Security

Mô hình mối đe dọa (MITRE ATLAS)

Khung MITRE ATLAS

Phiên bản: 1.0-draft Cập nhật lần cuối: 2026-02-04 Phương pháp luận: MITRE ATLAS + Sơ đồ luồng dữ liệu Khung: MITRE ATLAS (Bối cảnh mối đe dọa đối nghịch cho hệ thống AI)

Ghi nhận khung

Mô hình mối đe dọa này được xây dựng trên MITRE ATLAS, khung tiêu chuẩn ngành để ghi tài liệu các mối đe dọa đối nghịch đối với hệ thống AI/ML. ATLAS được MITRE duy trì với sự cộng tác của cộng đồng bảo mật AI.

Tài nguyên ATLAS chính:

Đóng góp cho mô hình mối đe dọa này

Đây là tài liệu sống do cộng đồng OpenClaw duy trì. Xem CONTRIBUTING-THREAT-MODEL.md để biết hướng dẫn đóng góp:

Báo cáo mối đe dọa mới
Cập nhật mối đe dọa hiện có
Đề xuất chuỗi tấn công
Gợi ý biện pháp giảm thiểu

1. Giới thiệu

1.1 Mục đích

Mô hình mối đe dọa này ghi tài liệu các mối đe dọa đối nghịch đối với nền tảng tác nhân AI OpenClaw và chợ Skills ClawHub, sử dụng khung MITRE ATLAS được thiết kế riêng cho hệ thống AI/ML.

1.2 Phạm vi

Thành phần	Bao gồm	Ghi chú
Thời gian chạy tác nhân OpenClaw	Có	Thực thi tác nhân lõi, lệnh gọi công cụ, phiên
Gateway	Có	Xác thực, định tuyến, tích hợp kênh
Tích hợp kênh	Có	WhatsApp, Telegram, Discord, Signal, Slack, v.v.
Chợ ClawHub	Có	Xuất bản Skills, kiểm duyệt, phân phối
Máy chủ MCP	Có	Nhà cung cấp công cụ bên ngoài
Thiết bị người dùng	Một phần	Ứng dụng di động, máy khách máy tính để bàn

1.3 Ngoài phạm vi

Không có nội dung nào được loại trừ rõ ràng khỏi phạm vi của mô hình mối đe dọa này.

2. Kiến trúc hệ thống

2.1 Ranh giới tin cậy

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Luồng dữ liệu

Luồng	Nguồn	Đích	Dữ liệu	Biện pháp bảo vệ
F1	Kênh	Gateway	Tin nhắn người dùng	TLS, AllowFrom
F2	Gateway	Tác nhân	Tin nhắn được định tuyến	Cô lập phiên
F3	Tác nhân	Công cụ	Lệnh gọi công cụ	Thực thi chính sách
F4	Tác nhân	Bên ngoài	Yêu cầu web_fetch	Chặn SSRF
F5	ClawHub	Tác nhân	Mã Skills	Kiểm duyệt, quét
F6	Tác nhân	Kênh	Phản hồi	Lọc đầu ra

3. Phân tích mối đe dọa theo chiến thuật ATLAS

3.1 Trinh sát (AML.TA0002)

T-RECON-001: Phát hiện điểm cuối tác nhân

Thuộc tính	Giá trị
ID ATLAS	AML.T0006 - Quét chủ động
Mô tả	Kẻ tấn công quét các điểm cuối Gateway OpenClaw bị lộ
Vector tấn công	Quét mạng, truy vấn shodan, liệt kê DNS
Thành phần bị ảnh hưởng	Gateway, các điểm cuối API bị lộ
Biện pháp giảm thiểu hiện tại	Tùy chọn xác thực Tailscale, mặc định liên kết với loopback
Rủi ro còn lại	Trung bình - Gateway công khai có thể bị phát hiện
Khuyến nghị	Ghi tài liệu triển khai bảo mật, thêm giới hạn tốc độ trên các điểm cuối phát hiện

