English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaisالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiفارسیไทย

Security

Модель загроз (MITRE ATLAS)

Фреймворк MITRE ATLAS

Версія: 1.0-draft Останнє оновлення: 2026-02-04 Методологія: MITRE ATLAS + діаграми потоків даних Фреймворк: MITRE ATLAS (ландшафт змагальних загроз для AI-систем)

Атрибуція фреймворку

Ця модель загроз побудована на MITRE ATLAS, галузевому стандартному фреймворку для документування змагальних загроз для AI/ML-систем. ATLAS підтримує MITRE у співпраці зі спільнотою безпеки AI.

Ключові ресурси ATLAS:

Участь у цій моделі загроз

Це живий документ, який підтримує спільнота OpenClaw. Перегляньте CONTRIBUTING-THREAT-MODEL.md, щоб ознайомитися з настановами щодо участі:

  • Повідомлення про нові загрози
  • Оновлення наявних загроз
  • Пропонування ланцюжків атак
  • Пропонування заходів пом’якшення

1. Вступ

1.1 Призначення

Ця модель загроз документує змагальні загрози для платформи AI-агентів OpenClaw і маркетплейсу Skills ClawHub, використовуючи фреймворк MITRE ATLAS, спеціально розроблений для AI/ML-систем.

1.2 Обсяг

Компонент Включено Примітки
Середовище виконання агента OpenClaw Так Основне виконання агента, виклики інструментів, сеанси
Gateway Так Автентифікація, маршрутизація, інтеграція каналів
Інтеграції каналів Так WhatsApp, Telegram, Discord, Signal, Slack тощо
Маркетплейс ClawHub Так Публікація Skills, модерація, розповсюдження
MCP-сервери Так Зовнішні постачальники інструментів
Пристрої користувачів Частково Мобільні застосунки, настільні клієнти

1.3 Поза обсягом

Нічого явно не виключено з обсягу цієї моделі загроз.

2. Архітектура системи

2.1 Межі довіри

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Потоки даних

Потік Джерело Призначення Дані Захист
F1 Канал Gateway Повідомлення користувача TLS, AllowFrom
F2 Gateway Агент Маршрутизовані повідомлення Ізоляція сеансів
F3 Агент Інструменти Виклики інструментів Застосування політик
F4 Агент Зовнішній ресурс запити web_fetch Блокування SSRF
F5 ClawHub Агент Код Skills Модерація, сканування
F6 Агент Канал Відповіді Фільтрація виводу

3. Аналіз загроз за тактикою ATLAS

3.1 Розвідка (AML.TA0002)

T-RECON-001: Виявлення кінцевих точок агента

Атрибут Значення
ATLAS ID AML.T0006 - Активне сканування
Опис Зловмисник сканує відкриті кінцеві точки OpenClaw Gateway
Вектор атаки Мережеве сканування, запити shodan, перебирання DNS
Уражені компоненти Gateway, відкриті кінцеві точки API
Поточні заходи пом’якшення Опція автентифікації Tailscale, прив’язування до loopback за замовчуванням
Залишковий ризик Середній - публічні Gateway можна виявити
Рекомендації Задокументувати безпечне розгортання, додати обмеження частоти для кінцевих точок виявлення

T-RECON-002: Зондування інтеграції каналів

Атрибут Значення
Ідентифікатор ATLAS AML.T0006 - Активне сканування
Опис Зловмисник зондує канали обміну повідомленнями, щоб виявити облікові записи, керовані ШІ
Вектор атаки Надсилання тестових повідомлень, спостереження за шаблонами відповідей
Уражені компоненти Усі інтеграції каналів
Поточні пом’якшення Немає специфічних
Залишковий ризик Низький - обмежена цінність самого лише виявлення
Рекомендації Розглянути рандомізацію часу відповіді

3.2 Початковий доступ (AML.TA0004)

T-ACCESS-001: Перехоплення коду сполучення

Атрибут Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник перехоплює код сполучення під час пільгового періоду сполучення (1 год для сполучення каналу DM, 5 хв для сполучення Node)
Вектор атаки Підглядання через плече, перехоплення мережевого трафіку, соціальна інженерія
Уражені компоненти Система сполучення пристроїв
Поточні пом’якшення Закінчення строку дії через 1 год (сполучення DM) / 5 хв (сполучення Node), коди надсилаються через наявний канал
Залишковий ризик Середній - пільговий період можна використати
Рекомендації Скоротити пільговий період, додати крок підтвердження

