Security
脅威モデル (MITRE ATLAS)
# MITRE ATLAS フレームワーク
バージョン: 1.0-draft
最終更新: 2026-02-04
方法論: MITRE ATLAS + データフロー図
フレームワーク: MITRE ATLAS (AI システム向け敵対的脅威ランドスケープ)
# フレームワークの帰属
この脅威モデルは、AI/ML システムに対する敵対的脅威を文書化するための業界標準フレームワークである MITRE ATLAS を基に構築されています。ATLAS は、AI セキュリティコミュニティと協力して MITRE が保守しています。
主要な ATLAS リソース:
# この脅威モデルへのコントリビュート
これは OpenClaw コミュニティが保守する生きたドキュメントです。コントリビュートのガイドラインについては、CONTRIBUTING-THREAT-MODEL.md を参照してください。
- 新しい脅威の報告
- 既存の脅威の更新
- 攻撃チェーンの提案
- 緩和策の提案
# 1. はじめに
# 1.1 目的
この脅威モデルは、AI/ML システム専用に設計された MITRE ATLAS フレームワークを使用して、OpenClaw AI エージェントプラットフォームおよび ClawHub スキルマーケットプレイスに対する敵対的脅威を文書化します。
# 1.2 スコープ
| コンポーネント |
含まれる |
注記 |
| OpenClaw エージェントランタイム |
はい |
コアエージェント実行、ツール呼び出し、セッション |
| Gateway |
はい |
認証、ルーティング、チャネル連携 |
| チャネル連携 |
はい |
WhatsApp, Telegram, Discord, Signal, Slack など |
| ClawHub マーケットプレイス |
はい |
スキルの公開、モデレーション、配布 |
| MCP サーバー |
はい |
外部ツールプロバイダー |
| ユーザーデバイス |
一部 |
モバイルアプリ、デスクトップクライアント |
# 1.3 スコープ外
この脅威モデルで明示的にスコープ外とされているものはありません。
# 2. システムアーキテクチャ
# 2.1 信頼境界
┌─────────────────────────────────────────────────────────────────┐
│ UNTRUSTED ZONE │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ WhatsApp │ │ Telegram │ │ Discord │ ... │
│ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │
│ │ │ │ │
└─────────┼────────────────┼────────────────┼──────────────────────┘
│ │ │
▼ ▼ ▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 1: Channel Access │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ GATEWAY │ │
│ │ • Device Pairing (1h DM / 5m node grace period) │ │
│ │ • AllowFrom / AllowList validation │ │
│ │ • Token/Password/Tailscale auth │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 2: Session Isolation │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ AGENT SESSIONS │ │
│ │ • Session key = agent:channel:peer │ │
│ │ • Tool policies per agent │ │
│ │ • Transcript logging │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 3: Tool Execution │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ EXECUTION SANDBOX │ │
│ │ • Docker sandbox OR Host (exec-approvals) │ │
│ │ • Node remote execution │ │
│ │ • SSRF protection (DNS pinning + IP blocking) │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 4: External Content │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ FETCHED URLs / EMAILS / WEBHOOKS │ │
