Security
위협 모델 (MITRE ATLAS)
# MITRE ATLAS 프레임워크
버전: 1.0-draft
마지막 업데이트: 2026-02-04
방법론: MITRE ATLAS + 데이터 흐름 다이어그램
프레임워크: MITRE ATLAS (AI 시스템을 위한 적대적 위협 환경)
# 프레임워크 출처
이 위협 모델은 AI/ML 시스템에 대한 적대적 위협을 문서화하기 위한 업계 표준 프레임워크인 MITRE ATLAS를 기반으로 합니다. ATLAS는 AI 보안 커뮤니티와 협력하여 MITRE에서 유지 관리합니다.
주요 ATLAS 리소스:
# 이 위협 모델에 기여하기
이 문서는 OpenClaw 커뮤니티가 유지 관리하는 지속적으로 갱신되는 문서입니다. 기여 지침은 CONTRIBUTING-THREAT-MODEL.md를 참조하세요.
- 새로운 위협 보고
- 기존 위협 업데이트
- 공격 체인 제안
- 완화 방안 제안
# 1. 소개
# 1.1 목적
이 위협 모델은 AI/ML 시스템을 위해 특별히 설계된 MITRE ATLAS 프레임워크를 사용하여 OpenClaw AI 에이전트 플랫폼과 ClawHub Skills 마켓플레이스에 대한 적대적 위협을 문서화합니다.
# 1.2 범위
| 구성 요소 |
포함 여부 |
참고 |
| OpenClaw 에이전트 런타임 |
예 |
핵심 에이전트 실행, 도구 호출, 세션 |
| Gateway |
예 |
인증, 라우팅, 채널 통합 |
| 채널 통합 |
예 |
WhatsApp, Telegram, Discord, Signal, Slack 등 |
| ClawHub 마켓플레이스 |
예 |
Skill 게시, 모더레이션, 배포 |
| MCP 서버 |
예 |
외부 도구 제공자 |
| 사용자 기기 |
일부 |
모바일 앱, 데스크톱 클라이언트 |
# 1.3 범위 제외
이 위협 모델에서 명시적으로 범위에서 제외된 것은 없습니다.
# 2. 시스템 아키텍처
# 2.1 신뢰 경계
┌─────────────────────────────────────────────────────────────────┐
│ UNTRUSTED ZONE │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ WhatsApp │ │ Telegram │ │ Discord │ ... │
│ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │
│ │ │ │ │
└─────────┼────────────────┼────────────────┼──────────────────────┘
│ │ │
▼ ▼ ▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 1: Channel Access │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ GATEWAY │ │
│ │ • Device Pairing (1h DM / 5m node grace period) │ │
│ │ • AllowFrom / AllowList validation │ │
│ │ • Token/Password/Tailscale auth │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 2: Session Isolation │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ AGENT SESSIONS │ │
│ │ • Session key = agent:channel:peer │ │
│ │ • Tool policies per agent │ │
│ │ • Transcript logging │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 3: Tool Execution │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ EXECUTION SANDBOX │ │
│ │ • Docker sandbox OR Host (exec-approvals) │ │
