English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย

Security

Modello di minaccia (MITRE ATLAS)

framework MITRE ATLAS

Versione: 1.0-draft Ultimo aggiornamento: 2026-02-04 Metodologia: MITRE ATLAS + diagrammi di flusso dei dati Framework: MITRE ATLAS (panorama delle minacce avversarie per sistemi di IA)

Attribuzione del framework

Questo modello di minaccia è basato su MITRE ATLAS, il framework standard del settore per documentare le minacce avversarie ai sistemi di IA/ML. ATLAS è mantenuto da MITRE in collaborazione con la comunità della sicurezza IA.

Risorse ATLAS principali:

Contribuire a questo modello di minaccia

Questo è un documento in evoluzione mantenuto dalla comunità OpenClaw. Consulta CONTRIBUTING-THREAT-MODEL.md per le linee guida su come contribuire:

  • Segnalare nuove minacce
  • Aggiornare minacce esistenti
  • Proporre catene di attacco
  • Suggerire mitigazioni

1. Introduzione

1.1 Scopo

Questo modello di minaccia documenta le minacce avversarie alla piattaforma di agenti IA OpenClaw e al marketplace di skill ClawHub, usando il framework MITRE ATLAS progettato specificamente per sistemi di IA/ML.

1.2 Ambito

Componente Incluso Note
Runtime agente OpenClaw Esecuzione principale dell'agente, chiamate agli strumenti, sessioni
Gateway Autenticazione, instradamento, integrazione dei canali
Integrazioni dei canali WhatsApp, Telegram, Discord, Signal, Slack, ecc.
Marketplace ClawHub Pubblicazione delle skill, moderazione, distribuzione
Server MCP Provider di strumenti esterni
Dispositivi utente Parziale App mobili, client desktop

1.3 Fuori ambito

Nulla è esplicitamente fuori ambito per questo modello di minaccia.

2. Architettura del sistema

2.1 Confini di fiducia

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Flussi di dati

Flusso Origine Destinazione Dati Protezione
F1 Canale Gateway Messaggi utente TLS, AllowFrom
F2 Gateway Agente Messaggi instradati Isolamento della sessione
F3 Agente Strumenti Invocazioni degli strumenti Applicazione delle policy
F4 Agente Esterno richieste web_fetch Blocco SSRF
F5 ClawHub Agente Codice della skill Moderazione, scansione
F6 Agente Canale Risposte Filtraggio dell'output

3. Analisi delle minacce per tattica ATLAS

3.1 Ricognizione (AML.TA0002)

T-RECON-001: Individuazione degli endpoint dell'agente

Attributo Valore
ID ATLAS AML.T0006 - Scansione attiva
Descrizione L'autore dell'attacco esegue scansioni alla ricerca di endpoint gateway OpenClaw esposti
Vettore di attacco Scansione di rete, query Shodan, enumerazione DNS
Componenti interessati Gateway, endpoint API esposti
Mitigazioni attuali Opzione di autenticazione Tailscale, associazione a loopback per impostazione predefinita
Rischio residuo Medio - Gateway pubblici individuabili
Raccomandazioni Documentare la distribuzione sicura, aggiungere limitazione della frequenza sugli endpoint di individuazione

T-RECON-002: Sondaggio dell'integrazione dei canali

Attributo Valore
ID ATLAS AML.T0006 - Scansione attiva
Descrizione L'attaccante sonda i canali di messaggistica per identificare account gestiti dall'IA
Vettore di attacco Invio di messaggi di test, osservazione degli schemi di risposta
Componenti interessati Tutte le integrazioni dei canali
Mitigazioni attuali Nessuna specifica
Rischio residuo Basso - Valore limitato dalla sola scoperta
Raccomandazioni Considerare la randomizzazione dei tempi di risposta

3.2 Accesso iniziale (AML.TA0004)

T-ACCESS-001: Intercettazione del codice di abbinamento

Attributo Valore
ID ATLAS AML.T0040 - Accesso all'API di inferenza del modello IA
Descrizione L'attaccante intercetta il codice di abbinamento durante il periodo di tolleranza per l'abbinamento (1 h per l'abbinamento del canale DM, 5 min per l'abbinamento del Node)
Vettore di attacco Shoulder surfing, sniffing di rete, ingegneria sociale
Componenti interessati Sistema di abbinamento dei dispositivi
Mitigazioni attuali Scadenza di 1 h (abbinamento DM) / scadenza di 5 min (abbinamento Node), codici inviati tramite il canale esistente
Rischio residuo Medio - Periodo di tolleranza sfruttabile
Raccomandazioni Ridurre il periodo di tolleranza, aggiungere un passaggio di conferma

