> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# نموذج التهديد (MITRE ATLAS)

## إطار عمل MITRE ATLAS

**الإصدار:** 1.0-draft
**آخر تحديث:** 2026-02-04
**المنهجية:** MITRE ATLAS + مخططات تدفق البيانات
**إطار العمل:** [MITRE ATLAS](https://atlas.mitre.org/) (مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي)

### نسب إطار العمل

بُني نموذج التهديد هذا على [MITRE ATLAS](https://atlas.mitre.org/)، وهو إطار العمل القياسي في الصناعة لتوثيق التهديدات العدائية لأنظمة الذكاء الاصطناعي/تعلّم الآلة. تتم صيانة ATLAS بواسطة [MITRE](https://www.mitre.org/) بالتعاون مع مجتمع أمن الذكاء الاصطناعي.

**موارد ATLAS الرئيسية:**

* [تقنيات ATLAS](https://atlas.mitre.org/techniques/)
* [تكتيكات ATLAS](https://atlas.mitre.org/tactics/)
* [دراسات حالة ATLAS](https://atlas.mitre.org/studies/)
* [ATLAS GitHub](https://github.com/mitre-atlas/atlas-data)
* [المساهمة في ATLAS](https://atlas.mitre.org/resources/contribute)

### المساهمة في نموذج التهديد هذا

هذا مستند حيّ تتم صيانته بواسطة مجتمع OpenClaw. راجع [CONTRIBUTING-THREAT-MODEL.md](/ar/security/CONTRIBUTING-THREAT-MODEL) للاطلاع على إرشادات المساهمة:

* الإبلاغ عن تهديدات جديدة
* تحديث التهديدات الحالية
* اقتراح سلاسل هجوم
* اقتراح إجراءات تخفيف

***

## 1. المقدمة

### 1.1 الغرض

يوثّق نموذج التهديد هذا التهديدات العدائية لمنصة وكلاء الذكاء الاصطناعي OpenClaw وسوق Skills في ClawHub، باستخدام إطار عمل MITRE ATLAS المصمم خصيصًا لأنظمة الذكاء الاصطناعي/تعلّم الآلة.

### 1.2 النطاق

| المكوّن                  | مشمول | ملاحظات                                          |
| ------------------------ | ----- | ------------------------------------------------ |
| بيئة تشغيل وكيل OpenClaw | نعم   | تنفيذ الوكيل الأساسي، استدعاءات الأدوات، الجلسات |
| Gateway                  | نعم   | المصادقة، التوجيه، تكامل القنوات                 |
| تكاملات القنوات          | نعم   | WhatsApp، Telegram، Discord، Signal، Slack، إلخ. |
| سوق ClawHub              | نعم   | نشر Skills، الإشراف، التوزيع                     |
| خوادم MCP                | نعم   | مزوّدو الأدوات الخارجيون                         |
| أجهزة المستخدمين         | جزئي  | تطبيقات الأجهزة المحمولة، عملاء سطح المكتب       |

### 1.3 خارج النطاق

لا يوجد شيء خارج نطاق نموذج التهديد هذا صراحةً.

***

## 2. بنية النظام

### 2.1 حدود الثقة

```
┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
```

### 2.2 تدفقات البيانات

| التدفق | المصدر  | الوجهة  | البيانات          | الحماية        |
| ------ | ------- | ------- | ----------------- | -------------- |
| F1     | القناة  | Gateway | رسائل المستخدم    | TLS، AllowFrom |
| F2     | Gateway | الوكيل  | الرسائل الموجّهة  | عزل الجلسات    |
| F3     | الوكيل  | الأدوات | استدعاءات الأدوات | فرض السياسة    |
| F4     | الوكيل  | خارجي   | طلبات web\_fetch  | حظر SSRF       |
| F5     | ClawHub | الوكيل  | شيفرة Skill       | الإشراف، الفحص |
| F6     | الوكيل  | القناة  | الردود            | تصفية المخرجات |