T-ACCESS-002: Підміна AllowFrom

Атрибут Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник підміняє ідентичність дозволеного відправника в каналі
Вектор атаки Залежить від каналу - підміна номера телефону, видавання себе за користувача
Уражені компоненти Перевірка AllowFrom для кожного каналу
Поточні пом’якшення Специфічна для каналу перевірка ідентичності
Залишковий ризик Середній - деякі канали вразливі до підміни
Рекомендації Задокументувати специфічні для каналів ризики, додати криптографічну перевірку, де це можливо

T-ACCESS-003: Викрадення токенів

Атрибут Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник викрадає токени автентифікації з файлів конфігурації
Вектор атаки Шкідливе ПЗ, несанкціонований доступ до пристрою, розкриття резервної копії конфігурації
Уражені компоненти ~/.openclaw/credentials/, сховище конфігурації
Поточні пом’якшення Дозволи файлів
Залишковий ризик Високий - токени зберігаються у відкритому тексті
Рекомендації Реалізувати шифрування токенів у стані спокою, додати ротацію токенів

3.3 Виконання (AML.TA0005)

T-EXEC-001: Пряма ін’єкція промпта

Атрибут Значення
Ідентифікатор ATLAS AML.T0051.000 - Ін’єкція промпта LLM: пряма
Опис Зловмисник надсилає спеціально сформовані промпти, щоб маніпулювати поведінкою агента
Вектор атаки Повідомлення каналів, що містять ворожі інструкції
Уражені компоненти LLM агента, усі поверхні введення
Поточні пом’якшення Виявлення шаблонів, обгортання зовнішнього вмісту
Залишковий ризик Критичний - лише виявлення, без блокування; складні атаки обходять захист
Рекомендації Реалізувати багаторівневий захист, валідацію виводу, підтвердження користувача для чутливих дій

T-EXEC-002: Непряма ін’єкція промпта

Атрибут Значення
Ідентифікатор ATLAS AML.T0051.001 - Ін’єкція промпта LLM: непряма
Опис Зловмисник вбудовує шкідливі інструкції в отриманий вміст
Вектор атаки Шкідливі URL-адреси, отруєні електронні листи, скомпрометовані Webhook
Уражені компоненти web_fetch, поглинання електронної пошти, зовнішні джерела даних
Поточні пом’якшення Обгортання вмісту XML-тегами та повідомленням про безпеку
Залишковий ризик Високий - LLM може ігнорувати інструкції обгортки
Рекомендації Реалізувати санітизацію вмісту, окремі контексти виконання

T-EXEC-003: Ін’єкція аргументів інструмента

Атрибут Значення
Ідентифікатор ATLAS AML.T0051.000 - Ін’єкція промпта LLM: пряма
Опис Зловмисник маніпулює аргументами інструмента через ін’єкцію промпта
Вектор атаки Спеціально сформовані промпти, що впливають на значення параметрів інструмента
Уражені компоненти Усі виклики інструментів
Поточні пом’якшення Схвалення exec для небезпечних команд
Залишковий ризик Високий - покладається на судження користувача
Рекомендації Реалізувати валідацію аргументів, параметризовані виклики інструментів

T-EXEC-004: Обхід схвалення Exec

Атрибут Значення
Ідентифікатор ATLAS AML.T0043 - Створення ворожих даних
Опис Зловмисник створює команди, що обходять allowlist схвалень
Вектор атаки Обфускація команд, експлуатація псевдонімів, маніпуляція шляхами
Уражені компоненти exec-approvals.ts, allowlist команд
Поточні пом’якшення Allowlist + режим запиту
Залишковий ризик Високий - немає санітизації команд
Рекомендації Реалізувати нормалізацію команд, розширити blocklist

3.4 Закріплення (AML.TA0006)

T-PERSIST-001: Встановлення шкідливого Skill

Атрибут Значення
Ідентифікатор ATLAS AML.T0010.001 - Компрометація ланцюга постачання: програмне забезпечення ШІ
Опис Зловмисник публікує шкідливий Skill у ClawHub
Вектор атаки Створення облікового запису, публікація Skill із прихованим шкідливим кодом
Уражені компоненти ClawHub, завантаження Skill, виконання агента
Поточні пом’якшення Перевірка віку облікового запису GitHub, прапорці модерації на основі шаблонів
Залишковий ризик Критичний - немає ізоляції, обмежена перевірка
Рекомендації Інтеграція VirusTotal (у процесі), ізоляція Skill, перевірка спільнотою