T-RECON-002: Thăm dò tích hợp kênh

Thuộc tính	Giá trị
ATLAS ID	AML.T0006 - Quét chủ động
Mô tả	Kẻ tấn công thăm dò các kênh nhắn tin để xác định tài khoản do AI quản lý
Vector tấn công	Gửi tin nhắn thử nghiệm, quan sát mẫu phản hồi
Thành phần bị ảnh hưởng	Tất cả tích hợp kênh
Biện pháp giảm thiểu hiện tại	Chưa có biện pháp cụ thể
Rủi ro còn lại	Thấp - Chỉ riêng việc phát hiện có giá trị hạn chế
Khuyến nghị	Cân nhắc ngẫu nhiên hóa thời điểm phản hồi

3.2 Truy cập ban đầu (AML.TA0004)

T-ACCESS-001: Chặn mã ghép nối

Thuộc tính	Giá trị
ATLAS ID	AML.T0040 - Quyền truy cập API suy luận mô hình AI
Mô tả	Kẻ tấn công chặn mã ghép nối trong thời gian gia hạn ghép nối (1 giờ cho ghép nối kênh DM, 5 phút cho ghép nối Node)
Vector tấn công	Nhìn trộm qua vai, nghe lén mạng, kỹ nghệ xã hội
Thành phần bị ảnh hưởng	Hệ thống ghép nối thiết bị
Biện pháp giảm thiểu hiện tại	Hết hạn sau 1 giờ (ghép nối DM) / hết hạn sau 5 phút (ghép nối Node), mã được gửi qua kênh hiện có
Rủi ro còn lại	Trung bình - Thời gian gia hạn có thể bị khai thác
Khuyến nghị	Giảm thời gian gia hạn, thêm bước xác nhận

T-ACCESS-002: Giả mạo AllowFrom

Thuộc tính	Giá trị
ATLAS ID	AML.T0040 - Quyền truy cập API suy luận mô hình AI
Mô tả	Kẻ tấn công giả mạo danh tính người gửi được phép trong kênh
Vector tấn công	Tùy thuộc vào kênh - giả mạo số điện thoại, mạo danh tên người dùng
Thành phần bị ảnh hưởng	Xác thực AllowFrom theo từng kênh
Biện pháp giảm thiểu hiện tại	Xác minh danh tính theo từng kênh
Rủi ro còn lại	Trung bình - Một số kênh dễ bị giả mạo
Khuyến nghị	Ghi tài liệu về rủi ro theo từng kênh, thêm xác minh bằng mật mã khi có thể

T-ACCESS-003: Đánh cắp token

Thuộc tính	Giá trị
ATLAS ID	AML.T0040 - Quyền truy cập API suy luận mô hình AI
Mô tả	Kẻ tấn công đánh cắp token xác thực từ tệp cấu hình
Vector tấn công	Phần mềm độc hại, truy cập thiết bị trái phép, lộ bản sao lưu cấu hình
Thành phần bị ảnh hưởng	~/.openclaw/credentials/, lưu trữ cấu hình
Biện pháp giảm thiểu hiện tại	Quyền tệp
Rủi ro còn lại	Cao - Token được lưu ở dạng văn bản thuần
Khuyến nghị	Triển khai mã hóa token khi lưu trữ, thêm xoay vòng token

3.3 Thực thi (AML.TA0005)

T-EXEC-001: Tiêm prompt trực tiếp

Thuộc tính	Giá trị
ATLAS ID	AML.T0051.000 - Tiêm prompt vào LLM: Trực tiếp
Mô tả	Kẻ tấn công gửi prompt được tạo có chủ đích để thao túng hành vi của agent
Vector tấn công	Tin nhắn kênh chứa chỉ dẫn đối nghịch
Thành phần bị ảnh hưởng	LLM của agent, tất cả bề mặt đầu vào
Biện pháp giảm thiểu hiện tại	Phát hiện mẫu, bao bọc nội dung bên ngoài
Rủi ro còn lại	Nghiêm trọng - Chỉ phát hiện, không chặn; các cuộc tấn công tinh vi có thể vượt qua
Khuyến nghị	Triển khai phòng thủ nhiều lớp, xác thực đầu ra, yêu cầu người dùng xác nhận cho hành động nhạy cảm