│ │ • Node remote execution │ │
│ │ • SSRF protection (DNS pinning + IP blocking) │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 4: External Content │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ FETCHED URLs / EMAILS / WEBHOOKS │ │
│ │ • External content wrapping (XML tags) │ │
│ │ • Security notice injection │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 5: Supply Chain │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ CLAWHUB │ │
│ │ • Skill publishing (semver, SKILL.md required) │ │
│ │ • Pattern-based moderation flags │ │
│ │ • VirusTotal scanning (coming soon) │ │
│ │ • GitHub account age verification │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
# 2.2 데이터 흐름
| 흐름 |
출처 |
대상 |
데이터 |
보호 |
| F1 |
채널 |
Gateway |
사용자 메시지 |
TLS, AllowFrom |
| F2 |
Gateway |
에이전트 |
라우팅된 메시지 |
세션 격리 |
| F3 |
에이전트 |
도구 |
도구 호출 |
정책 적용 |
| F4 |
에이전트 |
외부 |
web_fetch 요청 |
SSRF 차단 |
| F5 |
ClawHub |
에이전트 |
Skill 코드 |
모더레이션, 스캔 |
| F6 |
에이전트 |
채널 |
응답 |
출력 필터링 |
# 3. ATLAS 전술별 위협 분석
# 3.1 정찰 (AML.TA0002)
# T-RECON-001: 에이전트 엔드포인트 탐색
| 속성 |
값 |
| ATLAS ID |
AML.T0006 - 능동 스캔 |
| 설명 |
공격자가 노출된 OpenClaw gateway 엔드포인트를 스캔함 |
| 공격 벡터 |
네트워크 스캔, shodan 쿼리, DNS 열거 |
| 영향을 받는 구성 요소 |
Gateway, 노출된 API 엔드포인트 |
| 현재 완화 방안 |
Tailscale 인증 옵션, 기본적으로 loopback에 바인딩 |
| 잔여 위험 |
중간 - 공개 Gateway는 발견될 수 있음 |
| 권장 사항 |
안전한 배포를 문서화하고 탐색 엔드포인트에 속도 제한 추가 |
# T-RECON-002: 채널 통합 프로빙
| 속성 |
값 |
| ATLAS ID |
AML.T0006 - 능동 스캐닝 |
| Description |
공격자가 AI 관리 계정을 식별하기 위해 메시징 채널을 탐색함 |
| Attack Vector |
테스트 메시지 전송, 응답 패턴 관찰 |
| Affected Components |
모든 채널 연동 |
| Current Mitigations |
특정 대응책 없음 |
| Residual Risk |
낮음 - 발견만으로 얻는 가치가 제한적 |
| Recommendations |
응답 타이밍 무작위화 고려 |
# 3.2 초기 접근 (AML.TA0004)
# T-ACCESS-001: 페어링 코드 가로채기
| 속성 |
값 |
| ATLAS ID |
AML.T0040 - AI 모델 추론 API 접근 |
| Description |
공격자가 페어링 유예 기간(DM 채널 페어링은 1시간, Node 페어링은 5분) 동안 페어링 코드를 가로챔 |
| Attack Vector |
어깨너머 훔쳐보기, 네트워크 스니핑, 사회공학 |
| Affected Components |
기기 페어링 시스템 |
| Current Mitigations |
1시간 만료(DM 페어링) / 5분 만료(Node 페어링), 기존 채널을 통해 코드 전송 |
