles Approbations exec pour les commandes dangereuses
Risque résiduel Élevé - Dépend du jugement de l’utilisateur
Recommandations Mettre en œuvre la validation des arguments, des appels d’outils paramétrés

T-EXEC-004 : Contournement de l’approbation exec

Attribut Valeur
ID ATLAS AML.T0043 - Création de données adversariales
Description L’attaquant conçoit des commandes qui contournent la liste d’autorisation des approbations
Vecteur d’attaque Obfuscation de commande, exploitation d’alias, manipulation de chemins
Composants affectés exec-approvals.ts, liste d’autorisation des commandes
Atténuations actuelles Liste d’autorisation + mode demande
Risque résiduel Élevé - Aucune sanitisation des commandes
Recommandations Mettre en œuvre la normalisation des commandes, étendre la liste de blocage

3.4 Persistance (AML.TA0006)

T-PERSIST-001 : Installation de Skill malveillant

Attribut Valeur
ID ATLAS AML.T0010.001 - Compromission de la chaîne d’approvisionnement : logiciel d’IA
Description L’attaquant publie un Skill malveillant sur ClawHub
Vecteur d’attaque Créer un compte, publier un Skill avec du code malveillant caché
Composants affectés ClawHub, chargement de Skill, exécution de l’agent
Atténuations actuelles Vérification de l’âge du compte GitHub, indicateurs de modération basés sur des motifs
Risque résiduel Critique - Pas de sandboxing, examen limité
Recommandations Intégration VirusTotal (en cours), sandboxing des Skills, revue communautaire

T-PERSIST-002 : Empoisonnement de mise à jour de Skill

Attribut Valeur
ID ATLAS AML.T0010.001 - Compromission de la chaîne d’approvisionnement : logiciel d’IA
Description L’attaquant compromet un Skill populaire et pousse une mise à jour malveillante
Vecteur d’attaque Compromission de compte, ingénierie sociale du propriétaire du Skill
Composants affectés Versionnement ClawHub, flux de mise à jour automatique
Atténuations actuelles Empreinte de version
Risque résiduel Élevé - Les mises à jour automatiques peuvent récupérer des versions malveillantes
Recommandations Mettre en œuvre la signature des mises à jour, la capacité de restauration, l’épinglage de version

T-PERSIST-003 : Altération de la configuration de l’agent

Attribut Valeur
ID ATLAS AML.T0010.002 - Compromission de la chaîne d’approvisionnement : données
Description L’attaquant modifie la configuration de l’agent pour maintenir l’accès
Vecteur d’attaque Modification du fichier de configuration, injection de paramètres
Composants affectés Configuration de l’agent, politiques d’outils
Atténuations actuelles Permissions de fichier
Risque résiduel Moyen - Nécessite un accès local
Recommandations Vérification de l’intégrité de la configuration, journalisation d’audit des modifications de configuration

3.5 Évasion de défense (AML.TA0007)

T-EVADE-001 : Contournement des motifs de modération

Attribut Valeur
ID ATLAS AML.T0043 - Création de données adversariales
Description L’attaquant conçoit du contenu de Skill pour échapper aux motifs de modération
Vecteur d’attaque Homoglyphes Unicode, astuces d’encodage, chargement dynamique
Composants affectés ClawHub moderation.ts
Atténuations actuelles FLAG_RULES basées sur des motifs
Risque résiduel Élevé - Regex simples facilement contournées
Recommandations Ajouter une analyse comportementale (VirusTotal Code Insight), une détection basée sur AST

T-EVADE-002 : Échappement de l’encapsulation de contenu

Attribut Valeur
ID ATLAS AML.T0043 - Créer des données adversariales
Description L’attaquant crée du contenu qui sort du contexte d’enveloppe XML
Vecteur d’attaque Manipulation de balises, confusion de contexte, remplacement d’instructions
Composants affectés Encapsulation de contenu externe
Atténuations actuelles Balises XML + avis de sécurité
Risque résiduel Moyen - De nouvelles échappatoires sont découvertes régulièrement
Recommandations Plusieurs couches d’encapsulation, validation côté sortie

3.6 Découverte (AML.TA0008)

T-DISC-001 : Énumération des outils

Attribut Valeur
ID ATLAS AML.T0040 - Accès à l’API d’inférence de modèle d’IA
Description L’attaquant énumère les outils disponibles par prompt
Vecteur d’attaque Requêtes du type « Quels outils as-tu ? »
Composants affectés Registre des outils de l’agent
Atténuations actuelles Aucune spécifique
Risque résiduel Faible - Les outils sont généralement documentés
Recommandations Envisager des contrôles de visibilité des outils