T-EXEC-002: Tiêm prompt gián tiếp

Thuộc tính	Giá trị
ATLAS ID	AML.T0051.001 - Tiêm prompt vào LLM: Gián tiếp
Mô tả	Kẻ tấn công nhúng chỉ dẫn độc hại vào nội dung được truy xuất
Vector tấn công	URL độc hại, email bị đầu độc, webhook bị xâm phạm
Thành phần bị ảnh hưởng	web_fetch, tiếp nhận email, nguồn dữ liệu bên ngoài
Biện pháp giảm thiểu hiện tại	Bao bọc nội dung bằng thẻ XML và thông báo bảo mật
Rủi ro còn lại	Cao - LLM có thể bỏ qua chỉ dẫn của lớp bao bọc
Khuyến nghị	Triển khai làm sạch nội dung, tách biệt ngữ cảnh thực thi

T-EXEC-003: Tiêm tham số công cụ

Thuộc tính	Giá trị
ATLAS ID	AML.T0051.000 - Tiêm prompt vào LLM: Trực tiếp
Mô tả	Kẻ tấn công thao túng tham số công cụ thông qua tiêm prompt
Vector tấn công	Prompt được tạo có chủ đích nhằm ảnh hưởng đến giá trị tham số công cụ
Thành phần bị ảnh hưởng	Tất cả lệnh gọi công cụ
Biện pháp giảm thiểu hiện tại	Phê duyệt exec cho các lệnh nguy hiểm
Rủi ro còn lại	Cao - Phụ thuộc vào phán đoán của người dùng
Khuyến nghị	Triển khai xác thực tham số, lệnh gọi công cụ được tham số hóa

T-EXEC-004: Vượt qua phê duyệt exec

Thuộc tính	Giá trị
ATLAS ID	AML.T0043 - Tạo dữ liệu đối nghịch
Mô tả	Kẻ tấn công tạo lệnh vượt qua danh sách cho phép phê duyệt
Vector tấn công	Làm rối lệnh, khai thác bí danh, thao túng đường dẫn
Thành phần bị ảnh hưởng	exec-approvals.ts, danh sách cho phép lệnh
Biện pháp giảm thiểu hiện tại	Danh sách cho phép + chế độ hỏi
Rủi ro còn lại	Cao - Không làm sạch lệnh
Khuyến nghị	Triển khai chuẩn hóa lệnh, mở rộng danh sách chặn

3.4 Duy trì hiện diện (AML.TA0006)

T-PERSIST-001: Cài đặt kỹ năng độc hại

Thuộc tính	Giá trị
ATLAS ID	AML.T0010.001 - Xâm phạm chuỗi cung ứng: Phần mềm AI
Mô tả	Kẻ tấn công phát hành kỹ năng độc hại lên ClawHub
Vector tấn công	Tạo tài khoản, phát hành kỹ năng có mã độc hại ẩn
Thành phần bị ảnh hưởng	ClawHub, tải kỹ năng, thực thi agent
Biện pháp giảm thiểu hiện tại	Xác minh tuổi tài khoản GitHub, cờ kiểm duyệt dựa trên mẫu
Rủi ro còn lại	Nghiêm trọng - Không có sandboxing, đánh giá hạn chế
Khuyến nghị	Tích hợp VirusTotal (đang thực hiện), sandboxing kỹ năng, đánh giá cộng đồng