| Residual Risk |
중간 - 유예 기간이 악용될 수 있음 |
| Recommendations |
유예 기간 단축, 확인 단계 추가 |
# T-ACCESS-002: AllowFrom 스푸핑
| 속성 |
값 |
| ATLAS ID |
AML.T0040 - AI 모델 추론 API 접근 |
| Description |
공격자가 채널에서 허용된 발신자 신원을 스푸핑함 |
| Attack Vector |
채널에 따라 다름 - 전화번호 스푸핑, 사용자 이름 사칭 |
| Affected Components |
채널별 AllowFrom 검증 |
| Current Mitigations |
채널별 신원 확인 |
| Residual Risk |
중간 - 일부 채널은 스푸핑에 취약함 |
| Recommendations |
채널별 위험 문서화, 가능한 경우 암호학적 검증 추가 |
# T-ACCESS-003: 토큰 탈취
| 속성 |
값 |
| ATLAS ID |
AML.T0040 - AI 모델 추론 API 접근 |
| Description |
공격자가 구성 파일에서 인증 토큰을 훔침 |
| Attack Vector |
악성코드, 무단 기기 접근, 구성 백업 노출 |
| Affected Components |
~/.openclaw/credentials/, 구성 저장소 |
| Current Mitigations |
파일 권한 |
| Residual Risk |
높음 - 토큰이 평문으로 저장됨 |
| Recommendations |
저장 시 토큰 암호화 구현, 토큰 순환 추가 |
# 3.3 실행 (AML.TA0005)
# T-EXEC-001: 직접 프롬프트 인젝션
| 속성 |
값 |
| ATLAS ID |
AML.T0051.000 - LLM 프롬프트 인젝션: 직접 |
| Description |
공격자가 에이전트 동작을 조작하기 위해 조작된 프롬프트를 보냄 |
| Attack Vector |
적대적 지시가 포함된 채널 메시지 |
| Affected Components |
에이전트 LLM, 모든 입력 표면 |
| Current Mitigations |
패턴 감지, 외부 콘텐츠 래핑 |
| Residual Risk |
치명적 - 감지만 수행되고 차단은 없음; 정교한 공격은 우회함 |
| Recommendations |
다층 방어, 출력 검증, 민감한 작업에 대한 사용자 확인 구현 |
# T-EXEC-002: 간접 프롬프트 인젝션
| 속성 |
값 |
| ATLAS ID |
AML.T0051.001 - LLM 프롬프트 인젝션: 간접 |
| Description |
공격자가 가져온 콘텐츠에 악성 지시를 삽입함 |
| Attack Vector |
악성 URL, 오염된 이메일, 침해된 Webhook |
| Affected Components |
web_fetch, 이메일 수집, 외부 데이터 소스 |
| Current Mitigations |
XML 태그와 보안 고지로 콘텐츠 래핑 |
| Residual Risk |
높음 - LLM이 래퍼 지시를 무시할 수 있음 |
| Recommendations |
콘텐츠 정제, 별도 실행 컨텍스트 구현 |
# T-EXEC-003: 도구 인수 인젝션
| 속성 |
값 |
| ATLAS ID |
AML.T0051.000 - LLM 프롬프트 인젝션: 직접 |
| Description |
공격자가 프롬프트 인젝션을 통해 도구 인수를 조작함 |
| Attack Vector |
도구 매개변수 값에 영향을 주는 조작된 프롬프트 |
| Affected Components |
모든 도구 호출 |
| Current Mitigations |
위험한 명령에 대한 Exec 승인 |
| Residual Risk |
높음 - 사용자 판단에 의존함 |
| Recommendations |
인수 검증, 매개변수화된 도구 호출 구현 |
# T-EXEC-004: Exec 승인 우회
| 속성 |
값 |
| ATLAS ID |
AML.T0043 - 적대적 데이터 제작 |
| Description |
공격자가 승인 허용 목록을 우회하는 명령을 제작함 |