│ │ • External content wrapping (XML tags) │ │
│ │ • Security notice injection │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 5: Supply Chain │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ CLAWHUB │ │
│ │ • Skill publishing (semver, SKILL.md required) │ │
│ │ • Pattern-based moderation flags │ │
│ │ • VirusTotal scanning (coming soon) │ │
│ │ • GitHub account age verification │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
# 2.2 データフロー
| フロー |
ソース |
宛先 |
データ |
保護 |
| F1 |
チャネル |
Gateway |
ユーザーメッセージ |
TLS, AllowFrom |
| F2 |
Gateway |
エージェント |
ルーティングされたメッセージ |
セッション分離 |
| F3 |
エージェント |
ツール |
ツール呼び出し |
ポリシー適用 |
| F4 |
エージェント |
外部 |
web_fetch リクエスト |
SSRF ブロック |
| F5 |
ClawHub |
エージェント |
スキルコード |
モデレーション、スキャン |
| F6 |
エージェント |
チャネル |
応答 |
出力フィルタリング |
# 3. ATLAS 戦術別の脅威分析
# 3.1 偵察 (AML.TA0002)
# T-RECON-001: エージェントエンドポイントの検出
| 属性 |
値 |
| ATLAS ID |
AML.T0006 - アクティブスキャン |
| 説明 |
攻撃者が公開された OpenClaw gateway エンドポイントをスキャンする |
| 攻撃ベクトル |
ネットワークスキャン、shodan クエリ、DNS 列挙 |
| 影響を受けるコンポーネント |
Gateway、公開 API エンドポイント |
| 現在の緩和策 |
Tailscale 認証オプション、デフォルトでループバックにバインド |
| 残余リスク |
中 - 公開 gateway は検出可能 |
| 推奨事項 |
安全なデプロイを文書化し、検出エンドポイントにレート制限を追加する |
# T-RECON-002: チャネル連携のプロービング
| 属性 |
値 |
| ATLAS ID |
AML.T0006 - アクティブスキャン |
| 説明 |
攻撃者が AI 管理アカウントを特定するためにメッセージングチャネルを探査する |
| 攻撃ベクトル |
テストメッセージの送信、応答パターンの観察 |
| 影響を受けるコンポーネント |
すべてのチャネル連携 |
| 現在の緩和策 |
特になし |
| 残存リスク |
低 - 発見だけでは価値が限定的 |
| 推奨事項 |
応答タイミングのランダム化を検討する |
# 3.2 初期アクセス (AML.TA0004)
# T-ACCESS-001: ペアリングコードの傍受
| 属性 |
値 |
| ATLAS ID |
AML.T0040 - AI モデル推論 API アクセス |
| 説明 |
攻撃者がペアリング猶予期間中にペアリングコードを傍受する(DM チャネルペアリングは 1 時間、Nodeペアリングは 5 分) |
| 攻撃ベクトル |
ショルダーサーフィン、ネットワークスニッフィング、ソーシャルエンジニアリング |
| 影響を受けるコンポーネント |
デバイスペアリングシステム |
| 現在の緩和策 |
1 時間の有効期限(DM ペアリング)/ 5 分の有効期限(Nodeペアリング)、コードは既存チャネル経由で送信 |
| 残存リスク |
中 - 猶予期間が悪用可能 |
| 推奨事項 |
猶予期間を短縮し、確認ステップを追加する |
# T-ACCESS-002: AllowFrom なりすまし
| 属性 |
値 |
| ATLAS ID |
AML.T0040 - AI モデル推論 API アクセス |
| 説明 |
攻撃者がチャネル内で許可された送信者 ID になりすます |
| 攻撃ベクトル |
チャネルによって異なる - 電話番号のなりすまし、ユーザー名の偽装 |
| 影響を受けるコンポーネント |
チャネルごとの AllowFrom 検証 |
| 現在の緩和策 |
チャネル固有の ID 検証 |
| 残存リスク |
中 - 一部のチャネルはなりすましに脆弱 |
| 推奨事項 |
チャネル固有のリスクを文書化し、可能な場合は暗号学的検証を追加する |
# T-ACCESS-003: トークン窃取
| 属性 |
値 |
| ATLAS ID |
AML.T0040 - AI モデル推論 API アクセス |
| 説明 |
攻撃者が設定ファイルから認証トークンを窃取する |
| 攻撃ベクトル |
マルウェア、不正なデバイスアクセス、設定バックアップの露出 |