T-PERSIST-002: Отруєння оновлення Skill

Атрибут Значення
Ідентифікатор ATLAS AML.T0010.001 - Компрометація ланцюга постачання: програмне забезпечення ШІ
Опис Зловмисник компрометує популярний Skill і надсилає шкідливе оновлення
Вектор атаки Компрометація облікового запису, соціальна інженерія власника Skill
Уражені компоненти Версіонування ClawHub, потоки автооновлення
Поточні пом’якшення Фінгерпринтинг версій
Залишковий ризик Високий - автооновлення можуть підтягнути шкідливі версії
Рекомендації Реалізувати підписування оновлень, можливість відкату, закріплення версій

T-PERSIST-003: Підробка конфігурації агента

Атрибут Значення
Ідентифікатор ATLAS AML.T0010.002 - Компрометація ланцюга постачання: дані
Опис Зловмисник змінює конфігурацію агента, щоб зберегти доступ
Вектор атаки Зміна файлу конфігурації, ін’єкція налаштувань
Уражені компоненти Конфігурація агента, політики інструментів
Поточні пом’якшення Дозволи файлів
Залишковий ризик Середній - потребує локального доступу
Рекомендації Перевірка цілісності конфігурації, журналювання аудиту змін конфігурації

3.5 Ухилення від захисту (AML.TA0007)

T-EVADE-001: Обхід шаблонів модерації

Атрибут Значення
Ідентифікатор ATLAS AML.T0043 - Створення ворожих даних
Опис Зловмисник створює вміст Skill, щоб уникнути шаблонів модерації
Вектор атаки Unicode-омогліфи, прийоми кодування, динамічне завантаження
Уражені компоненти moderation.ts ClawHub
Поточні пом’якшення FLAG_RULES на основі шаблонів
Залишковий ризик Високий - простий regex легко обходиться
Рекомендації Додати поведінковий аналіз (VirusTotal Code Insight), виявлення на основі AST

T-EVADE-002: Вихід за межі обгортки вмісту

Атрибут Значення
Ідентифікатор ATLAS AML.T0043 - Створення змагальних даних
Опис Зловмисник створює вміст, що виходить із контексту XML-обгортки
Вектор атаки Маніпуляція тегами, плутанина контексту, перевизначення інструкцій
Уражені компоненти Обгортання зовнішнього вмісту
Поточні засоби пом'якшення XML-теги + повідомлення безпеки
Залишковий ризик Середній - Нові способи виходу виявляють регулярно
Рекомендації Кілька шарів обгортки, перевірка на боці виводу

3.6 Виявлення (AML.TA0008)

T-DISC-001: Перелічення інструментів

Атрибут Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник перелічує доступні інструменти через промпти
Вектор атаки Запити на кшталт "Які інструменти у вас є?"
Уражені компоненти Реєстр інструментів агента
Поточні засоби пом'якшення Немає специфічних
Залишковий ризик Низький - Інструменти зазвичай задокументовані
Рекомендації Розглянути засоби керування видимістю інструментів

T-DISC-002: Витягування даних сеансу

Атрибут Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник витягує чутливі дані з контексту сеансу
Вектор атаки Запити "Що ми обговорювали?", зондування контексту
Уражені компоненти Транскрипти сеансів, контекстне вікно
Поточні засоби пом'якшення Ізоляція сеансу для кожного відправника
Залишковий ризик Середній - Дані в межах сеансу доступні
Рекомендації Реалізувати редагування чутливих даних у контексті

3.7 Збирання та ексфільтрація (AML.TA0009, AML.TA0010)

T-EXFIL-001: Крадіжка даних через web_fetch

Атрибут Значення
Ідентифікатор ATLAS AML.T0009 - Збирання
Опис Зловмисник ексфільтрує дані, інструктуючи агента надсилати їх на зовнішню URL-адресу
Вектор атаки Ін'єкція промпта, що змушує агента виконати POST даних на сервер зловмисника
Уражені компоненти Інструмент web_fetch
Поточні засоби пом'якшення Блокування SSRF для внутрішніх мереж
Залишковий ризик Високий - Зовнішні URL-адреси дозволені
Рекомендації Реалізувати список дозволених URL-адрес, обізнаність про класифікацію даних