T-ACCESS-002: Spoofing di AllowFrom

Attributo Valore
ID ATLAS AML.T0040 - Accesso all'API di inferenza del modello IA
Descrizione L'attaccante falsifica l'identità del mittente consentito nel canale
Vettore di attacco Dipende dal canale - spoofing del numero di telefono, impersonificazione del nome utente
Componenti interessati Validazione AllowFrom per canale
Mitigazioni attuali Verifica dell'identità specifica del canale
Rischio residuo Medio - Alcuni canali sono vulnerabili allo spoofing
Raccomandazioni Documentare i rischi specifici dei canali, aggiungere verifica crittografica dove possibile

T-ACCESS-003: Furto di token

Attributo Valore
ID ATLAS AML.T0040 - Accesso all'API di inferenza del modello IA
Descrizione L'attaccante ruba token di autenticazione dai file di configurazione
Vettore di attacco Malware, accesso non autorizzato al dispositivo, esposizione dei backup di configurazione
Componenti interessati ~/.openclaw/credentials/, archiviazione della configurazione
Mitigazioni attuali Permessi dei file
Rischio residuo Alto - Token archiviati in testo normale
Raccomandazioni Implementare la crittografia dei token a riposo, aggiungere la rotazione dei token

3.3 Esecuzione (AML.TA0005)

T-EXEC-001: Iniezione diretta di prompt

Attributo Valore
ID ATLAS AML.T0051.000 - Iniezione di prompt LLM: diretta
Descrizione L'attaccante invia prompt creati ad hoc per manipolare il comportamento dell'agente
Vettore di attacco Messaggi di canale contenenti istruzioni avversarie
Componenti interessati LLM dell'agente, tutte le superfici di input
Mitigazioni attuali Rilevamento di pattern, incapsulamento del contenuto esterno
Rischio residuo Critico - Solo rilevamento, nessun blocco; gli attacchi sofisticati lo aggirano
Raccomandazioni Implementare difesa multilivello, validazione dell'output, conferma dell'utente per azioni sensibili

T-EXEC-002: Iniezione indiretta di prompt

Attributo Valore
ID ATLAS AML.T0051.001 - Iniezione di prompt LLM: indiretta
Descrizione L'attaccante incorpora istruzioni malevole nel contenuto recuperato
Vettore di attacco URL malevoli, email avvelenate, Webhook compromessi
Componenti interessati web_fetch, acquisizione email, fonti di dati esterne
Mitigazioni attuali Incapsulamento del contenuto con tag XML e avviso di sicurezza
Rischio residuo Alto - L'LLM potrebbe ignorare le istruzioni dell'incapsulamento
Raccomandazioni Implementare la sanificazione del contenuto, separare i contesti di esecuzione

T-EXEC-003: Iniezione di argomenti degli strumenti

Attributo Valore
ID ATLAS AML.T0051.000 - Iniezione di prompt LLM: diretta
Descrizione L'attaccante manipola gli argomenti degli strumenti tramite iniezione di prompt
Vettore di attacco Prompt creati ad hoc che influenzano i valori dei parametri degli strumenti
Componenti interessati Tutte le invocazioni degli strumenti
Mitigazioni attuali Approvazioni exec per comandi pericolosi
Rischio residuo Alto - Dipende dal giudizio dell'utente
Raccomandazioni Implementare la validazione degli argomenti, chiamate agli strumenti parametrizzate

T-EXEC-004: Bypass dell'approvazione exec

Attributo Valore
ID ATLAS AML.T0043 - Creazione di dati avversari
Descrizione L'attaccante crea comandi che aggirano l'elenco consentito per le approvazioni
Vettore di attacco Offuscamento dei comandi, sfruttamento di alias, manipolazione dei percorsi
Componenti interessati exec-approvals.ts, elenco consentito dei comandi
Mitigazioni attuali Elenco consentito + modalità di richiesta
Rischio residuo Alto - Nessuna sanificazione dei comandi
Raccomandazioni Implementare la normalizzazione dei comandi, espandere la blocklist

3.4 Persistenza (AML.TA0006)

T-PERSIST-001: Installazione di Skill malevola

Attributo Valore
ID ATLAS AML.T0010.001 - Compromissione della supply chain: software IA
Descrizione L'attaccante pubblica una Skill malevola su ClawHub
Vettore di attacco Creare un account, pubblicare una Skill con codice malevolo nascosto
Componenti interessati ClawHub, caricamento delle Skill, esecuzione dell'agente
Mitigazioni attuali Verifica dell'età dell'account GitHub, flag di moderazione basati su pattern
Rischio residuo Critico - Nessun sandboxing, revisione limitata
Raccomandazioni Integrazione VirusTotal (in corso), sandboxing delle Skill, revisione della community