T-DISC-002 : Extraction des données de session

Attribut Valeur
ID ATLAS AML.T0040 - Accès à l’API d’inférence de modèle d’IA
Description L’attaquant extrait des données sensibles du contexte de session
Vecteur d’attaque Requêtes « De quoi avons-nous discuté ? », sondage du contexte
Composants affectés Transcriptions de session, fenêtre de contexte
Atténuations actuelles Isolation de session par expéditeur
Risque résiduel Moyen - Les données intra-session sont accessibles
Recommandations Implémenter la censure des données sensibles dans le contexte

3.7 Collecte et exfiltration (AML.TA0009, AML.TA0010)

T-EXFIL-001 : Vol de données via web_fetch

Attribut Valeur
ID ATLAS AML.T0009 - Collecte
Description L’attaquant exfiltre des données en demandant à l’agent de les envoyer à une URL externe
Vecteur d’attaque Injection de prompt amenant l’agent à envoyer des données par POST au serveur de l’attaquant
Composants affectés Outil web_fetch
Atténuations actuelles Blocage SSRF pour les réseaux internes
Risque résiduel Élevé - Les URL externes sont autorisées
Recommandations Implémenter une liste d’URL autorisées, sensibilisation à la classification des données

T-EXFIL-002 : Envoi de messages non autorisé

Attribut Valeur
ID ATLAS AML.T0009 - Collecte
Description L’attaquant amène l’agent à envoyer des messages contenant des données sensibles
Vecteur d’attaque Injection de prompt amenant l’agent à envoyer un message à l’attaquant
Composants affectés Outil de messagerie, intégrations de canaux
Atténuations actuelles Contrôle des messages sortants
Risque résiduel Moyen - Le contrôle peut être contourné
Recommandations Exiger une confirmation explicite pour les nouveaux destinataires

T-EXFIL-003 : Collecte d’identifiants

Attribut Valeur
ID ATLAS AML.T0009 - Collecte
Description Une skill malveillante collecte des identifiants depuis le contexte de l’agent
Vecteur d’attaque Le code de la skill lit des variables d’environnement et des fichiers de configuration
Composants affectés Environnement d’exécution des skills
Atténuations actuelles Aucune spécifique aux skills
Risque résiduel Critique - Les Skills s’exécutent avec les privilèges de l’agent
Recommandations Cloisonnement des skills, isolation des identifiants

3.8 Impact (AML.TA0011)

T-IMPACT-001 : Exécution de commandes non autorisée

Attribut Valeur
ID ATLAS AML.T0031 - Éroder l’intégrité du modèle d’IA
Description L’attaquant exécute des commandes arbitraires sur le système de l’utilisateur
Vecteur d’attaque Injection de prompt combinée à un contournement d’approbation exec
Composants affectés Outil Bash, exécution de commandes
Atténuations actuelles Approbations exec, option de bac à sable Docker
Risque résiduel Critique - Exécution sur l’hôte sans bac à sable
Recommandations Utiliser le bac à sable par défaut, améliorer l’UX d’approbation

T-IMPACT-002 : Épuisement des ressources (DoS)

Attribut Valeur
ID ATLAS AML.T0031 - Éroder l’intégrité du modèle d’IA
Description L’attaquant épuise les crédits d’API ou les ressources de calcul
Vecteur d’attaque Inondation automatisée de messages, appels d’outils coûteux
Composants affectés Gateway, sessions d’agent, fournisseur d’API
Atténuations actuelles Aucune
Risque résiduel Élevé - Aucune limitation de débit
Recommandations Implémenter des limites de débit par expéditeur et des budgets de coût

T-IMPACT-003 : Atteinte à la réputation

Attribut Valeur
ID ATLAS AML.T0031 - Éroder l’intégrité du modèle d’IA
Description L’attaquant amène l’agent à envoyer du contenu nuisible ou offensant
Vecteur d’attaque Injection de prompt provoquant des réponses inappropriées
Composants affectés Génération de sortie, messagerie de canal
Atténuations actuelles Politiques de contenu du fournisseur de LLM
Risque résiduel Moyen - Les filtres du fournisseur sont imparfaits
Recommandations Couche de filtrage de sortie, contrôles utilisateur

4. Analyse de la chaîne d’approvisionnement ClawHub

4.1 Contrôles de sécurité actuels

Contrôle Implémentation Efficacité
Âge du compte GitHub requireGitHubAccountAge() Moyen - Élève le niveau requis pour les nouveaux attaquants
Nettoyage des chemins sanitizePath() Élevée - Empêche la traversée de chemins
Validation du type de fichier isTextFile() Moyenne - Fichiers texte uniquement, mais ils peuvent tout de même être malveillants
Limites de taille Bundle total de 50 Mo Élevée - Empêche l’épuisement des ressources
SKILL.md requis README obligatoire Faible valeur de sécurité - Informatif uniquement
Modération par motifs FLAG_RULES dans moderation.ts Faible - Facilement contournée
État de modération Champ moderationStatus Moyen - Revue manuelle possible

4.2 Motifs d’indicateurs de modération

Motifs actuels dans moderation.ts :