***

## 3. تحليل التهديدات حسب تكتيك ATLAS

### 3.1 الاستطلاع (AML.TA0002)

#### T-RECON-001: اكتشاف نقطة نهاية الوكيل

| السمة                       | القيمة                                                      |
| --------------------------- | ----------------------------------------------------------- |
| **معرّف ATLAS**             | AML.T0006 - الفحص النشط                                     |
| **الوصف**                   | يفحص المهاجم نقاط نهاية Gateway المكشوفة في OpenClaw        |
| **متجه الهجوم**             | فحص الشبكة، استعلامات shodan، تعداد DNS                     |
| **المكوّنات المتأثرة**      | Gateway، نقاط نهاية API المكشوفة                            |
| **إجراءات التخفيف الحالية** | خيار مصادقة Tailscale، الربط بـ local loopback افتراضيًا    |
| **الخطر المتبقي**           | متوسط - يمكن اكتشاف البوابات العامة                         |
| **التوصيات**                | توثيق النشر الآمن، إضافة تحديد معدل على نقاط نهاية الاكتشاف |

#### T-RECON-002: اختبار تكامل القنوات

| السمة                 | القيمة                                                                 |
| --------------------- | ---------------------------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0006 - الفحص النشط                                                |
| **الوصف**             | يجسّ المهاجم قنوات المراسلة لتحديد الحسابات المُدارة بالذكاء الاصطناعي |
| **متجه الهجوم**       | إرسال رسائل اختبار، ومراقبة أنماط الاستجابة                            |
| **المكونات المتأثرة** | جميع تكاملات القنوات                                                   |
| **التخفيفات الحالية** | لا توجد إجراءات محددة                                                  |
| **الخطر المتبقي**     | منخفض - قيمة محدودة من الاكتشاف وحده                                   |
| **التوصيات**          | النظر في عشوائية توقيت الاستجابة                                       |

***

### 3.2 الوصول الأولي (AML.TA0004)

#### T-ACCESS-001: اعتراض رمز الاقتران

| السمة                 | القيمة                                                                                                      |
| --------------------- | ----------------------------------------------------------------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي                                                   |
| **الوصف**             | يعترض المهاجم رمز الاقتران أثناء فترة سماح الاقتران (1h لاقتران قناة DM، و5m لاقتران Node)                  |
| **متجه الهجوم**       | التطفل البصري، والتنصت على الشبكة، والهندسة الاجتماعية                                                      |
| **المكونات المتأثرة** | نظام اقتران الأجهزة                                                                                         |
| **التخفيفات الحالية** | انتهاء الصلاحية بعد 1h (اقتران DM) / انتهاء الصلاحية بعد 5m (اقتران Node)، وتُرسل الرموز عبر القناة الحالية |
| **الخطر المتبقي**     | متوسط - فترة السماح قابلة للاستغلال                                                                         |
| **التوصيات**          | تقليل فترة السماح، وإضافة خطوة تأكيد                                                                        |

#### T-ACCESS-002: انتحال AllowFrom

| السمة                 | القيمة                                                       |
| --------------------- | ------------------------------------------------------------ |
| **معرّف ATLAS**       | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي    |
| **الوصف**             | ينتحل المهاجم هوية المرسل المسموح بها في القناة              |
| **متجه الهجوم**       | يعتمد على القناة - انتحال رقم الهاتف، وانتحال اسم المستخدم   |
| **المكونات المتأثرة** | التحقق من AllowFrom لكل قناة                                 |
| **التخفيفات الحالية** | التحقق من الهوية حسب القناة                                  |
| **الخطر المتبقي**     | متوسط - بعض القنوات عرضة للانتحال                            |
| **التوصيات**          | توثيق المخاطر الخاصة بكل قناة، وإضافة تحقق تشفيري حيثما أمكن |

#### T-ACCESS-003: سرقة الرمز المميز

| السمة                 | القيمة                                                                    |
| --------------------- | ------------------------------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي                 |
| **الوصف**             | يسرق المهاجم رموز المصادقة من ملفات التكوين                               |
| **متجه الهجوم**       | برمجيات خبيثة، وصول غير مصرح به إلى الجهاز، انكشاف نسخ التكوين الاحتياطية |
| **المكونات المتأثرة** | \~/.openclaw/credentials/، تخزين التكوين                                  |
| **التخفيفات الحالية** | أذونات الملفات                                                            |
| **الخطر المتبقي**     | مرتفع - الرموز المميزة مخزنة بنص صريح                                     |
| **التوصيات**          | تنفيذ تشفير الرموز المميزة أثناء السكون، وإضافة تدوير للرموز              |

