# MITRE ATLAS-framework
Versie: 1.0-concept
Laatst bijgewerkt: 2026-02-04
Methodologie: MITRE ATLAS + gegevensstroomdiagrammen
Framework: MITRE ATLAS (vijandig dreigingslandschap voor AI-systemen)
# Frameworktoeschrijving
Dit dreigingsmodel is gebouwd op MITRE ATLAS, het industriestandaardframework voor het documenteren van vijandige dreigingen voor AI/ML-systemen. ATLAS wordt onderhouden door MITRE in samenwerking met de AI-beveiligingsgemeenschap.
Belangrijke ATLAS-bronnen:
# Bijdragen aan dit dreigingsmodel
Dit is een levend document dat wordt onderhouden door de OpenClaw-community. Zie CONTRIBUTING-THREAT-MODEL.md voor richtlijnen voor bijdragen:
- Nieuwe dreigingen melden
- Bestaande dreigingen bijwerken
- Aanvalsketens voorstellen
- Mitigaties voorstellen
# 1. Inleiding
# 1.1 Doel
Dit dreigingsmodel documenteert vijandige dreigingen voor het OpenClaw AI-agentplatform en de ClawHub Skills-marktplaats, met gebruik van het MITRE ATLAS-framework dat specifiek is ontworpen voor AI/ML-systemen.
# 1.2 Reikwijdte
| Component |
Opgenomen |
Opmerkingen |
| OpenClaw Agent Runtime |
Ja |
Kernuitvoering van agents, toolaanroepen, sessies |
| Gateway |
Ja |
Authenticatie, routering, kanaalintegratie |
| Kanaalintegraties |
Ja |
WhatsApp, Telegram, Discord, Signal, Slack, enz. |
| ClawHub-marktplaats |
Ja |
Publiceren, modereren en distribueren van Skills |
| MCP-servers |
Ja |
Externe toolproviders |
| Gebruikersapparaten |
Gedeeltelijk |
Mobiele apps, desktopclients |
# 1.3 Buiten reikwijdte
Niets valt expliciet buiten de reikwijdte van dit dreigingsmodel.
# 2. Systeemarchitectuur
# 2.1 Vertrouwensgrenzen
┌─────────────────────────────────────────────────────────────────┐
│ UNTRUSTED ZONE │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ WhatsApp │ │ Telegram │ │ Discord │ ... │
│ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │
│ │ │ │ │
└─────────┼────────────────┼────────────────┼──────────────────────┘
│ │ │
▼ ▼ ▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 1: Channel Access │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ GATEWAY │ │
│ │ • Device Pairing (1h DM / 5m node grace period) │ │
│ │ • AllowFrom / AllowList validation │ │
│ │ • Token/Password/Tailscale auth │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 2: Session Isolation │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ AGENT SESSIONS │ │
│ │ • Session key = agent:channel:peer │ │
│ │ • Tool policies per agent │ │
│ │ • Transcript logging │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 3: Tool Execution │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ EXECUTION SANDBOX │ │
│ │ • Docker sandbox OR Host (exec-approvals) │ │
│ │ • Node remote execution │ │
│ │ • SSRF protection (DNS pinning + IP blocking) │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 4: External Content │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ FETCHED URLs / EMAILS / WEBHOOKS │ │
│ │ • External content wrapping (XML tags) │ │
│ │ • Security notice injection │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ TRUST BOUNDARY 5: Supply Chain │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ CLAWHUB │ │
│ │ • Skill publishing (semver, SKILL.md required) │ │
│ │ • Pattern-based moderation flags │ │
│ │ • VirusTotal scanning (coming soon) │ │
│ │ • GitHub account age verification │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
# 2.2 Gegevensstromen
| Stroom |
Bron |
Bestemming |
Gegevens |
Bescherming |
| F1 |
Kanaal |
Gateway |
Gebruikersberichten |
TLS, AllowFrom |
| F2 |
Gateway |
Agent |
Gerouteerde berichten |
Sessie-isolatie |
| F3 |
Agent |
Tools |
Toolaanroepen |
Beleidsafdwinging |
| F4 |