T-PERSIST-002: Avvelenamento dell'aggiornamento della Skill

Attributo Valore
ID ATLAS AML.T0010.001 - Compromissione della supply chain: software IA
Descrizione L'attaccante compromette una Skill popolare e invia un aggiornamento malevolo
Vettore di attacco Compromissione dell'account, ingegneria sociale del proprietario della Skill
Componenti interessati Versioning di ClawHub, flussi di aggiornamento automatico
Mitigazioni attuali Fingerprinting della versione
Rischio residuo Alto - Gli aggiornamenti automatici possono recuperare versioni malevole
Raccomandazioni Implementare la firma degli aggiornamenti, capacità di rollback, pinning delle versioni

T-PERSIST-003: Manomissione della configurazione dell'agente

Attributo Valore
ID ATLAS AML.T0010.002 - Compromissione della supply chain: dati
Descrizione L'attaccante modifica la configurazione dell'agente per mantenere l'accesso
Vettore di attacco Modifica dei file di configurazione, iniezione di impostazioni
Componenti interessati Configurazione dell'agente, policy degli strumenti
Mitigazioni attuali Permessi dei file
Rischio residuo Medio - Richiede accesso locale
Raccomandazioni Verifica dell'integrità della configurazione, logging di audit per modifiche alla configurazione

3.5 Evasione della difesa (AML.TA0007)

T-EVADE-001: Bypass dei pattern di moderazione

Attributo Valore
ID ATLAS AML.T0043 - Creazione di dati avversari
Descrizione L'attaccante crea contenuto della Skill per eludere i pattern di moderazione
Vettore di attacco Omoglifi Unicode, trucchi di codifica, caricamento dinamico
Componenti interessati moderation.ts di ClawHub
Mitigazioni attuali FLAG_RULES basate su pattern
Rischio residuo Alto - Regex semplici facilmente aggirabili
Raccomandazioni Aggiungere analisi comportamentale (VirusTotal Code Insight), rilevamento basato su AST

T-EVADE-002: Escape dall'incapsulamento del contenuto

Attributo Valore
ID ATLAS AML.T0043 - Creazione di dati avversari
Descrizione L'attaccante crea contenuti che escono dal contesto del wrapper XML
Vettore di attacco Manipolazione dei tag, confusione del contesto, sovrascrittura delle istruzioni
Componenti interessati Wrapping del contenuto esterno
Mitigazioni attuali Tag XML + avviso di sicurezza
Rischio residuo Medio - Nuove evasioni vengono scoperte regolarmente
Raccomandazioni Più livelli di wrapper, validazione lato output

3.6 Discovery (AML.TA0008)

T-DISC-001: Enumerazione degli strumenti

Attributo Valore
ID ATLAS AML.T0040 - Accesso all'API di inferenza del modello AI
Descrizione L'attaccante enumera gli strumenti disponibili tramite prompt
Vettore di attacco Query in stile "Quali strumenti hai?"
Componenti interessati Registro degli strumenti dell'agente
Mitigazioni attuali Nessuna specifica
Rischio residuo Basso - Gli strumenti sono generalmente documentati
Raccomandazioni Considerare controlli sulla visibilità degli strumenti

T-DISC-002: Estrazione dei dati di sessione

Attributo Valore
ID ATLAS AML.T0040 - Accesso all'API di inferenza del modello AI
Descrizione L'attaccante estrae dati sensibili dal contesto della sessione
Vettore di attacco Query "Di cosa abbiamo discusso?", sondaggio del contesto
Componenti interessati Trascrizioni di sessione, finestra di contesto
Mitigazioni attuali Isolamento della sessione per mittente
Rischio residuo Medio - I dati all'interno della sessione sono accessibili
Raccomandazioni Implementare la redazione dei dati sensibili nel contesto

3.7 Raccolta ed esfiltrazione (AML.TA0009, AML.TA0010)

T-EXFIL-001: Furto di dati tramite web_fetch

Attributo Valore
ID ATLAS AML.T0009 - Raccolta
Descrizione L'attaccante esfiltra dati istruendo l'agente a inviarli a un URL esterno
Vettore di attacco Prompt injection che induce l'agente a inviare dati con POST al server dell'attaccante
Componenti interessati Strumento web_fetch
Mitigazioni attuali Blocco SSRF per reti interne
Rischio residuo Alto - Gli URL esterni sono consentiti
Raccomandazioni Implementare allowlist degli URL e consapevolezza della classificazione dei dati