T-PERSIST-002: Đầu độc bản cập nhật kỹ năng

Thuộc tính	Giá trị
ATLAS ID	AML.T0010.001 - Xâm phạm chuỗi cung ứng: Phần mềm AI
Mô tả	Kẻ tấn công xâm phạm kỹ năng phổ biến và đẩy bản cập nhật độc hại
Vector tấn công	Xâm phạm tài khoản, kỹ nghệ xã hội với chủ sở hữu kỹ năng
Thành phần bị ảnh hưởng	Quản lý phiên bản ClawHub, luồng tự động cập nhật
Biện pháp giảm thiểu hiện tại	Dấu vân tay phiên bản
Rủi ro còn lại	Cao - Tự động cập nhật có thể kéo về phiên bản độc hại
Khuyến nghị	Triển khai ký bản cập nhật, khả năng rollback, ghim phiên bản

T-PERSIST-003: Sửa đổi trái phép cấu hình agent

Thuộc tính	Giá trị
ATLAS ID	AML.T0010.002 - Xâm phạm chuỗi cung ứng: Dữ liệu
Mô tả	Kẻ tấn công sửa đổi cấu hình agent để duy trì quyền truy cập
Vector tấn công	Sửa đổi tệp cấu hình, tiêm cài đặt
Thành phần bị ảnh hưởng	Cấu hình agent, chính sách công cụ
Biện pháp giảm thiểu hiện tại	Quyền tệp
Rủi ro còn lại	Trung bình - Cần quyền truy cập cục bộ
Khuyến nghị	Xác minh tính toàn vẹn cấu hình, ghi nhật ký kiểm toán cho thay đổi cấu hình

3.5 Né tránh phòng thủ (AML.TA0007)

T-EVADE-001: Vượt qua mẫu kiểm duyệt

Thuộc tính	Giá trị
ATLAS ID	AML.T0043 - Tạo dữ liệu đối nghịch
Mô tả	Kẻ tấn công tạo nội dung kỹ năng để né tránh các mẫu kiểm duyệt
Vector tấn công	Ký tự Unicode đồng hình, thủ thuật mã hóa, tải động
Thành phần bị ảnh hưởng	ClawHub moderation.ts
Biện pháp giảm thiểu hiện tại	FLAG_RULES dựa trên mẫu
Rủi ro còn lại	Cao - Regex đơn giản dễ bị vượt qua
Khuyến nghị	Thêm phân tích hành vi (VirusTotal Code Insight), phát hiện dựa trên AST

T-EVADE-002: Thoát khỏi lớp bao bọc nội dung

Thuộc tính	Giá trị
ID ATLAS	AML.T0043 - Tạo dữ liệu đối nghịch
Mô tả	Kẻ tấn công tạo nội dung thoát khỏi ngữ cảnh bao bọc XML
Vector tấn công	Thao túng thẻ, nhầm lẫn ngữ cảnh, ghi đè chỉ dẫn
Thành phần bị ảnh hưởng	Bao bọc nội dung bên ngoài
Biện pháp giảm thiểu hiện tại	Thẻ XML + thông báo bảo mật
Rủi ro còn lại	Trung bình - Các cách thoát mới được phát hiện thường xuyên
Khuyến nghị	Nhiều lớp bao bọc, xác thực phía đầu ra

3.6 Khám phá (AML.TA0008)

T-DISC-001: Liệt kê công cụ

Thuộc tính	Giá trị
ID ATLAS	AML.T0040 - Truy cập API suy luận mô hình AI
Mô tả	Kẻ tấn công liệt kê các công cụ khả dụng thông qua nhắc lệnh
Vector tấn công	Các truy vấn kiểu "Bạn có những công cụ nào?"
Thành phần bị ảnh hưởng	Sổ đăng ký công cụ của tác tử
Biện pháp giảm thiểu hiện tại	Không có biện pháp cụ thể
Rủi ro còn lại	Thấp - Công cụ nhìn chung đã được ghi tài liệu
Khuyến nghị	Cân nhắc kiểm soát khả năng hiển thị công cụ