| Attack Vector |
명령 난독화, 별칭 악용, 경로 조작 |
| Affected Components |
exec-approvals.ts, 명령 허용 목록 |
| Current Mitigations |
허용 목록 + ask 모드 |
| Residual Risk |
높음 - 명령 정규화 없음 |
| Recommendations |
명령 정규화 구현, 차단 목록 확장 |
# 3.4 지속성 (AML.TA0006)
# T-PERSIST-001: 악성 Skill 설치
| 속성 |
값 |
| ATLAS ID |
AML.T0010.001 - 공급망 침해: AI 소프트웨어 |
| Description |
공격자가 ClawHub에 악성 Skill을 게시함 |
| Attack Vector |
계정 생성, 숨겨진 악성 코드가 포함된 Skill 게시 |
| Affected Components |
ClawHub, Skill 로딩, 에이전트 실행 |
| Current Mitigations |
GitHub 계정 연령 확인, 패턴 기반 조정 플래그 |
| Residual Risk |
치명적 - 샌드박싱 없음, 검토 제한적 |
| Recommendations |
VirusTotal 연동(진행 중), Skill 샌드박싱, 커뮤니티 검토 |
# T-PERSIST-002: Skill 업데이트 오염
| 속성 |
값 |
| ATLAS ID |
AML.T0010.001 - 공급망 침해: AI 소프트웨어 |
| Description |
공격자가 인기 Skill을 침해하고 악성 업데이트를 푸시함 |
| Attack Vector |
계정 침해, Skill 소유자에 대한 사회공학 |
| Affected Components |
ClawHub 버전 관리, 자동 업데이트 흐름 |
| Current Mitigations |
버전 지문 |
| Residual Risk |
높음 - 자동 업데이트가 악성 버전을 가져올 수 있음 |
| Recommendations |
업데이트 서명, 롤백 기능, 버전 고정 구현 |
# T-PERSIST-003: 에이전트 구성 변조
| 속성 |
값 |
| ATLAS ID |
AML.T0010.002 - 공급망 침해: 데이터 |
| Description |
공격자가 접근을 지속하기 위해 에이전트 구성을 수정함 |
| Attack Vector |
구성 파일 수정, 설정 인젝션 |
| Affected Components |
에이전트 구성, 도구 정책 |
| Current Mitigations |
파일 권한 |
| Residual Risk |
중간 - 로컬 접근 필요 |
| Recommendations |
구성 무결성 검증, 구성 변경에 대한 감사 로깅 |
# 3.5 방어 회피 (AML.TA0007)
# T-EVADE-001: 조정 패턴 우회
| 속성 |
값 |
| ATLAS ID |
AML.T0043 - 적대적 데이터 제작 |
| Description |
공격자가 조정 패턴을 회피하도록 Skill 콘텐츠를 제작함 |
| Attack Vector |
유니코드 동형문자, 인코딩 기법, 동적 로딩 |
| Affected Components |
ClawHub moderation.ts |
| Current Mitigations |
패턴 기반 FLAG_RULES |
| Residual Risk |
높음 - 단순 정규식은 쉽게 우회됨 |
| Recommendations |
동작 분석(VirusTotal Code Insight), AST 기반 감지 추가 |
# T-EVADE-002: 콘텐츠 래퍼 이탈
| 속성 |
값 |
| ATLAS ID |
AML.T0043 - 적대적 데이터 제작 |
| 설명 |
공격자가 XML 래퍼 컨텍스트를 벗어나는 콘텐츠를 제작함 |
| 공격 벡터 |
태그 조작, 컨텍스트 혼동, 지시문 재정의 |
| 영향받는 구성 요소 |
외부 콘텐츠 래핑 |
| 현재 완화책 |
XML 태그 + 보안 고지 |
| 잔여 위험 |
중간 - 새로운 우회 기법이 정기적으로 발견됨 |
| 권장 사항 |
여러 래퍼 계층, 출력 측 검증 |