| 影響を受けるコンポーネント |
~/.openclaw/credentials/、設定ストレージ |
| 現在の緩和策 |
ファイル権限 |
| 残存リスク |
高 - トークンが平文で保存されている |
| 推奨事項 |
保存時のトークン暗号化を実装し、トークンローテーションを追加する |
# 3.3 実行 (AML.TA0005)
# T-EXEC-001: 直接プロンプトインジェクション
| 属性 |
値 |
| ATLAS ID |
AML.T0051.000 - LLM プロンプトインジェクション: 直接 |
| 説明 |
攻撃者がエージェントの動作を操作するために細工したプロンプトを送信する |
| 攻撃ベクトル |
敵対的な指示を含むチャネルメッセージ |
| 影響を受けるコンポーネント |
エージェント LLM、すべての入力面 |
| 現在の緩和策 |
パターン検出、外部コンテンツのラッピング |
| 残存リスク |
重大 - 検出のみでブロックなし。高度な攻撃は回避する |
| 推奨事項 |
多層防御、出力検証、機密性の高い操作に対するユーザー確認を実装する |
# T-EXEC-002: 間接プロンプトインジェクション
| 属性 |
値 |
| ATLAS ID |
AML.T0051.001 - LLM プロンプトインジェクション: 間接 |
| 説明 |
攻撃者が取得されたコンテンツに悪意ある指示を埋め込む |
| 攻撃ベクトル |
悪意ある URL、汚染されたメール、侵害された Webhook |
| 影響を受けるコンポーネント |
web_fetch、メール取り込み、外部データソース |
| 現在の緩和策 |
XML タグとセキュリティ通知によるコンテンツラッピング |
| 残存リスク |
高 - LLM がラッパー指示を無視する可能性がある |
| 推奨事項 |
コンテンツサニタイズ、分離された実行コンテキストを実装する |
# T-EXEC-003: ツール引数インジェクション
| 属性 |
値 |
| ATLAS ID |
AML.T0051.000 - LLM プロンプトインジェクション: 直接 |
| 説明 |
攻撃者がプロンプトインジェクションを通じてツール引数を操作する |
| 攻撃ベクトル |
ツールパラメーター値に影響を与える細工されたプロンプト |
| 影響を受けるコンポーネント |
すべてのツール呼び出し |
| 現在の緩和策 |
危険なコマンドに対する実行承認 |
| 残存リスク |
高 - ユーザーの判断に依存 |
| 推奨事項 |
引数検証、パラメーター化されたツール呼び出しを実装する |
# T-EXEC-004: 実行承認のバイパス
| 属性 |
値 |
| ATLAS ID |
AML.T0043 - 敵対的データの作成 |
| 説明 |
攻撃者が承認許可リストをバイパスするコマンドを作成する |
| 攻撃ベクトル |
コマンドの難読化、エイリアス悪用、パス操作 |
| 影響を受けるコンポーネント |
exec-approvals.ts、コマンド許可リスト |
| 現在の緩和策 |
許可リスト + 確認モード |
| 残存リスク |
高 - コマンドサニタイズなし |
| 推奨事項 |
コマンド正規化を実装し、ブロックリストを拡張する |
# 3.4 永続化 (AML.TA0006)
# T-PERSIST-001: 悪意ある Skills のインストール
| 属性 |
値 |
| ATLAS ID |
AML.T0010.001 - サプライチェーン侵害: AI ソフトウェア |
| 説明 |
攻撃者が悪意ある Skills を ClawHub に公開する |
| 攻撃ベクトル |
アカウントを作成し、隠れた悪意あるコードを含む Skills を公開する |
| 影響を受けるコンポーネント |
ClawHub、Skills の読み込み、エージェント実行 |
| 現在の緩和策 |
GitHub アカウントの年齢確認、パターンベースのモデレーションフラグ |
| 残存リスク |
重大 - サンドボックス化なし、レビューは限定的 |
| 推奨事項 |
VirusTotal 連携(進行中)、Skills のサンドボックス化、コミュニティレビュー |
# T-PERSIST-002: Skills 更新の汚染
| 属性 |
値 |
| ATLAS ID |
AML.T0010.001 - サプライチェーン侵害: AI ソフトウェア |
| 説明 |
攻撃者が人気のある Skills を侵害し、悪意ある更新をプッシュする |
| 攻撃ベクトル |
アカウント侵害、Skills 所有者へのソーシャルエンジニアリング |
| 影響を受けるコンポーネント |
ClawHub のバージョン管理、自動更新フロー |
| 現在の緩和策 |
バージョンフィンガープリント |
| 残存リスク |
高 - 自動更新が悪意あるバージョンを取得する可能性がある |
| 推奨事項 |
更新署名、ロールバック機能、バージョン固定を実装する |
# T-PERSIST-003: エージェント設定の改ざん
| 属性 |
値 |
| ATLAS ID |
AML.T0010.002 - サプライチェーン侵害: データ |
| 説明 |
攻撃者がアクセスを永続化するためにエージェント設定を変更する |
| 攻撃ベクトル |