T-DISC-002: Trích xuất dữ liệu phiên

Thuộc tính	Giá trị
ID ATLAS	AML.T0040 - Truy cập API suy luận mô hình AI
Mô tả	Kẻ tấn công trích xuất dữ liệu nhạy cảm từ ngữ cảnh phiên
Vector tấn công	Các truy vấn "Chúng ta đã thảo luận gì?", thăm dò ngữ cảnh
Thành phần bị ảnh hưởng	Bản ghi phiên, cửa sổ ngữ cảnh
Biện pháp giảm thiểu hiện tại	Cô lập phiên theo từng người gửi
Rủi ro còn lại	Trung bình - Dữ liệu trong cùng phiên có thể truy cập
Khuyến nghị	Triển khai biên tập dữ liệu nhạy cảm trong ngữ cảnh

3.7 Thu thập & rò rỉ dữ liệu (AML.TA0009, AML.TA0010)

T-EXFIL-001: Đánh cắp dữ liệu qua web_fetch

Thuộc tính	Giá trị
ID ATLAS	AML.T0009 - Thu thập
Mô tả	Kẻ tấn công rò rỉ dữ liệu bằng cách chỉ dẫn tác tử gửi đến URL bên ngoài
Vector tấn công	Tiêm prompt khiến tác tử POST dữ liệu đến máy chủ của kẻ tấn công
Thành phần bị ảnh hưởng	Công cụ web_fetch
Biện pháp giảm thiểu hiện tại	Chặn SSRF cho mạng nội bộ
Rủi ro còn lại	Cao - URL bên ngoài được phép
Khuyến nghị	Triển khai danh sách URL cho phép, nhận biết phân loại dữ liệu

T-EXFIL-002: Gửi tin nhắn trái phép

Thuộc tính	Giá trị
ID ATLAS	AML.T0009 - Thu thập
Mô tả	Kẻ tấn công khiến tác tử gửi tin nhắn chứa dữ liệu nhạy cảm
Vector tấn công	Tiêm prompt khiến tác tử nhắn tin cho kẻ tấn công
Thành phần bị ảnh hưởng	Công cụ nhắn tin, tích hợp kênh
Biện pháp giảm thiểu hiện tại	Kiểm soát nhắn tin đi
Rủi ro còn lại	Trung bình - Kiểm soát có thể bị vượt qua
Khuyến nghị	Yêu cầu xác nhận rõ ràng đối với người nhận mới

T-EXFIL-003: Thu thập thông tin xác thực

Thuộc tính	Giá trị
ID ATLAS	AML.T0009 - Thu thập
Mô tả	Skill độc hại thu thập thông tin xác thực từ ngữ cảnh tác tử
Vector tấn công	Mã Skill đọc biến môi trường, tệp cấu hình
Thành phần bị ảnh hưởng	Môi trường thực thi Skill
Biện pháp giảm thiểu hiện tại	Không có biện pháp cụ thể cho Skills
Rủi ro còn lại	Nghiêm trọng - Skills chạy với đặc quyền của tác tử
Khuyến nghị	Cô lập Skills bằng sandbox, cô lập thông tin xác thực

3.8 Tác động (AML.TA0011)

T-IMPACT-001: Thực thi lệnh trái phép

Thuộc tính	Giá trị
ID ATLAS	AML.T0031 - Làm suy giảm tính toàn vẹn mô hình AI
Mô tả	Kẻ tấn công thực thi lệnh tùy ý trên hệ thống người dùng
Vector tấn công	Tiêm prompt kết hợp với vượt qua phê duyệt exec
Thành phần bị ảnh hưởng	Công cụ Bash, thực thi lệnh
Biện pháp giảm thiểu hiện tại	Phê duyệt exec, tùy chọn sandbox Docker
Rủi ro còn lại	Nghiêm trọng - Thực thi trên máy chủ không có sandbox
Khuyến nghị	Mặc định dùng sandbox, cải thiện UX phê duyệt