T-EXFIL-002: Несанкціоноване надсилання повідомлень

Атрибут Значення
Ідентифікатор ATLAS AML.T0009 - Збирання
Опис Зловмисник змушує агента надсилати повідомлення, що містять чутливі дані
Вектор атаки Ін'єкція промпта, що змушує агента надіслати повідомлення зловмиснику
Уражені компоненти Інструмент повідомлень, інтеграції каналів
Поточні засоби пом'якшення Контроль вихідних повідомлень
Залишковий ризик Середній - Контроль може бути обійдений
Рекомендації Вимагати явного підтвердження для нових отримувачів

T-EXFIL-003: Збирання облікових даних

Атрибут Значення
Ідентифікатор ATLAS AML.T0009 - Збирання
Опис Шкідлива Skills збирає облікові дані з контексту агента
Вектор атаки Код Skills читає змінні середовища, конфігураційні файли
Уражені компоненти Середовище виконання Skills
Поточні засоби пом'якшення Немає специфічних для Skills
Залишковий ризик Критичний - Skills виконуються з привілеями агента
Рекомендації Ізоляція Skills у пісочниці, ізоляція облікових даних

3.8 Вплив (AML.TA0011)

T-IMPACT-001: Несанкціоноване виконання команд

Атрибут Значення
Ідентифікатор ATLAS AML.T0031 - Підрив цілісності моделі ШІ
Опис Зловмисник виконує довільні команди в системі користувача
Вектор атаки Ін'єкція промпта в поєднанні з обходом підтвердження exec
Уражені компоненти Інструмент Bash, виконання команд
Поточні засоби пом'якшення Підтвердження exec, опція пісочниці Docker
Залишковий ризик Критичний - Виконання на хості без пісочниці
Рекомендації Використовувати пісочницю за замовчуванням, покращити UX підтвердження

T-IMPACT-002: Вичерпання ресурсів (DoS)

Атрибут Значення
Ідентифікатор ATLAS AML.T0031 - Підрив цілісності моделі ШІ
Опис Зловмисник вичерпує API-кредити або обчислювальні ресурси
Вектор атаки Автоматизоване надсилання великої кількості повідомлень, дорогі виклики інструментів
Уражені компоненти Gateway, сеанси агента, постачальник API
Поточні засоби пом'якшення Немає
Залишковий ризик Високий - Немає обмеження частоти
Рекомендації Реалізувати обмеження частоти для кожного відправника, бюджети витрат

T-IMPACT-003: Репутаційна шкода

Атрибут Значення
Ідентифікатор ATLAS AML.T0031 - Підрив цілісності моделі ШІ
Опис Зловмисник змушує агента надсилати шкідливий/образливий вміст
Вектор атаки Ін'єкція промпта, що спричиняє неприйнятні відповіді
Уражені компоненти Генерація виводу, повідомлення в каналах
Поточні засоби пом'якшення Політики вмісту постачальника LLM
Залишковий ризик Середній - Фільтри постачальника недосконалі
Рекомендації Шар фільтрації виводу, засоби керування для користувача

4. Аналіз ланцюга постачання ClawHub

4.1 Поточні засоби контролю безпеки

Засіб контролю Реалізація Ефективність
Вік облікового запису GitHub requireGitHubAccountAge() Середня - Підвищує поріг для нових зловмисників
Санітизація шляху sanitizePath() Висока - Запобігає обходу шляху
Перевірка типу файлу isTextFile() Середня - Лише текстові файли, але вони все ще можуть бути шкідливими
Обмеження розміру Загальний пакет 50 МБ Висока - Запобігає вичерпанню ресурсів
Обов'язковий SKILL.md Обов'язковий файл readme Низька цінність для безпеки - Лише інформаційно
Модерація за шаблонами FLAG_RULES у moderation.ts Низька - Легко обходиться
Статус модерації Поле moderationStatus Середня - Можливий ручний перегляд

4.2 Шаблони прапорців модерації

Поточні шаблони в moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Обмеження:

  • Перевіряє лише slug, displayName, summary, frontmatter, metadata, шляхи файлів
  • Не аналізує фактичний вміст коду Skills
  • Простий regex легко обходиться за допомогою обфускації
  • Немає поведінкового аналізу