Agent |
Extern |
web_fetch-aanvragen |
SSRF-blokkering |
| F5 |
ClawHub |
Agent |
Skill-code |
Moderatie, scanning |
| F6 |
Agent |
Kanaal |
Reacties |
Uitvoerfiltering |
# 3. Dreigingsanalyse per ATLAS-tactiek
# 3.1 Verkenning (AML.TA0002)
# T-RECON-001: Ontdekking van agent-eindpunten
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0006 - Actief scannen |
| Beschrijving |
Aanvaller scant op blootgestelde OpenClaw Gateway-eindpunten |
| Aanvalsvector |
Netwerkscanning, Shodan-query's, DNS-enumeratie |
| Betrokken componenten |
Gateway, blootgestelde API-eindpunten |
| Huidige mitigaties |
Tailscale-authenticatieoptie, standaard binden aan loopback |
| Restrisico |
Middel - openbare gateways zijn vindbaar |
| Aanbevelingen |
Veilige implementatie documenteren, rate limiting toevoegen op ontdekkingseindpunten |
# T-RECON-002: Kanaalintegratie aftasten
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0006 - Actief scannen |
| Beschrijving |
Aanvaller onderzoekt berichtkanalen om door AI beheerde accounts te identificeren |
| Aanvalsvector |
Testberichten verzenden, responspatronen observeren |
| Betrokken componenten |
Alle kanaalintegraties |
| Huidige mitigaties |
Geen specifieke |
| Restrisico |
Laag - Beperkte waarde van ontdekking alleen |
| Aanbevelingen |
Overweeg randomisatie van responstiming |
# 3.2 Initiële toegang (AML.TA0004)
# T-ACCESS-001: Onderschepping van koppelingscode
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0040 - Toegang tot AI-model-inferentie-API |
| Beschrijving |
Aanvaller onderschept koppelingscode tijdens respijtperiode voor koppeling (1u voor DM-kanaalkoppeling, 5m voor Node-koppeling) |
| Aanvalsvector |
Meekijken over de schouder, netwerksniffing, social engineering |
| Betrokken componenten |
Systeem voor apparaatkoppeling |
| Huidige mitigaties |
Verloop na 1u (DM-koppeling) / verloop na 5m (Node-koppeling), codes verzonden via bestaand kanaal |
| Restrisico |
Middel - Respijtperiode is uitbuitbaar |
| Aanbevelingen |
Verkort de respijtperiode, voeg bevestigingsstap toe |
# T-ACCESS-002: AllowFrom-spoofing
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0040 - Toegang tot AI-model-inferentie-API |
| Beschrijving |
Aanvaller vervalst toegestane afzenderidentiteit in kanaal |
| Aanvalsvector |
Afhankelijk van kanaal - spoofing van telefoonnummer, impersonatie van gebruikersnaam |
| Betrokken componenten |
AllowFrom-validatie per kanaal |
| Huidige mitigaties |
Kanaalspecifieke identiteitsverificatie |
| Restrisico |
Middel - Sommige kanalen zijn kwetsbaar voor spoofing |
| Aanbevelingen |
Documenteer kanaalspecifieke risico's, voeg waar mogelijk cryptografische verificatie toe |
# T-ACCESS-003: Tokendiefstal
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0040 - Toegang tot AI-model-inferentie-API |
| Beschrijving |
Aanvaller steelt authenticatietokens uit configuratiebestanden |
| Aanvalsvector |
Malware, ongeautoriseerde apparaattoegang, blootstelling van configuratieback-ups |
| Betrokken componenten |
~/.openclaw/credentials/, configuratieopslag |
| Huidige mitigaties |
Bestandsmachtigingen |
| Restrisico |
Hoog - Tokens worden in platte tekst opgeslagen |
| Aanbevelingen |
Implementeer tokenversleuteling in rust, voeg tokenrotatie toe |
# 3.3 Uitvoering (AML.TA0005)
# T-EXEC-001: Directe promptinjectie
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0051.000 - LLM-promptinjectie: direct |
| Beschrijving |
Aanvaller verzendt zorgvuldig geconstrueerde prompts om agentgedrag te manipuleren |
| Aanvalsvector |
Kanaalberichten met vijandige instructies |
| Betrokken componenten |
Agent-LLM, alle invoeroppervlakken |
| Huidige mitigaties |