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Limites :

  • Vérifie uniquement le slug, displayName, le résumé, le frontmatter, les métadonnées et les chemins de fichiers
  • N’analyse pas le contenu réel du code de la skill
  • Regex simple, facilement contournée par obfuscation
  • Aucune analyse comportementale

4.3 Améliorations prévues

Amélioration État Impact
Intégration VirusTotal En cours Élevé - Analyse comportementale Code Insight
Signalement communautaire Partiel (la table skillReports existe) Moyen
Journalisation d’audit Partielle (la table auditLogs existe) Moyen
Système de badges Implémenté Moyen - highlighted, official, deprecated, redactionApproved

5. Matrice des risques

5.1 Probabilité vs impact

ID de menace Probabilité Impact Niveau de risque Priorité
T-EXEC-001 Élevée Critique Critique P0
T-PERSIST-001 Élevée Critique Critique P0
T-EXFIL-003 Moyenne Critique Critique P0
T-IMPACT-001 Moyenne Critique Élevé P1
T-EXEC-002 Élevée Élevé Élevé P1
T-EXEC-004 Moyenne Élevé Élevé P1
T-ACCESS-003 Moyenne Élevé Élevé P1
T-EXFIL-001 Moyenne Élevé Élevé P1
T-IMPACT-002 Élevée Moyen Élevé P1
T-EVADE-001 Élevée Moyen Moyen P2
T-ACCESS-001 Faible Élevé Moyen P2
T-ACCESS-002 Faible Élevé Moyen P2
T-PERSIST-002 Faible Élevé Moyen P2

5.2 Chaînes d’attaque du chemin critique

Chaîne d’attaque 1 : vol de données basé sur une skill

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Chaîne d’attaque 2 : injection de prompt vers RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Chaîne d’attaque 3 : injection indirecte via contenu récupéré

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Résumé des recommandations

6.1 Immédiat (P0)

ID Recommandation Traite
R-001 Terminer l’intégration VirusTotal T-PERSIST-001, T-EVADE-001
R-002 Mettre en œuvre l’isolation des Skills T-PERSIST-001, T-EXFIL-003
R-003 Ajouter une validation de sortie pour les actions sensibles T-EXEC-001, T-EXEC-002

6.2 Court terme (P1)

ID Recommandation Traite
R-004 Mettre en œuvre la limitation de débit T-IMPACT-002
R-005 Ajouter le chiffrement des jetons au repos T-ACCESS-003
R-006 Améliorer l’UX et la validation de l’approbation exec T-EXEC-004
R-007 Mettre en œuvre une liste d’autorisation d’URL pour web_fetch T-EXFIL-001

6.3 Moyen terme (P2)

ID Recommandation Traite
R-008 Ajouter une vérification cryptographique des canaux lorsque possible T-ACCESS-002
R-009 Mettre en œuvre la vérification de l’intégrité de la configuration T-PERSIST-003
R-010 Ajouter la signature des mises à jour et l’épinglage des versions T-PERSIST-002

7. Annexes

7.1 Correspondance des techniques ATLAS

ID ATLAS Nom de la technique Menaces OpenClaw
AML.T0006 Analyse active T-RECON-001, T-RECON-002
AML.T0009 Collecte T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001 Chaîne d’approvisionnement : logiciel d’IA T-PERSIST-001, T-PERSIST-002
AML.T0010.002 Chaîne d’approvisionnement : données T-PERSIST-003
AML.T0031 Éroder l’intégrité du modèle d’IA T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040 Accès à l’API d’inférence du modèle d’IA T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043 Créer des données adversariales T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000 Injection de prompt LLM : directe T-EXEC-001, T-EXEC-003
AML.T0051.001 Injection de prompt LLM : indirecte T-EXEC-002

7.2 Fichiers de sécurité clés

Chemin Objectif Niveau de risque
src/infra/exec-approvals.ts Logique d’approbation des commandes Critique
src/gateway/auth.ts Authentification du Gateway Critique
src/infra/net/ssrf.ts Protection SSRF Critique
src/security/external-content.ts Atténuation de l’injection de prompt Critique
src/agents/sandbox/tool-policy.ts Application de la politique des outils Critique
src/routing/resolve-route.ts Isolation des sessions Moyen

7.3 Glossaire

Terme Définition
ATLAS Paysage des menaces adversariales de MITRE pour les systèmes d’IA
ClawHub Marketplace de Skills d’OpenClaw
Gateway Couche de routage des messages et d’authentification d’OpenClaw
MCP Model Context Protocol - interface de fournisseur d’outils
Prompt Injection Attaque où des instructions malveillantes sont intégrées dans l’entrée
Skill Extension téléchargeable pour les agents OpenClaw
SSRF Server-Side Request Forgery

Ce modèle de menace est un document vivant. Signalez les problèmes de sécurité à [email protected]

Associé