# 3.6 발견 (AML.TA0008)
# T-DISC-001: 도구 열거
| 속성 |
값 |
| ATLAS ID |
AML.T0040 - AI 모델 추론 API 접근 |
| 설명 |
공격자가 프롬프트를 통해 사용 가능한 도구를 열거함 |
| 공격 벡터 |
"어떤 도구를 가지고 있나요?" 스타일의 질의 |
| 영향받는 구성 요소 |
에이전트 도구 레지스트리 |
| 현재 완화책 |
특정 없음 |
| 잔여 위험 |
낮음 - 도구는 일반적으로 문서화되어 있음 |
| 권장 사항 |
도구 가시성 제어 고려 |
# T-DISC-002: 세션 데이터 추출
| 속성 |
값 |
| ATLAS ID |
AML.T0040 - AI 모델 추론 API 접근 |
| 설명 |
공격자가 세션 컨텍스트에서 민감한 데이터를 추출함 |
| 공격 벡터 |
"우리가 무엇을 논의했나요?" 질의, 컨텍스트 탐색 |
| 영향받는 구성 요소 |
세션 기록, 컨텍스트 창 |
| 현재 완화책 |
발신자별 세션 격리 |
| 잔여 위험 |
중간 - 세션 내 데이터에 접근 가능 |
| 권장 사항 |
컨텍스트 내 민감한 데이터 삭제 구현 |
# 3.7 수집 및 유출 (AML.TA0009, AML.TA0010)
# T-EXFIL-001: web_fetch를 통한 데이터 절도
| 속성 |
값 |
| ATLAS ID |
AML.T0009 - 수집 |
| 설명 |
공격자가 에이전트에게 외부 URL로 보내도록 지시하여 데이터를 유출함 |
| 공격 벡터 |
에이전트가 공격자 서버로 데이터를 POST하게 하는 프롬프트 인젝션 |
| 영향받는 구성 요소 |
web_fetch 도구 |
| 현재 완화책 |
내부 네트워크에 대한 SSRF 차단 |
| 잔여 위험 |
높음 - 외부 URL 허용 |
| 권장 사항 |
URL 허용 목록, 데이터 분류 인식 구현 |
# T-EXFIL-002: 무단 메시지 전송
| 속성 |
값 |
| ATLAS ID |
AML.T0009 - 수집 |
| 설명 |
공격자가 에이전트가 민감한 데이터를 포함한 메시지를 보내게 함 |
| 공격 벡터 |
에이전트가 공격자에게 메시지를 보내게 하는 프롬프트 인젝션 |
| 영향받는 구성 요소 |
메시지 도구, 채널 통합 |
| 현재 완화책 |
아웃바운드 메시징 게이팅 |
| 잔여 위험 |
중간 - 게이팅이 우회될 수 있음 |
| 권장 사항 |
새 수신자에 대한 명시적 확인 요구 |
# T-EXFIL-003: 자격 증명 수집
| 속성 |
값 |
| ATLAS ID |
AML.T0009 - 수집 |
| 설명 |
악성 skill이 에이전트 컨텍스트에서 자격 증명을 수집함 |
| 공격 벡터 |
Skill 코드가 환경 변수, 구성 파일을 읽음 |
| 영향받는 구성 요소 |
Skill 실행 환경 |
| 현재 완화책 |
Skills에 특화된 것 없음 |
| 잔여 위험 |
치명적 - Skills가 에이전트 권한으로 실행됨 |
| 권장 사항 |
Skill 샌드박싱, 자격 증명 격리 |
# 3.8 영향 (AML.TA0011)
# T-IMPACT-001: 무단 명령 실행
| 속성 |
값 |
| ATLAS ID |
AML.T0031 - AI 모델 무결성 약화 |
| 설명 |
공격자가 사용자 시스템에서 임의 명령을 실행함 |
| 공격 벡터 |
exec 승인 우회와 결합된 프롬프트 인젝션 |
| 영향받는 구성 요소 |
Bash 도구, 명령 실행 |
| 현재 완화책 |
Exec 승인, Docker 샌드박스 옵션 |
| 잔여 위험 |
치명적 - 샌드박스 없는 호스트 실행 |
| 권장 사항 |
기본값을 샌드박스로 설정, 승인 UX 개선 |
# T-IMPACT-002: 리소스 고갈 (DoS)
| 속성 |
값 |
| ATLAS ID |
AML.T0031 - AI 모델 무결성 약화 |
| 설명 |
공격자가 API 크레딧 또는 컴퓨팅 리소스를 고갈시킴 |
| 공격 벡터 |
자동화된 메시지 플러딩, 비용이 큰 도구 호출 |
| 영향받는 구성 요소 |
Gateway, 에이전트 세션, API 제공자 |
| 현재 완화책 |
없음 |
| 잔여 위험 |
높음 - 속도 제한 없음 |