4.3 Заплановані покращення

Покращення Статус Вплив
Інтеграція VirusTotal У роботі Високий - Поведінковий аналіз Code Insight
Звітування спільноти Частково (таблиця skillReports існує) Середній
Журналювання аудиту Частково (таблиця auditLogs існує) Середній
Система бейджів Реалізовано Середній - highlighted, official, deprecated, redactionApproved

5. Матриця ризиків

5.1 Ймовірність проти впливу

Ідентифікатор загрози Ймовірність Вплив Рівень ризику Пріоритет
T-EXEC-001 Висока Критичний Критичний P0
T-PERSIST-001 Висока Критичний Критичний P0
T-EXFIL-003 Середня Критичний Критичний P0
T-IMPACT-001 Середня Критичний Високий P1
T-EXEC-002 Висока Високий Високий P1
T-EXEC-004 Середня Високий Високий P1
T-ACCESS-003 Середня Високий Високий P1
T-EXFIL-001 Середня Високий Високий P1
T-IMPACT-002 Висока Середній Високий P1
T-EVADE-001 Висока Середній Середній P2
T-ACCESS-001 Низька Високий Середній P2
T-ACCESS-002 Низька Високий Середній P2
T-PERSIST-002 Низька Високий Середній P2

5.2 Критичні ланцюги атак

Ланцюг атаки 1: Крадіжка даних на основі Skills

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Ланцюг атаки 2: Ін'єкція промпта до RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Ланцюг атаки 3: Непряма ін'єкція через отриманий вміст

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Підсумок рекомендацій

6.1 Негайні (P0)

ID Рекомендація Усуває
R-001 Завершити інтеграцію VirusTotal T-PERSIST-001, T-EVADE-001
R-002 Реалізувати ізоляцію навичок T-PERSIST-001, T-EXFIL-003
R-003 Додати перевірку виводу для чутливих дій T-EXEC-001, T-EXEC-002

6.2 Короткостроково (P1)

ID Рекомендація Усуває
R-004 Реалізувати обмеження частоти T-IMPACT-002
R-005 Додати шифрування токенів у стані спокою T-ACCESS-003
R-006 Покращити UX схвалення exec і перевірку T-EXEC-004
R-007 Реалізувати список дозволених URL для web_fetch T-EXFIL-001

6.3 Середньостроково (P2)

ID Рекомендація Усуває
R-008 Додати криптографічну перевірку каналів, де можливо T-ACCESS-002
R-009 Реалізувати перевірку цілісності конфігурації T-PERSIST-003
R-010 Додати підписування оновлень і закріплення версій T-PERSIST-002

7. Додатки

7.1 Зіставлення технік ATLAS

ID ATLAS Назва техніки Загрози OpenClaw
AML.T0006 Активне сканування T-RECON-001, T-RECON-002
AML.T0009 Збирання T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001 Ланцюг постачання: ПЗ AI T-PERSIST-001, T-PERSIST-002
AML.T0010.002 Ланцюг постачання: дані T-PERSIST-003
AML.T0031 Порушення цілісності моделі AI T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040 Доступ до API виведення моделі AI T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043 Створення змагальних даних T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000 Ін’єкція підказки LLM: пряма T-EXEC-001, T-EXEC-003
AML.T0051.001 Ін’єкція підказки LLM: непряма T-EXEC-002

7.2 Ключові файли безпеки

Шлях Призначення Рівень ризику
src/infra/exec-approvals.ts Логіка схвалення команд Критичний
src/gateway/auth.ts Автентифікація Gateway Критичний
src/infra/net/ssrf.ts Захист від SSRF Критичний
src/security/external-content.ts Пом’якшення ін’єкцій підказок Критичний
src/agents/sandbox/tool-policy.ts Застосування політики інструментів Критичний
src/routing/resolve-route.ts Ізоляція сеансів Середній

7.3 Глосарій

Термін Визначення
ATLAS Ландшафт змагальних загроз MITRE для систем AI
ClawHub Маркетплейс навичок OpenClaw
Gateway Шар маршрутизації повідомлень і автентифікації OpenClaw
MCP Model Context Protocol - інтерфейс постачальника інструментів
Ін’єкція підказки Атака, під час якої шкідливі інструкції вбудовуються у вхідні дані
Skill Завантажуване розширення для агентів OpenClaw
SSRF Server-Side Request Forgery

Ця модель загроз є живим документом. Повідомляйте про проблеми безпеки на [email protected]

Пов’язане