***

### 3.3 التنفيذ (AML.TA0005)

#### T-EXEC-001: حقن موجه مباشر

| السمة                 | القيمة                                                                           |
| --------------------- | -------------------------------------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0051.000 - حقن موجه LLM: مباشر                                              |
| **الوصف**             | يرسل المهاجم موجهات مصممة للتلاعب بسلوك الوكيل                                   |
| **متجه الهجوم**       | رسائل القنوات التي تحتوي على تعليمات عدائية                                      |
| **المكونات المتأثرة** | LLM الخاص بالوكيل، وجميع أسطح الإدخال                                            |
| **التخفيفات الحالية** | اكتشاف الأنماط، وتغليف المحتوى الخارجي                                           |
| **الخطر المتبقي**     | حرج - اكتشاف فقط، بلا حظر؛ الهجمات المتقدمة تتجاوزه                              |
| **التوصيات**          | تنفيذ دفاع متعدد الطبقات، والتحقق من المخرجات، وتأكيد المستخدم للإجراءات الحساسة |

#### T-EXEC-002: حقن موجه غير مباشر

| السمة                 | القيمة                                                           |
| --------------------- | ---------------------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0051.001 - حقن موجه LLM: غير مباشر                          |
| **الوصف**             | يضمّن المهاجم تعليمات خبيثة في المحتوى المُجلَب                  |
| **متجه الهجوم**       | عناوين URL خبيثة، ورسائل بريد إلكتروني مسمومة، وWebhooks مخترقة  |
| **المكونات المتأثرة** | web\_fetch، واستيعاب البريد الإلكتروني، ومصادر البيانات الخارجية |
| **التخفيفات الحالية** | تغليف المحتوى بوسوم XML وإشعار أمني                              |
| **الخطر المتبقي**     | مرتفع - قد يتجاهل LLM تعليمات التغليف                            |
| **التوصيات**          | تنفيذ تنقية المحتوى، وفصل سياقات التنفيذ                         |

#### T-EXEC-003: حقن وسيطات الأداة

| السمة                 | القيمة                                                |
| --------------------- | ----------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0051.000 - حقن موجه LLM: مباشر                   |
| **الوصف**             | يتلاعب المهاجم بوسيطات الأداة من خلال حقن الموجه      |
| **متجه الهجوم**       | موجهات مصممة تؤثر في قيم معلمات الأداة                |
| **المكونات المتأثرة** | جميع استدعاءات الأدوات                                |
| **التخفيفات الحالية** | موافقات Exec للأوامر الخطرة                           |
| **الخطر المتبقي**     | مرتفع - يعتمد على تقدير المستخدم                      |
| **التوصيات**          | تنفيذ التحقق من الوسيطات، واستدعاءات أدوات ذات معلمات |

#### T-EXEC-004: تجاوز موافقة Exec

| السمة                 | القيمة                                                        |
| --------------------- | ------------------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0043 - صياغة بيانات عدائية                               |
| **الوصف**             | يصوغ المهاجم أوامر تتجاوز قائمة السماح للموافقات              |
| **متجه الهجوم**       | تعمية الأوامر، واستغلال الأسماء المستعارة، والتلاعب بالمسارات |
| **المكونات المتأثرة** | exec-approvals.ts، قائمة السماح للأوامر                       |
| **التخفيفات الحالية** | قائمة السماح + وضع السؤال                                     |
| **الخطر المتبقي**     | مرتفع - لا توجد تنقية للأوامر                                 |
| **التوصيات**          | تنفيذ تطبيع الأوامر، وتوسيع قائمة الحظر                       |