| 권장 사항 |
발신자별 속도 제한, 비용 예산 구현 |
# T-IMPACT-003: 평판 손상
| 속성 |
값 |
| ATLAS ID |
AML.T0031 - AI 모델 무결성 약화 |
| 설명 |
공격자가 에이전트가 유해하거나 공격적인 콘텐츠를 보내게 함 |
| 공격 벡터 |
부적절한 응답을 유발하는 프롬프트 인젝션 |
| 영향받는 구성 요소 |
출력 생성, 채널 메시징 |
| 현재 완화책 |
LLM 제공자 콘텐츠 정책 |
| 잔여 위험 |
중간 - 제공자 필터가 불완전함 |
| 권장 사항 |
출력 필터링 계층, 사용자 제어 |
# 4. ClawHub 공급망 분석
# 4.1 현재 보안 제어
| 제어 |
구현 |
효과성 |
| GitHub 계정 기간 |
requireGitHubAccountAge() |
중간 - 신규 공격자의 진입 장벽을 높임 |
| 경로 정리 |
sanitizePath() |
높음 - 경로 순회 방지 |
| 파일 유형 검증 |
isTextFile() |
중간 - 텍스트 파일만 허용하지만 여전히 악성일 수 있음 |
| 크기 제한 |
총 50MB 번들 |
높음 - 리소스 고갈 방지 |
| 필수 SKILL.md |
필수 readme |
낮은 보안 가치 - 정보 제공용일 뿐 |
| 패턴 모더레이션 |
moderation.ts의 FLAG_RULES |
낮음 - 쉽게 우회 가능 |
| 모더레이션 상태 |
moderationStatus 필드 |
중간 - 수동 검토 가능 |
# 4.2 모더레이션 플래그 패턴
moderation.ts의 현재 패턴:
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
제한 사항:
- slug, displayName, summary, frontmatter, metadata, 파일 경로만 검사함
- 실제 Skill 코드 콘텐츠를 분석하지 않음
- 단순 정규식은 난독화로 쉽게 우회 가능
- 행동 분석 없음
# 4.3 계획된 개선 사항
| 개선 사항 |
상태 |
영향 |
| VirusTotal 통합 |
진행 중 |
높음 - Code Insight 행동 분석 |
| 커뮤니티 신고 |
부분적 (skillReports 테이블 존재) |
중간 |
| 감사 로깅 |
부분적 (auditLogs 테이블 존재) |
중간 |
| 배지 시스템 |
구현됨 |
중간 - highlighted, official, deprecated, redactionApproved |
# 5. 위험 매트릭스
# 5.1 가능성 대비 영향
| 위협 ID |
가능성 |
영향 |
위험 수준 |
우선순위 |
| T-EXEC-001 |
높음 |
치명적 |
치명적 |
P0 |
| T-PERSIST-001 |
높음 |
치명적 |
치명적 |
P0 |
| T-EXFIL-003 |
중간 |
치명적 |
치명적 |
P0 |
| T-IMPACT-001 |
중간 |
치명적 |
높음 |
P1 |
| T-EXEC-002 |
높음 |
높음 |
높음 |
P1 |
| T-EXEC-004 |
중간 |
높음 |
높음 |
P1 |
| T-ACCESS-003 |
중간 |
높음 |
높음 |
P1 |
| T-EXFIL-001 |
중간 |
높음 |
높음 |
P1 |
| T-IMPACT-002 |
높음 |
중간 |
높음 |
P1 |
| T-EVADE-001 |
높음 |
중간 |
중간 |
P2 |
| T-ACCESS-001 |
낮음 |
높음 |
중간 |
P2 |
| T-ACCESS-002 |
낮음 |
높음 |
중간 |
P2 |
| T-PERSIST-002 |
낮음 |
높음 |
중간 |
P2 |
# 5.2 중요 경로 공격 체인
공격 체인 1: Skill 기반 데이터 절도
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(악성 skill 게시) → (모더레이션 회피) → (자격 증명 수집)
공격 체인 2: 프롬프트 인젝션에서 RCE로
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(프롬프트 주입) → (exec 승인 우회) → (명령 실행)