設定ファイルの変更、設定インジェクション |
| 影響を受けるコンポーネント |
エージェント設定、ツールポリシー |
| 現在の緩和策 |
ファイル権限 |
| 残存リスク |
中 - ローカルアクセスが必要 |
| 推奨事項 |
設定の整合性検証、設定変更の監査ログ |
# 3.5 防御回避 (AML.TA0007)
# T-EVADE-001: モデレーションパターンのバイパス
| 属性 |
値 |
| ATLAS ID |
AML.T0043 - 敵対的データの作成 |
| 説明 |
攻撃者がモデレーションパターンを回避する Skills コンテンツを作成する |
| 攻撃ベクトル |
Unicode 同形異字、エンコーディングの手口、動的読み込み |
| 影響を受けるコンポーネント |
ClawHub moderation.ts |
| 現在の緩和策 |
パターンベースの FLAG_RULES |
| 残存リスク |
高 - 単純な正規表現は容易に回避される |
| 推奨事項 |
振る舞い分析(VirusTotal Code Insight)、AST ベースの検出を追加する |
# T-EVADE-002: コンテンツラッパーからの脱出
| 属性 |
値 |
| ATLAS ID |
AML.T0043 - 敵対的データの作成 |
| 説明 |
攻撃者が XML ラッパーのコンテキストから脱出するコンテンツを作成する |
| 攻撃ベクトル |
タグ操作、コンテキスト混同、命令の上書き |
| 影響を受けるコンポーネント |
外部コンテンツのラッピング |
| 現在の緩和策 |
XML タグ + セキュリティ通知 |
| 残留リスク |
中 - 新しい脱出手法が定期的に発見されている |
| 推奨事項 |
複数のラッパーレイヤー、出力側の検証 |
# 3.6 発見 (AML.TA0008)
# T-DISC-001: ツール列挙
| 属性 |
値 |
| ATLAS ID |
AML.T0040 - AI モデル推論 API アクセス |
| 説明 |
攻撃者がプロンプトを通じて利用可能なツールを列挙する |
| 攻撃ベクトル |
「どのようなツールがありますか?」形式のクエリ |
| 影響を受けるコンポーネント |
エージェントツールレジストリ |
| 現在の緩和策 |
特になし |
| 残留リスク |
低 - ツールは一般に文書化されている |
| 推奨事項 |
ツールの可視性制御を検討する |
# T-DISC-002: セッションデータ抽出
| 属性 |
値 |
| ATLAS ID |
AML.T0040 - AI モデル推論 API アクセス |
| 説明 |
攻撃者がセッションコンテキストから機密データを抽出する |
| 攻撃ベクトル |
「何を話し合いましたか?」というクエリ、コンテキスト探索 |
| 影響を受けるコンポーネント |
セッショントランスクリプト、コンテキストウィンドウ |
| 現在の緩和策 |
送信者ごとのセッション分離 |
| 残留リスク |
中 - セッション内データにアクセス可能 |
| 推奨事項 |
コンテキスト内の機密データ編集を実装する |
# 3.7 収集と持ち出し (AML.TA0009, AML.TA0010)
# T-EXFIL-001: web_fetch 経由のデータ窃取
| 属性 |
値 |
| ATLAS ID |
AML.T0009 - 収集 |
| 説明 |
攻撃者がエージェントに外部 URL へ送信するよう指示してデータを持ち出す |
| 攻撃ベクトル |
エージェントに攻撃者のサーバーへデータを POST させるプロンプトインジェクション |
| 影響を受けるコンポーネント |
web_fetch ツール |
| 現在の緩和策 |
内部ネットワークに対する SSRF ブロック |
| 残留リスク |
高 - 外部 URL が許可されている |
| 推奨事項 |
URL 許可リスト、データ分類認識を実装する |
# T-EXFIL-002: 不正なメッセージ送信
| 属性 |
値 |
| ATLAS ID |
AML.T0009 - 収集 |
| 説明 |
攻撃者がエージェントに機密データを含むメッセージを送信させる |
| 攻撃ベクトル |
エージェントに攻撃者へメッセージを送らせるプロンプトインジェクション |
| 影響を受けるコンポーネント |
メッセージツール、チャンネル連携 |
| 現在の緩和策 |
送信メッセージのゲーティング |
| 残留リスク |
中 - ゲーティングが回避される可能性がある |
| 推奨事項 |
新しい受信者には明示的な確認を要求する |
# T-EXFIL-003: 認証情報の収集
| 属性 |
値 |
| ATLAS ID |
AML.T0009 - 収集 |
| 説明 |
悪意のある Skill がエージェントコンテキストから認証情報を収集する |
| 攻撃ベクトル |
Skill コードが環境変数、設定ファイルを読み取る |
| 影響を受けるコンポーネント |
Skill 実行環境 |
| 現在の緩和策 |
Skills に特化したものはなし |
| 残留リスク |
重大 - Skills はエージェント権限で実行される |
| 推奨事項 |
Skill サンドボックス化、認証情報の分離 |