***

### 3.4 الاستمرارية (AML.TA0006)

#### T-PERSIST-001: تثبيت Skill خبيثة

| السمة                 | القيمة                                                         |
| --------------------- | -------------------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي |
| **الوصف**             | ينشر المهاجم Skill خبيثة إلى ClawHub                           |
| **متجه الهجوم**       | إنشاء حساب، ونشر Skill تحتوي على شيفرة خبيثة مخفية             |
| **المكونات المتأثرة** | ClawHub، وتحميل Skill، وتنفيذ الوكيل                           |
| **التخفيفات الحالية** | التحقق من عمر حساب GitHub، وأعلام الإشراف القائمة على الأنماط  |
| **الخطر المتبقي**     | حرج - لا توجد بيئة عزل، ومراجعة محدودة                         |
| **التوصيات**          | تكامل VirusTotal (قيد التنفيذ)، وعزل Skill، ومراجعة المجتمع    |

#### T-PERSIST-002: تسميم تحديث Skill

| السمة                 | القيمة                                                         |
| --------------------- | -------------------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي |
| **الوصف**             | يخترق المهاجم Skill شائعة ويدفع تحديثًا خبيثًا                 |
| **متجه الهجوم**       | اختراق الحساب، والهندسة الاجتماعية لمالك Skill                 |
| **المكونات المتأثرة** | إدارة إصدارات ClawHub، وتدفقات التحديث التلقائي                |
| **التخفيفات الحالية** | بصمة الإصدار                                                   |
| **الخطر المتبقي**     | مرتفع - قد تسحب التحديثات التلقائية إصدارات خبيثة              |
| **التوصيات**          | تنفيذ توقيع التحديثات، وإمكانية التراجع، وتثبيت الإصدارات      |

#### T-PERSIST-003: العبث بتكوين الوكيل

| السمة                 | القيمة                                                 |
| --------------------- | ------------------------------------------------------ |
| **معرّف ATLAS**       | AML.T0010.002 - اختراق سلسلة التوريد: البيانات         |
| **الوصف**             | يعدّل المهاجم تكوين الوكيل لاستدامة الوصول             |
| **متجه الهجوم**       | تعديل ملف التكوين، وحقن الإعدادات                      |
| **المكونات المتأثرة** | تكوين الوكيل، وسياسات الأدوات                          |
| **التخفيفات الحالية** | أذونات الملفات                                         |
| **الخطر المتبقي**     | متوسط - يتطلب وصولًا محليًا                            |
| **التوصيات**          | التحقق من سلامة التكوين، وتسجيل تدقيق لتغييرات التكوين |

***

### 3.5 التهرب الدفاعي (AML.TA0007)

#### T-EVADE-001: تجاوز أنماط الإشراف

| السمة                 | القيمة                                                            |
| --------------------- | ----------------------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0043 - صياغة بيانات عدائية                                   |
| **الوصف**             | يصوغ المهاجم محتوى Skill للتهرب من أنماط الإشراف                  |
| **متجه الهجوم**       | محارف Unicode متشابهة الشكل، وحيل الترميز، والتحميل الديناميكي    |
| **المكونات المتأثرة** | moderation.ts في ClawHub                                          |
| **التخفيفات الحالية** | FLAG\_RULES القائمة على الأنماط                                   |
| **الخطر المتبقي**     | مرتفع - يمكن تجاوز regex بسيط بسهولة                              |
| **التوصيات**          | إضافة تحليل سلوكي (VirusTotal Code Insight)، واكتشاف قائم على AST |

#### T-EVADE-002: الهروب من غلاف المحتوى

| السمة                 | القيمة                                         |
| --------------------- | ---------------------------------------------- |
| **معرّف ATLAS**       | AML.T0043 - صياغة بيانات عدائية                |
| **الوصف**             | يصوغ المهاجم محتوى يخرج من سياق غلاف XML       |
| **متجه الهجوم**       | التلاعب بالوسوم، إرباك السياق، تجاوز التعليمات |
| **المكونات المتأثرة** | تغليف المحتوى الخارجي                          |
| **التخفيفات الحالية** | وسوم XML + إشعار أمني                          |
| **الخطر المتبقي**     | متوسط - تُكتشف طرق خروج جديدة بانتظام          |
| **التوصيات**          | طبقات تغليف متعددة، تحقق من جهة الإخراج        |