Patroondetectie, omhulling van externe inhoud |
| Restrisico |
Kritiek - Alleen detectie, geen blokkering; geavanceerde aanvallen omzeilen dit |
| Aanbevelingen |
Implementeer meerlaagse verdediging, uitvoervalidatie, gebruikersbevestiging voor gevoelige acties |
# T-EXEC-002: Indirecte promptinjectie
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0051.001 - LLM-promptinjectie: indirect |
| Beschrijving |
Aanvaller sluit kwaadaardige instructies in opgehaalde inhoud in |
| Aanvalsvector |
Kwaadaardige URL's, vergiftigde e-mails, gecompromitteerde webhooks |
| Betrokken componenten |
web_fetch, e-mailinname, externe gegevensbronnen |
| Huidige mitigaties |
Inhoudsomsluiting met XML-tags en beveiligingsmelding |
| Restrisico |
Hoog - LLM kan omhullingsinstructies negeren |
| Aanbevelingen |
Implementeer inhoudssanering, gescheiden uitvoeringscontexten |
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0051.000 - LLM-promptinjectie: direct |
| Beschrijving |
Aanvaller manipuleert toolargumenten via promptinjectie |
| Aanvalsvector |
Zorgvuldig geconstrueerde prompts die toolparameterwaarden beïnvloeden |
| Betrokken componenten |
Alle toolaanroepen |
| Huidige mitigaties |
Exec-goedkeuringen voor gevaarlijke opdrachten |
| Restrisico |
Hoog - Vertrouwt op gebruikersoordeel |
| Aanbevelingen |
Implementeer argumentvalidatie, geparametriseerde toolaanroepen |
# T-EXEC-004: Omzeiling van Exec-goedkeuring
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0043 - Vijandige gegevens construeren |
| Beschrijving |
Aanvaller construeert opdrachten die de allowlist voor goedkeuring omzeilen |
| Aanvalsvector |
Obfuscatie van opdrachten, misbruik van aliassen, padmanipulatie |
| Betrokken componenten |
exec-approvals.ts, opdracht-allowlist |
| Huidige mitigaties |
Allowlist + vraagmodus |
| Restrisico |
Hoog - Geen sanering van opdrachten |
| Aanbevelingen |
Implementeer normalisatie van opdrachten, breid blocklist uit |
# 3.4 Persistentie (AML.TA0006)
# T-PERSIST-001: Installatie van kwaadaardige Skill
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0010.001 - Compromittering van toeleveringsketen: AI-software |
| Beschrijving |
Aanvaller publiceert kwaadaardige Skill naar ClawHub |
| Aanvalsvector |
Account aanmaken, Skill publiceren met verborgen kwaadaardige code |
| Betrokken componenten |
ClawHub, laden van Skill, uitvoering door agent |
| Huidige mitigaties |
Verificatie van leeftijd van GitHub-account, patroongebaseerde moderatievlaggen |
| Restrisico |
Kritiek - Geen sandboxing, beperkte review |
| Aanbevelingen |
VirusTotal-integratie (in uitvoering), sandboxing van Skills, communityreview |
# T-PERSIST-002: Vergiftiging van Skill-update
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0010.001 - Compromittering van toeleveringsketen: AI-software |
| Beschrijving |
Aanvaller compromitteert populaire Skill en pusht kwaadaardige update |
| Aanvalsvector |
Accountcompromittering, social engineering van Skill-eigenaar |
| Betrokken componenten |
ClawHub-versionering, auto-updateflows |
| Huidige mitigaties |
Versie-fingerprinting |
| Restrisico |
Hoog - Auto-updates kunnen kwaadaardige versies ophalen |
| Aanbevelingen |
Implementeer ondertekening van updates, rollbackmogelijkheid, versie-pinning |
# T-PERSIST-003: Manipulatie van agentconfiguratie
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0010.002 - Compromittering van toeleveringsketen: gegevens |
| Beschrijving |
Aanvaller wijzigt agentconfiguratie om toegang persistent te maken |
| Aanvalsvector |
Wijziging van configuratiebestand, injectie van instellingen |
| Betrokken componenten |
Agentconfiguratie, toolbeleid |
| Huidige mitigaties |