공격 체인 3: 가져온 콘텐츠를 통한 간접 인젝션
T-EXEC-002 → T-EXFIL-001 → 외부 유출
(URL 콘텐츠 오염) → (에이전트가 가져와 지시를 따름) → (공격자에게 데이터 전송)
# 6. 권장 사항 요약
# 6.1 즉시 (P0)
| ID |
권장 사항 |
해결 대상 |
| R-001 |
VirusTotal 통합 완료 |
T-PERSIST-001, T-EVADE-001 |
| R-002 |
Skill 샌드박싱 구현 |
T-PERSIST-001, T-EXFIL-003 |
| R-003 |
민감한 작업에 대한 출력 검증 추가 |
T-EXEC-001, T-EXEC-002 |
# 6.2 단기(P1)
| ID |
권장 사항 |
해결 대상 |
| R-004 |
속도 제한 구현 |
T-IMPACT-002 |
| R-005 |
저장 시 토큰 암호화 추가 |
T-ACCESS-003 |
| R-006 |
exec 승인 UX 및 검증 개선 |
T-EXEC-004 |
| R-007 |
web_fetch에 대한 URL 허용 목록 구현 |
T-EXFIL-001 |
# 6.3 중기(P2)
| ID |
권장 사항 |
해결 대상 |
| R-008 |
가능한 경우 암호학적 채널 검증 추가 |
T-ACCESS-002 |
| R-009 |
설정 무결성 검증 구현 |
T-PERSIST-003 |
| R-010 |
업데이트 서명 및 버전 고정 추가 |
T-PERSIST-002 |
# 7. 부록
# 7.1 ATLAS 기법 매핑
| ATLAS ID |
기법 이름 |
OpenClaw 위협 |
| AML.T0006 |
능동 스캔 |
T-RECON-001, T-RECON-002 |
| AML.T0009 |
수집 |
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 |
| AML.T0010.001 |
공급망: AI 소프트웨어 |
T-PERSIST-001, T-PERSIST-002 |
| AML.T0010.002 |
공급망: 데이터 |
T-PERSIST-003 |
| AML.T0031 |
AI 모델 무결성 약화 |
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 |
| AML.T0040 |
AI 모델 추론 API 접근 |
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043 |
적대적 데이터 제작 |
T-EXEC-004, T-EVADE-001, T-EVADE-002 |
| AML.T0051.000 |
LLM 프롬프트 인젝션: 직접 |
T-EXEC-001, T-EXEC-003 |
| AML.T0051.001 |
LLM 프롬프트 인젝션: 간접 |
T-EXEC-002 |
# 7.2 주요 보안 파일
| 경로 |
목적 |
위험 수준 |
src/infra/exec-approvals.ts |
명령 승인 로직 |
심각 |
src/gateway/auth.ts |
Gateway 인증 |
심각 |
src/infra/net/ssrf.ts |
SSRF 보호 |
심각 |
src/security/external-content.ts |
프롬프트 인젝션 완화 |
심각 |
src/agents/sandbox/tool-policy.ts |
도구 정책 적용 |
심각 |
src/routing/resolve-route.ts |
세션 격리 |
중간 |
# 7.3 용어집
| 용어 |
정의 |
| ATLAS |
AI 시스템을 위한 MITRE의 적대적 위협 환경 |
| ClawHub |
OpenClaw의 Skills 마켓플레이스 |
| Gateway |
OpenClaw의 메시지 라우팅 및 인증 계층 |
| MCP |
Model Context Protocol - 도구 제공자 인터페이스 |
| 프롬프트 인젝션 |
악성 지시가 입력에 삽입되는 공격 |
| Skill |
OpenClaw 에이전트를 위한 다운로드 가능한 확장 기능 |
| SSRF |
서버 측 요청 위조 |
이 위협 모델은 지속적으로 갱신되는 문서입니다. 보안 문제는 [email protected]로 보고하세요
# 관련 항목