# 3.8 影響 (AML.TA0011)
# T-IMPACT-001: 不正なコマンド実行
| 属性 |
値 |
| ATLAS ID |
AML.T0031 - AI モデル完全性の侵食 |
| 説明 |
攻撃者がユーザーシステム上で任意のコマンドを実行する |
| 攻撃ベクトル |
exec 承認バイパスと組み合わせたプロンプトインジェクション |
| 影響を受けるコンポーネント |
Bash ツール、コマンド実行 |
| 現在の緩和策 |
exec 承認、Docker サンドボックスオプション |
| 残留リスク |
重大 - サンドボックスなしのホスト実行 |
| 推奨事項 |
デフォルトをサンドボックスにし、承認 UX を改善する |
# T-IMPACT-002: リソース枯渇 (DoS)
| 属性 |
値 |
| ATLAS ID |
AML.T0031 - AI モデル完全性の侵食 |
| 説明 |
攻撃者が API クレジットまたは計算リソースを枯渇させる |
| 攻撃ベクトル |
自動メッセージ大量送信、高コストなツール呼び出し |
| 影響を受けるコンポーネント |
Gateway、エージェントセッション、API プロバイダー |
| 現在の緩和策 |
なし |
| 残留リスク |
高 - レート制限がない |
| 推奨事項 |
送信者ごとのレート制限、コスト予算を実装する |
# T-IMPACT-003: 評判の毀損
| 属性 |
値 |
| ATLAS ID |
AML.T0031 - AI モデル完全性の侵食 |
| 説明 |
攻撃者がエージェントに有害または攻撃的なコンテンツを送信させる |
| 攻撃ベクトル |
不適切な応答を引き起こすプロンプトインジェクション |
| 影響を受けるコンポーネント |
出力生成、チャンネルメッセージング |
| 現在の緩和策 |
LLM プロバイダーのコンテンツポリシー |
| 残留リスク |
中 - プロバイダーフィルターは不完全 |
| 推奨事項 |
出力フィルタリングレイヤー、ユーザー制御 |
# 4. ClawHub サプライチェーン分析
# 4.1 現在のセキュリティ制御
| 制御 |
実装 |
有効性 |
| GitHub アカウント年齢 |
requireGitHubAccountAge() |
中 - 新規攻撃者のハードルを上げる |
| パスサニタイズ |
sanitizePath() |
高 - パストラバーサルを防ぐ |
| ファイル種別検証 |
isTextFile() |
中 - テキストファイルのみだが、それでも悪意を持つ可能性がある |
| サイズ制限 |
合計 50MB バンドル |
高 - リソース枯渇を防ぐ |
| 必須 SKILL.md |
必須 readme |
セキュリティ価値は低い - 情報提供のみ |
| パターンモデレーション |
moderation.ts の FLAG_RULES |
低 - 容易に回避可能 |
| モデレーションステータス |
moderationStatus フィールド |
中 - 手動レビューが可能 |
# 4.2 モデレーションフラグパターン
moderation.ts の現在のパターン:
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
制限事項:
- slug、displayName、summary、frontmatter、metadata、ファイルパスのみをチェックする
- 実際の Skill コード内容は分析しない
- 単純な正規表現は難読化で容易に回避可能
- 振る舞いの分析がない
# 4.3 予定されている改善
| 改善 |
ステータス |
影響 |
| VirusTotal 連携 |
進行中 |
高 - Code Insight の振る舞い分析 |
| コミュニティ報告 |
一部対応 (skillReports テーブルが存在) |
中 |
| 監査ログ |
一部対応 (auditLogs テーブルが存在) |
中 |
| バッジシステム |
実装済み |
中 - highlighted、official、deprecated、redactionApproved |
# 5. リスクマトリクス
# 5.1 可能性 vs 影響
| 脅威 ID |
可能性 |
影響 |
リスクレベル |
優先度 |
| T-EXEC-001 |
高 |
重大 |
重大 |
P0 |
| T-PERSIST-001 |
高 |
重大 |
重大 |
P0 |
| T-EXFIL-003 |
中 |
重大 |
重大 |
P0 |
| T-IMPACT-001 |
中 |
重大 |
高 |
P1 |
| T-EXEC-002 |
高 |
高 |
高 |
P1 |
| T-EXEC-004 |
中 |
高 |
高 |
P1 |
| T-ACCESS-003 |
中 |
高 |
高 |
P1 |
| T-EXFIL-001 |
中 |
高 |
高 |
P1 |
| T-IMPACT-002 |
高 |
中 |
高 |
P1 |
| T-EVADE-001 |
高 |
中 |
中 |
P2 |
| T-ACCESS-001 |
低 |
高 |
中 |
P2 |
| T-ACCESS-002 |
低 |
高 |
中 |
P2 |