Bestandsmachtigingen |
| Restrisico |
Middel - Vereist lokale toegang |
| Aanbevelingen |
Integriteitsverificatie van configuratie, auditlogging voor configuratiewijzigingen |
# 3.5 Verdedigingsontwijking (AML.TA0007)
# T-EVADE-001: Omzeiling van moderatiepatronen
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0043 - Vijandige gegevens construeren |
| Beschrijving |
Aanvaller construeert Skill-inhoud om moderatiepatronen te ontwijken |
| Aanvalsvector |
Unicode-homogliefen, coderingstrucs, dynamisch laden |
| Betrokken componenten |
ClawHub moderation.ts |
| Huidige mitigaties |
Patroongebaseerde FLAG_RULES |
| Restrisico |
Hoog - Eenvoudige regex is makkelijk te omzeilen |
| Aanbevelingen |
Voeg gedragsanalyse toe (VirusTotal Code Insight), AST-gebaseerde detectie |
# T-EVADE-002: Ontsnapping uit inhoudsomsluiting
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0043 - Vijandige gegevens maken |
| Beschrijving |
Aanvaller maakt inhoud die uit de XML-wrappercontext ontsnapt |
| Aanvalsvector |
Tagmanipulatie, contextverwarring, instructie-override |
| Getroffen componenten |
Wrapping van externe inhoud |
| Huidige mitigaties |
XML-tags + beveiligingsmelding |
| Restrisico |
Middel - Nieuwe ontsnappingen worden regelmatig ontdekt |
| Aanbevelingen |
Meerdere wrapperlagen, validatie aan de uitvoerzijde |
# 3.6 Verkenning (AML.TA0008)
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0040 - Toegang tot AI Model Inference API |
| Beschrijving |
Aanvaller inventariseert beschikbare tools via prompts |
| Aanvalsvector |
Query's in de stijl van "Welke tools heb je?" |
| Getroffen componenten |
Toolregister van de agent |
| Huidige mitigaties |
Geen specifiek |
| Restrisico |
Laag - Tools zijn doorgaans gedocumenteerd |
| Aanbevelingen |
Overweeg controles voor toolzichtbaarheid |
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0040 - Toegang tot AI Model Inference API |
| Beschrijving |
Aanvaller extraheert gevoelige gegevens uit sessiecontext |
| Aanvalsvector |
Query's zoals "Wat hebben we besproken?", contextonderzoek |
| Getroffen componenten |
Sessietranscripten, contextvenster |
| Huidige mitigaties |
Sessie-isolatie per afzender |
| Restrisico |
Middel - Gegevens binnen de sessie zijn toegankelijk |
| Aanbevelingen |
Implementeer redactie van gevoelige gegevens in context |
# 3.7 Verzameling en exfiltratie (AML.TA0009, AML.TA0010)
# T-EXFIL-001: Gegevensdiefstal via web_fetch
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0009 - Verzameling |
| Beschrijving |
Aanvaller exfiltreert gegevens door de agent opdracht te geven deze naar een externe URL te sturen |
| Aanvalsvector |
Promptinjectie waardoor de agent gegevens naar de server van de aanvaller POST |
| Getroffen componenten |
web_fetch-tool |
| Huidige mitigaties |
SSRF-blokkering voor interne netwerken |
| Restrisico |
Hoog - Externe URL's zijn toegestaan |
| Aanbevelingen |
Implementeer URL-allowlisting, bewustzijn van gegevensclassificatie |
# T-EXFIL-002: Ongeautoriseerd berichten verzenden
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0009 - Verzameling |
| Beschrijving |
Aanvaller zorgt dat de agent berichten met gevoelige gegevens verzendt |
| Aanvalsvector |
Promptinjectie waardoor de agent de aanvaller een bericht stuurt |
| Getroffen componenten |
Berichtentool, kanaalintegraties |
| Huidige mitigaties |
Gating voor uitgaande berichten |
| Restrisico |
Middel - Gating kan worden omzeild |
| Aanbevelingen |
Vereis expliciete bevestiging voor nieuwe ontvangers |
# T-EXFIL-003: Verzamelen van referenties
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0009 - Verzameling |
| Beschrijving |