T-IMPACT-002: Cạn kiệt tài nguyên (DoS)

Thuộc tính	Giá trị
ID ATLAS	AML.T0031 - Làm suy giảm tính toàn vẹn mô hình AI
Mô tả	Kẻ tấn công làm cạn kiệt tín dụng API hoặc tài nguyên tính toán
Vector tấn công	Tự động gửi dồn dập tin nhắn, gọi công cụ tốn kém
Thành phần bị ảnh hưởng	Gateway, phiên tác tử, nhà cung cấp API
Biện pháp giảm thiểu hiện tại	Không có
Rủi ro còn lại	Cao - Không giới hạn tốc độ
Khuyến nghị	Triển khai giới hạn tốc độ theo từng người gửi, ngân sách chi phí

T-IMPACT-003: Tổn hại danh tiếng

Thuộc tính	Giá trị
ID ATLAS	AML.T0031 - Làm suy giảm tính toàn vẹn mô hình AI
Mô tả	Kẻ tấn công khiến tác tử gửi nội dung độc hại/xúc phạm
Vector tấn công	Tiêm prompt gây ra phản hồi không phù hợp
Thành phần bị ảnh hưởng	Sinh đầu ra, nhắn tin qua kênh
Biện pháp giảm thiểu hiện tại	Chính sách nội dung của nhà cung cấp LLM
Rủi ro còn lại	Trung bình - Bộ lọc của nhà cung cấp không hoàn hảo
Khuyến nghị	Lớp lọc đầu ra, kiểm soát của người dùng

4. Phân tích chuỗi cung ứng ClawHub

4.1 Kiểm soát bảo mật hiện tại

Kiểm soát	Triển khai	Hiệu quả
Tuổi tài khoản GitHub	`requireGitHubAccountAge()`	Trung bình - Nâng rào cản đối với kẻ tấn công mới
Làm sạch đường dẫn	`sanitizePath()`	Cao - Ngăn chặn duyệt vượt đường dẫn
Xác thực loại tệp	`isTextFile()`	Trung bình - Chỉ tệp văn bản, nhưng vẫn có thể độc hại
Giới hạn kích thước	Tổng gói 50MB	Cao - Ngăn cạn kiệt tài nguyên
SKILL.md bắt buộc	Tệp đọc bắt buộc	Giá trị bảo mật thấp - Chỉ mang tính thông tin
Kiểm duyệt mẫu	FLAG_RULES trong moderation.ts	Thấp - Dễ dàng bị vượt qua
Trạng thái kiểm duyệt	Trường `moderationStatus`	Trung bình - Có thể đánh giá thủ công

4.2 Mẫu cờ kiểm duyệt

Các mẫu hiện tại trong moderation.ts:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Hạn chế:

Chỉ kiểm tra slug, displayName, summary, frontmatter, metadata, đường dẫn tệp
Không phân tích nội dung mã Skill thực tế
Regex đơn giản dễ dàng bị vượt qua bằng làm rối mã
Không có phân tích hành vi

4.3 Cải tiến đã lên kế hoạch

Cải tiến	Trạng thái	Tác động
Tích hợp VirusTotal	Đang thực hiện	Cao - Phân tích hành vi Code Insight
Báo cáo cộng đồng	Một phần (bảng `skillReports` tồn tại)	Trung bình
Ghi nhật ký kiểm toán	Một phần (bảng `auditLogs` tồn tại)	Trung bình
Hệ thống huy hiệu	Đã triển khai	Trung bình - `highlighted`, `official`, `deprecated`, `redactionApproved`