T-EXFIL-002: Invio non autorizzato di messaggi

Attributo Valore
ID ATLAS AML.T0009 - Raccolta
Descrizione L'attaccante induce l'agente a inviare messaggi contenenti dati sensibili
Vettore di attacco Prompt injection che induce l'agente a inviare un messaggio all'attaccante
Componenti interessati Strumento di messaggistica, integrazioni dei canali
Mitigazioni attuali Controllo dell'invio di messaggi in uscita
Rischio residuo Medio - Il controllo può essere aggirato
Raccomandazioni Richiedere conferma esplicita per nuovi destinatari

T-EXFIL-003: Raccolta di credenziali

Attributo Valore
ID ATLAS AML.T0009 - Raccolta
Descrizione Una skill malevola raccoglie credenziali dal contesto dell'agente
Vettore di attacco Il codice della skill legge variabili d'ambiente e file di configurazione
Componenti interessati Ambiente di esecuzione delle skill
Mitigazioni attuali Nessuna specifica per le skill
Rischio residuo Critico - Le skill vengono eseguite con i privilegi dell'agente
Raccomandazioni Sandboxing delle skill, isolamento delle credenziali

3.8 Impatto (AML.TA0011)

T-IMPACT-001: Esecuzione non autorizzata di comandi

Attributo Valore
ID ATLAS AML.T0031 - Erosione dell'integrità del modello AI
Descrizione L'attaccante esegue comandi arbitrari sul sistema dell'utente
Vettore di attacco Prompt injection combinata con bypass dell'approvazione exec
Componenti interessati Strumento Bash, esecuzione di comandi
Mitigazioni attuali Approvazioni exec, opzione sandbox Docker
Rischio residuo Critico - Esecuzione sull'host senza sandbox
Raccomandazioni Usare la sandbox come impostazione predefinita, migliorare la UX di approvazione

T-IMPACT-002: Esaurimento delle risorse (DoS)

Attributo Valore
ID ATLAS AML.T0031 - Erosione dell'integrità del modello AI
Descrizione L'attaccante esaurisce crediti API o risorse di calcolo
Vettore di attacco Flooding automatizzato di messaggi, chiamate a strumenti costose
Componenti interessati Gateway, sessioni agente, provider API
Mitigazioni attuali Nessuna
Rischio residuo Alto - Nessun rate limiting
Raccomandazioni Implementare limiti di frequenza per mittente e budget di costo

T-IMPACT-003: Danno reputazionale

Attributo Valore
ID ATLAS AML.T0031 - Erosione dell'integrità del modello AI
Descrizione L'attaccante induce l'agente a inviare contenuti dannosi/offensivi
Vettore di attacco Prompt injection che provoca risposte inappropriate
Componenti interessati Generazione dell'output, messaggistica del canale
Mitigazioni attuali Policy sui contenuti del provider LLM
Rischio residuo Medio - I filtri del provider sono imperfetti
Raccomandazioni Livello di filtraggio dell'output, controlli utente

4. Analisi della supply chain di ClawHub

4.1 Controlli di sicurezza attuali

Controllo Implementazione Efficacia
Età dell'account GitHub requireGitHubAccountAge() Media - Alza la barriera per i nuovi attaccanti
Sanitizzazione dei percorsi sanitizePath() Alta - Previene il path traversal
Validazione del tipo di file isTextFile() Media - Solo file di testo, ma possono comunque essere malevoli
Limiti di dimensione Bundle totale di 50 MB Alta - Previene l'esaurimento delle risorse
SKILL.md richiesto Readme obbligatorio Basso valore di sicurezza - Solo informativo
Moderazione dei pattern FLAG_RULES in moderation.ts Bassa - Facilmente aggirabile
Stato della moderazione Campo moderationStatus Media - Revisione manuale possibile

4.2 Pattern dei flag di moderazione

Pattern attuali in moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Limitazioni:

  • Controlla solo slug, displayName, riepilogo, frontmatter, metadati e percorsi dei file
  • Non analizza il contenuto effettivo del codice della skill
  • Le regex semplici sono facilmente aggirabili con offuscamento
  • Nessuna analisi comportamentale

4.3 Miglioramenti pianificati

Miglioramento Stato Impatto
Integrazione VirusTotal In corso Alto - Analisi comportamentale di Code Insight
Segnalazioni della community Parziale (la tabella skillReports esiste) Medio
Logging di audit Parziale (la tabella auditLogs esiste) Medio
Sistema di badge Implementato Medio - highlighted, official, deprecated, redactionApproved