Kwaadaardige Skill verzamelt referenties uit agentcontext |
| Aanvalsvector |
Skill-code leest omgevingsvariabelen, configuratiebestanden |
| Getroffen componenten |
Uitvoeringsomgeving voor Skills |
| Huidige mitigaties |
Geen specifiek voor Skills |
| Restrisico |
Kritiek - Skills draaien met agentrechten |
| Aanbevelingen |
Sandboxing van Skills, isolatie van referenties |
# 3.8 Impact (AML.TA0011)
# T-IMPACT-001: Ongeautoriseerde opdrachtuitvoering
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0031 - Integriteit van AI-model aantasten |
| Beschrijving |
Aanvaller voert willekeurige opdrachten uit op het gebruikerssysteem |
| Aanvalsvector |
Promptinjectie gecombineerd met omzeiling van exec-goedkeuring |
| Getroffen componenten |
Bash-tool, opdrachtuitvoering |
| Huidige mitigaties |
Exec-goedkeuringen, Docker-sandboxoptie |
| Restrisico |
Kritiek - Hostuitvoering zonder sandbox |
| Aanbevelingen |
Standaard sandbox gebruiken, goedkeurings-UX verbeteren |
# T-IMPACT-002: Uitputting van resources (DoS)
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0031 - Integriteit van AI-model aantasten |
| Beschrijving |
Aanvaller put API-tegoeden of rekenresources uit |
| Aanvalsvector |
Geautomatiseerde berichtenflooding, dure toolaanroepen |
| Getroffen componenten |
Gateway, agentsessies, API-provider |
| Huidige mitigaties |
Geen |
| Restrisico |
Hoog - Geen rate limiting |
| Aanbevelingen |
Implementeer snelheidslimieten per afzender, kostenbudgetten |
# T-IMPACT-003: Reputatieschade
| Kenmerk |
Waarde |
| ATLAS-ID |
AML.T0031 - Integriteit van AI-model aantasten |
| Beschrijving |
Aanvaller zorgt dat de agent schadelijke/aanstootgevende inhoud verzendt |
| Aanvalsvector |
Promptinjectie die ongepaste antwoorden veroorzaakt |
| Getroffen componenten |
Uitvoergeneratie, kanaalberichten |
| Huidige mitigaties |
Inhoudsbeleid van LLM-provider |
| Restrisico |
Middel - Providerfilters zijn onvolmaakt |
| Aanbevelingen |
Uitvoerfilterlaag, gebruikerscontroles |
# 4. Analyse van de ClawHub-toeleveringsketen
# 4.1 Huidige beveiligingscontroles
| Controle |
Implementatie |
Effectiviteit |
| Leeftijd GitHub-account |
requireGitHubAccountAge() |
Middel - Verhoogt de drempel voor nieuwe aanvallers |
| Padsanitisatie |
sanitizePath() |
Hoog - Voorkomt path traversal |
| Bestandstypevalidatie |
isTextFile() |
Middel - Alleen tekstbestanden, maar die kunnen nog steeds kwaadaardig zijn |
| Groottelimieten |
Totale bundel van 50 MB |
Hoog - Voorkomt uitputting van resources |
| Vereiste SKILL.md |
Verplichte readme |
Lage beveiligingswaarde - Alleen informatief |
| Patroonmoderatie |
FLAG_RULES in moderation.ts |
Laag - Eenvoudig te omzeilen |
| Moderatiestatus |
moderationStatus-veld |
Middel - Handmatige beoordeling mogelijk |
# 4.2 Vlagpatronen voor moderatie
Huidige patronen in moderation.ts:
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
Beperkingen:
- Controleert alleen slug, displayName, samenvatting, frontmatter, metadata, bestandspaden
- Analyseert de daadwerkelijke inhoud van Skill-code niet
- Eenvoudige regex is gemakkelijk te omzeilen met obfuscatie
- Geen gedragsanalyse
# 4.3 Geplande verbeteringen
| Verbetering |
Status |
Impact |
| VirusTotal-integratie |
In uitvoering |
Hoog - Gedragsanalyse met Code Insight |
| Communityrapportage |
Gedeeltelijk (skillReports-tabel bestaat) |
Middel |
| Auditlogging |
Gedeeltelijk (auditLogs-tabel bestaat) |
Middel |
| Badgesysteem |
Geïmplementeerd |
Middel - highlighted, official, deprecated, redactionApproved |
# 5. Risicomatrix
# 5.1 Waarschijnlijkheid versus impact
| Dreigings-ID |
Waarschijnlijkheid |
Impact |
Risiconiveau |
Prioriteit |
| T-EXEC-001 |