| T-PERSIST-002 |
低 |
高 |
中 |
P2 |
# 5.2 クリティカルパス攻撃チェーン
攻撃チェーン 1: Skill ベースのデータ窃取
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
攻撃チェーン 2: プロンプトインジェクションから RCE へ
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
攻撃チェーン 3: 取得コンテンツ経由の間接インジェクション
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)
# 6. 推奨事項の概要
# 6.1 即時 (P0)
| ID |
推奨事項 |
対応する脅威 |
| R-001 |
VirusTotal 連携を完了する |
T-PERSIST-001, T-EVADE-001 |
| R-002 |
skill サンドボックス化を実装する |
T-PERSIST-001, T-EXFIL-003 |
| R-003 |
機微な操作の出力検証を追加する |
T-EXEC-001, T-EXEC-002 |
# 6.2 短期 (P1)
| ID |
推奨事項 |
対応する脅威 |
| R-004 |
レート制限を実装する |
T-IMPACT-002 |
| R-005 |
保存時のトークン暗号化を追加する |
T-ACCESS-003 |
| R-006 |
exec 承認の UX と検証を改善する |
T-EXEC-004 |
| R-007 |
web_fetch の URL 許可リストを実装する |
T-EXFIL-001 |
# 6.3 中期 (P2)
| ID |
推奨事項 |
対応する脅威 |
| R-008 |
可能な場合は暗号学的なチャネル検証を追加する |
T-ACCESS-002 |
| R-009 |
config の整合性検証を実装する |
T-PERSIST-003 |
| R-010 |
更新の署名とバージョン固定を追加する |
T-PERSIST-002 |
# 7. 付録
# 7.1 ATLAS 技術マッピング
| ATLAS ID |
技術名 |
OpenClaw の脅威 |
| AML.T0006 |
アクティブスキャン |
T-RECON-001, T-RECON-002 |
| AML.T0009 |
収集 |
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 |
| AML.T0010.001 |
サプライチェーン: AI ソフトウェア |
T-PERSIST-001, T-PERSIST-002 |
| AML.T0010.002 |
サプライチェーン: データ |
T-PERSIST-003 |
| AML.T0031 |
AI モデルの整合性を損なう |
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 |
| AML.T0040 |
AI モデル推論 API アクセス |
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043 |
敵対的データの作成 |
T-EXEC-004, T-EVADE-001, T-EVADE-002 |
| AML.T0051.000 |
LLM プロンプトインジェクション: 直接 |
T-EXEC-001, T-EXEC-003 |
| AML.T0051.001 |
LLM プロンプトインジェクション: 間接 |
T-EXEC-002 |
# 7.2 主要なセキュリティファイル
| パス |
目的 |
リスクレベル |
src/infra/exec-approvals.ts |
コマンド承認ロジック |
重大 |
src/gateway/auth.ts |
Gateway 認証 |
重大 |
src/infra/net/ssrf.ts |
SSRF 保護 |
重大 |
src/security/external-content.ts |
プロンプトインジェクションの緩和 |
重大 |
src/agents/sandbox/tool-policy.ts |
ツールポリシーの適用 |
重大 |
src/routing/resolve-route.ts |
セッション分離 |
中 |
# 7.3 用語集
| 用語 |
定義 |
| ATLAS |
MITRE の AI システム向け敵対的脅威ランドスケープ |
| ClawHub |
OpenClaw の skill マーケットプレイス |
| Gateway |
OpenClaw のメッセージルーティングおよび認証レイヤー |
| MCP |
Model Context Protocol - ツールプロバイダーインターフェース |
| プロンプトインジェクション |
悪意のある指示が入力に埋め込まれる攻撃 |
| Skill |
OpenClaw エージェント用のダウンロード可能な拡張 |
| SSRF |
Server-Side Request Forgery |
この脅威モデルは継続的に更新されるドキュメントです。セキュリティ問題は [email protected] に報告してください
# 関連