5. Matrice del rischio

5.1 Probabilità vs impatto

ID minaccia Probabilità Impatto Livello di rischio Priorità
T-EXEC-001 Alta Critico Critico P0
T-PERSIST-001 Alta Critico Critico P0
T-EXFIL-003 Media Critico Critico P0
T-IMPACT-001 Media Critico Alto P1
T-EXEC-002 Alta Alto Alto P1
T-EXEC-004 Media Alto Alto P1
T-ACCESS-003 Media Alto Alto P1
T-EXFIL-001 Media Alto Alto P1
T-IMPACT-002 Alta Medio Alto P1
T-EVADE-001 Alta Medio Medio P2
T-ACCESS-001 Bassa Alto Medio P2
T-ACCESS-002 Bassa Alto Medio P2
T-PERSIST-002 Bassa Alto Medio P2

5.2 Catene di attacco critiche

Catena di attacco 1: furto di dati basato su skill

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Pubblica una skill malevola) → (Elude la moderazione) → (Raccoglie credenziali)

Catena di attacco 2: prompt injection verso RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inietta prompt) → (Aggira l'approvazione exec) → (Esegue comandi)

Catena di attacco 3: iniezione indiretta tramite contenuto recuperato

T-EXEC-002 → T-EXFIL-001 → Esfiltrazione esterna
(Avvelena il contenuto dell'URL) → (L'agente recupera e segue le istruzioni) → (Dati inviati all'attaccante)

6. Riepilogo delle raccomandazioni

6.1 Immediate (P0)

ID Raccomandazione Affronta
R-001 Completare l'integrazione con VirusTotal T-PERSIST-001, T-EVADE-001
R-002 Implementare il sandboxing delle Skill T-PERSIST-001, T-EXFIL-003
R-003 Aggiungere la validazione dell'output per le azioni sensibili T-EXEC-001, T-EXEC-002

6.2 Breve termine (P1)

ID Raccomandazione Affronta
R-004 Implementare il rate limiting T-IMPACT-002
R-005 Aggiungere la crittografia dei token a riposo T-ACCESS-003
R-006 Migliorare la UX e la validazione dell'approvazione di exec T-EXEC-004
R-007 Implementare l'elenco di URL consentiti per web_fetch T-EXFIL-001

6.3 Medio termine (P2)

ID Raccomandazione Affronta
R-008 Aggiungere la verifica crittografica dei canali ove possibile T-ACCESS-002
R-009 Implementare la verifica dell'integrità della configurazione T-PERSIST-003
R-010 Aggiungere la firma degli aggiornamenti e il blocco della versione T-PERSIST-002

7. Appendici

7.1 Mappatura delle tecniche ATLAS

ID ATLAS Nome della tecnica Minacce OpenClaw
AML.T0006 Scansione attiva T-RECON-001, T-RECON-002
AML.T0009 Raccolta T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001 Catena di fornitura: software IA T-PERSIST-001, T-PERSIST-002
AML.T0010.002 Catena di fornitura: dati T-PERSIST-003
AML.T0031 Erosione dell'integrità del modello IA T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040 Accesso all'API di inferenza del modello IA T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043 Creazione di dati avversariali T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000 Prompt Injection LLM: diretta T-EXEC-001, T-EXEC-003
AML.T0051.001 Prompt Injection LLM: indiretta T-EXEC-002

7.2 File di sicurezza chiave

Percorso Scopo Livello di rischio
src/infra/exec-approvals.ts Logica di approvazione dei comandi Critico
src/gateway/auth.ts Autenticazione del Gateway Critico
src/infra/net/ssrf.ts Protezione SSRF Critico
src/security/external-content.ts Mitigazione della Prompt Injection Critico
src/agents/sandbox/tool-policy.ts Applicazione della policy degli strumenti Critico
src/routing/resolve-route.ts Isolamento della sessione Medio

7.3 Glossario

Termine Definizione
ATLAS Adversarial Threat Landscape for AI Systems di MITRE
ClawHub Marketplace di Skill di OpenClaw
Gateway Livello di instradamento dei messaggi e autenticazione di OpenClaw
MCP Model Context Protocol - interfaccia per provider di strumenti
Prompt Injection Attacco in cui istruzioni dannose vengono incorporate nell'input
Skill Estensione scaricabile per gli agenti OpenClaw
SSRF Server-Side Request Forgery

Questo modello delle minacce è un documento vivo. Segnala i problemi di sicurezza a [email protected]

Correlati