5. Ma trận rủi ro

5.1 Khả năng xảy ra so với tác động

ID mối đe dọa	Khả năng xảy ra	Tác động	Mức rủi ro	Ưu tiên
T-EXEC-001	Cao	Nghiêm trọng	Nghiêm trọng	P0
T-PERSIST-001	Cao	Nghiêm trọng	Nghiêm trọng	P0
T-EXFIL-003	Trung bình	Nghiêm trọng	Nghiêm trọng	P0
T-IMPACT-001	Trung bình	Nghiêm trọng	Cao	P1
T-EXEC-002	Cao	Cao	Cao	P1
T-EXEC-004	Trung bình	Cao	Cao	P1
T-ACCESS-003	Trung bình	Cao	Cao	P1
T-EXFIL-001	Trung bình	Cao	Cao	P1
T-IMPACT-002	Cao	Trung bình	Cao	P1
T-EVADE-001	Cao	Trung bình	Trung bình	P2
T-ACCESS-001	Thấp	Cao	Trung bình	P2
T-ACCESS-002	Thấp	Cao	Trung bình	P2
T-PERSIST-002	Thấp	Cao	Trung bình	P2

5.2 Chuỗi tấn công đường tới hạn

Chuỗi tấn công 1: Đánh cắp dữ liệu dựa trên Skill

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Chuỗi tấn công 2: Tiêm prompt dẫn đến RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Chuỗi tấn công 3: Tiêm gián tiếp qua nội dung đã tìm nạp

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Tóm tắt khuyến nghị

6.1 Ngay lập tức (P0)

ID	Khuyến nghị	Xử lý
R-001	Hoàn thiện tích hợp VirusTotal	T-PERSIST-001, T-EVADE-001
R-002	Triển khai cơ chế sandbox cho Skill	T-PERSIST-001, T-EXFIL-003
R-003	Thêm kiểm tra đầu ra cho các hành động nhạy cảm	T-EXEC-001, T-EXEC-002

6.2 Ngắn hạn (P1)

ID	Khuyến nghị	Xử lý
R-004	Triển khai giới hạn tốc độ	T-IMPACT-002
R-005	Thêm mã hóa token khi lưu trữ	T-ACCESS-003
R-006	Cải thiện UX phê duyệt exec và kiểm tra	T-EXEC-004
R-007	Triển khai danh sách cho phép URL cho web_fetch	T-EXFIL-001

6.3 Trung hạn (P2)

ID	Khuyến nghị	Xử lý
R-008	Thêm xác minh kênh bằng mật mã khi có thể	T-ACCESS-002
R-009	Triển khai xác minh tính toàn vẹn cấu hình	T-PERSIST-003
R-010	Thêm ký bản cập nhật và ghim phiên bản	T-PERSIST-002

7. Phụ lục

7.1 Ánh xạ kỹ thuật ATLAS

ID ATLAS	Tên kỹ thuật	Các mối đe dọa OpenClaw
AML.T0006	Quét chủ động	T-RECON-001, T-RECON-002
AML.T0009	Thu thập	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	Chuỗi cung ứng: phần mềm AI	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	Chuỗi cung ứng: dữ liệu	T-PERSIST-003
AML.T0031	Làm suy giảm tính toàn vẹn của mô hình AI	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	Truy cập API suy luận mô hình AI	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	Tạo dữ liệu đối nghịch	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	Chèn prompt LLM: trực tiếp	T-EXEC-001, T-EXEC-003
AML.T0051.001	Chèn prompt LLM: gián tiếp	T-EXEC-002

7.2 Các tệp bảo mật chính

Đường dẫn	Mục đích	Mức độ rủi ro
`src/infra/exec-approvals.ts`	Logic phê duyệt lệnh	Nghiêm trọng
`src/gateway/auth.ts`	Xác thực Gateway	Nghiêm trọng
`src/infra/net/ssrf.ts`	Bảo vệ SSRF	Nghiêm trọng
`src/security/external-content.ts`	Giảm thiểu chèn prompt	Nghiêm trọng
`src/agents/sandbox/tool-policy.ts`	Thực thi chính sách công cụ	Nghiêm trọng
`src/routing/resolve-route.ts`	Cô lập phiên	Trung bình