Hoog |
Kritiek |
Kritiek |
P0 |
| T-PERSIST-001 |
Hoog |
Kritiek |
Kritiek |
P0 |
| T-EXFIL-003 |
Middel |
Kritiek |
Kritiek |
P0 |
| T-IMPACT-001 |
Middel |
Kritiek |
Hoog |
P1 |
| T-EXEC-002 |
Hoog |
Hoog |
Hoog |
P1 |
| T-EXEC-004 |
Middel |
Hoog |
Hoog |
P1 |
| T-ACCESS-003 |
Middel |
Hoog |
Hoog |
P1 |
| T-EXFIL-001 |
Middel |
Hoog |
Hoog |
P1 |
| T-IMPACT-002 |
Hoog |
Middel |
Hoog |
P1 |
| T-EVADE-001 |
Hoog |
Middel |
Middel |
P2 |
| T-ACCESS-001 |
Laag |
Hoog |
Middel |
P2 |
| T-ACCESS-002 |
Laag |
Hoog |
Middel |
P2 |
| T-PERSIST-002 |
Laag |
Hoog |
Middel |
P2 |
# 5.2 Kritieke aanvalsketens
Aanvalsketen 1: Skill-gebaseerde gegevensdiefstal
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
Aanvalsketen 2: Promptinjectie naar RCE
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
Aanvalsketen 3: Indirecte injectie via opgehaalde inhoud
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)
# 6. Samenvatting van aanbevelingen
# 6.1 Onmiddellijk (P0)
| ID |
Aanbeveling |
Behandelt |
| R-001 |
Voltooi VirusTotal-integratie |
T-PERSIST-001, T-EVADE-001 |
| R-002 |
Implementeer skill-sandboxing |
T-PERSIST-001, T-EXFIL-003 |
| R-003 |
Voeg uitvoervalidatie toe voor gevoelige acties |
T-EXEC-001, T-EXEC-002 |
# 6.2 Korte termijn (P1)
| ID |
Aanbeveling |
Behandelt |
| R-004 |
Implementeer rate limiting |
T-IMPACT-002 |
| R-005 |
Voeg tokenversleuteling in rust toe |
T-ACCESS-003 |
| R-006 |
Verbeter exec-goedkeurings-UX en validatie |
T-EXEC-004 |
| R-007 |
Implementeer URL-allowlisting voor web_fetch |
T-EXFIL-001 |
# 6.3 Middellange termijn (P2)
| ID |
Aanbeveling |
Behandelt |
| R-008 |
Voeg waar mogelijk cryptografische kanaalverificatie toe |
T-ACCESS-002 |
| R-009 |
Implementeer integriteitsverificatie van configuratie |
T-PERSIST-003 |
| R-010 |
Voeg update-ondertekening en versiepinnen toe |
T-PERSIST-002 |
# 7. Bijlagen
# 7.1 ATLAS-techniektoewijzing
| ATLAS-ID |
Technieknaam |
OpenClaw-dreigingen |
| AML.T0006 |
Actief scannen |
T-RECON-001, T-RECON-002 |
| AML.T0009 |
Verzameling |
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 |
| AML.T0010.001 |
Supply chain: AI-software |
T-PERSIST-001, T-PERSIST-002 |
| AML.T0010.002 |
Supply chain: gegevens |
T-PERSIST-003 |
| AML.T0031 |
AI-modelintegriteit aantasten |
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 |
| AML.T0040 |
Toegang tot AI-modelinferentie-API |
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043 |
Vijandige gegevens maken |
T-EXEC-004, T-EVADE-001, T-EVADE-002 |
| AML.T0051.000 |
LLM-promptinjectie: direct |
T-EXEC-001, T-EXEC-003 |
| AML.T0051.001 |
LLM-promptinjectie: indirect |
T-EXEC-002 |
# 7.2 Belangrijke beveiligingsbestanden
| Pad |
Doel |
Risiconiveau |
src/infra/exec-approvals.ts |
Logica voor opdrachtgoedkeuringen |
Kritiek |
src/gateway/auth.ts |
Gateway-authenticatie |
Kritiek |
src/infra/net/ssrf.ts |
SSRF-bescherming |
Kritiek |
src/security/external-content.ts |
Beperking van promptinjectie |
Kritiek |
src/agents/sandbox/tool-policy.ts |
Handhaving van toolbeleid |
Kritiek |
src/routing/resolve-route.ts |
Sessie-isolatie |
Gemiddeld |
# 7.3 Woordenlijst
| Term |
Definitie |
| ATLAS |
MITRE's Adversarial Threat Landscape for AI Systems |
| ClawHub |
OpenClaw's skillmarktplaats |
| Gateway |
OpenClaw's laag voor berichtroutering en authenticatie |
| MCP |
Model Context Protocol - interface voor toolproviders |
| Promptinjectie |
Aanval waarbij kwaadaardige instructies in invoer worden ingebed |
| Skill |
Downloadbare extensie voor OpenClaw-agenten |
| SSRF |
Server-Side Request Forgery |
Dit dreigingsmodel is een levend document. Meld beveiligingsproblemen aan [email protected]
# Gerelateerd