7.3 Bảng thuật ngữ

Thuật ngữ	Định nghĩa
ATLAS	Bối cảnh mối đe dọa đối nghịch cho hệ thống AI của MITRE
ClawHub	Chợ Skill của OpenClaw
Gateway	Lớp định tuyến tin nhắn và xác thực của OpenClaw
MCP	Model Context Protocol - giao diện nhà cung cấp công cụ
Chèn prompt	Cuộc tấn công trong đó chỉ dẫn độc hại được nhúng vào đầu vào
Skill	Tiện ích mở rộng có thể tải xuống cho agent OpenClaw
SSRF	Server-Side Request Forgery

Mô hình mối đe dọa này là một tài liệu sống. Báo cáo vấn đề bảo mật tới [email protected]

# Khung MITRE ATLAS

# Ghi nhận khung

# Đóng góp cho mô hình mối đe dọa này

# 1. Giới thiệu

# 1.1 Mục đích

# 1.2 Phạm vi

# 1.3 Ngoài phạm vi

# 2. Kiến trúc hệ thống

# 2.1 Ranh giới tin cậy

# 2.2 Luồng dữ liệu

# 3. Phân tích mối đe dọa theo chiến thuật ATLAS

# 3.1 Trinh sát (AML.TA0002)

# T-RECON-001: Phát hiện điểm cuối tác nhân

# T-RECON-002: Thăm dò tích hợp kênh

# 3.2 Truy cập ban đầu (AML.TA0004)

# T-ACCESS-001: Chặn mã ghép nối

# T-ACCESS-002: Giả mạo AllowFrom

# T-ACCESS-003: Đánh cắp token

# 3.3 Thực thi (AML.TA0005)

# T-EXEC-001: Tiêm prompt trực tiếp

# T-EXEC-002: Tiêm prompt gián tiếp

# T-EXEC-003: Tiêm tham số công cụ

# T-EXEC-004: Vượt qua phê duyệt exec

# 3.4 Duy trì hiện diện (AML.TA0006)

# T-PERSIST-001: Cài đặt kỹ năng độc hại

# T-PERSIST-002: Đầu độc bản cập nhật kỹ năng

# T-PERSIST-003: Sửa đổi trái phép cấu hình agent

# 3.5 Né tránh phòng thủ (AML.TA0007)

# T-EVADE-001: Vượt qua mẫu kiểm duyệt

# T-EVADE-002: Thoát khỏi lớp bao bọc nội dung

# 3.6 Khám phá (AML.TA0008)

# T-DISC-001: Liệt kê công cụ

# T-DISC-002: Trích xuất dữ liệu phiên

# 3.7 Thu thập & rò rỉ dữ liệu (AML.TA0009, AML.TA0010)

# T-EXFIL-001: Đánh cắp dữ liệu qua web_fetch

# T-EXFIL-002: Gửi tin nhắn trái phép

# T-EXFIL-003: Thu thập thông tin xác thực

# 3.8 Tác động (AML.TA0011)

# T-IMPACT-001: Thực thi lệnh trái phép

# T-IMPACT-002: Cạn kiệt tài nguyên (DoS)

# T-IMPACT-003: Tổn hại danh tiếng

# 4. Phân tích chuỗi cung ứng ClawHub

# 4.1 Kiểm soát bảo mật hiện tại

# 4.2 Mẫu cờ kiểm duyệt

# 4.3 Cải tiến đã lên kế hoạch

# 5. Ma trận rủi ro

# 5.1 Khả năng xảy ra so với tác động

# 5.2 Chuỗi tấn công đường tới hạn

# 6. Tóm tắt khuyến nghị

# 6.1 Ngay lập tức (P0)

# 6.2 Ngắn hạn (P1)

# 6.3 Trung hạn (P2)

# 7. Phụ lục

# 7.1 Ánh xạ kỹ thuật ATLAS

# 7.2 Các tệp bảo mật chính

# 7.3 Bảng thuật ngữ

# Liên quan