***

### 3.6 الاكتشاف (AML.TA0008)

#### T-DISC-001: تعداد الأدوات

| السمة                 | القيمة                                                    |
| --------------------- | --------------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي |
| **الوصف**             | يعدّد المهاجم الأدوات المتاحة عبر التوجيهات               |
| **متجه الهجوم**       | استعلامات بأسلوب "ما الأدوات التي لديك؟"                  |
| **المكونات المتأثرة** | سجل أدوات الوكيل                                          |
| **التخفيفات الحالية** | لا يوجد شيء محدد                                          |
| **الخطر المتبقي**     | منخفض - الأدوات موثقة عموما                               |
| **التوصيات**          | النظر في ضوابط إظهار الأدوات                              |

#### T-DISC-002: استخراج بيانات الجلسة

| السمة                 | القيمة                                                    |
| --------------------- | --------------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي |
| **الوصف**             | يستخرج المهاجم بيانات حساسة من سياق الجلسة                |
| **متجه الهجوم**       | استعلامات "ماذا ناقشنا؟"، استكشاف السياق                  |
| **المكونات المتأثرة** | نصوص الجلسات، نافذة السياق                                |
| **التخفيفات الحالية** | عزل الجلسة لكل مرسل                                       |
| **الخطر المتبقي**     | متوسط - يمكن الوصول إلى بيانات داخل الجلسة                |
| **التوصيات**          | تنفيذ تنقيح البيانات الحساسة في السياق                    |

***

### 3.7 الجمع والإخراج غير المصرح به (AML.TA0009, AML.TA0010)

#### T-EXFIL-001: سرقة البيانات عبر web\_fetch

| السمة                 | القيمة                                                             |
| --------------------- | ------------------------------------------------------------------ |
| **معرّف ATLAS**       | AML.T0009 - الجمع                                                  |
| **الوصف**             | يخرج المهاجم البيانات بإصدار تعليمات للوكيل لإرسالها إلى URL خارجي |
| **متجه الهجوم**       | حقن توجيه يجعل الوكيل يرسل البيانات عبر POST إلى خادم المهاجم      |
| **المكونات المتأثرة** | أداة web\_fetch                                                    |
| **التخفيفات الحالية** | حظر SSRF للشبكات الداخلية                                          |
| **الخطر المتبقي**     | عال - عناوين URL الخارجية مسموح بها                                |
| **التوصيات**          | تنفيذ قوائم السماح لعناوين URL، الوعي بتصنيف البيانات              |

#### T-EXFIL-002: إرسال رسائل غير مصرح به

| السمة                 | القيمة                                                |
| --------------------- | ----------------------------------------------------- |
| **معرّف ATLAS**       | AML.T0009 - الجمع                                     |
| **الوصف**             | يجعل المهاجم الوكيل يرسل رسائل تحتوي على بيانات حساسة |
| **متجه الهجوم**       | حقن توجيه يجعل الوكيل يرسل رسالة إلى المهاجم          |
| **المكونات المتأثرة** | أداة الرسائل، تكاملات القنوات                         |
| **التخفيفات الحالية** | ضبط الرسائل الصادرة                                   |
| **الخطر المتبقي**     | متوسط - قد يتم تجاوز الضبط                            |
| **التوصيات**          | طلب تأكيد صريح للمستلمين الجدد                        |

#### T-EXFIL-003: جمع بيانات الاعتماد

| السمة                 | القيمة                                           |
| --------------------- | ------------------------------------------------ |
| **معرّف ATLAS**       | AML.T0009 - الجمع                                |
| **الوصف**             | Skill خبيثة تجمع بيانات الاعتماد من سياق الوكيل  |
| **متجه الهجوم**       | تقرأ شيفرة Skill متغيرات البيئة وملفات الإعدادات |
| **المكونات المتأثرة** | بيئة تنفيذ Skill                                 |
| **التخفيفات الحالية** | لا يوجد شيء محدد لـ Skills                       |
| **الخطر المتبقي**     | حرج - تعمل Skills بصلاحيات الوكيل                |
| **التوصيات**          | عزل Skills، عزل بيانات الاعتماد                  |

***

### 3.8 الأثر (AML.TA0011)

#### T-IMPACT-001: تنفيذ أوامر غير مصرح به

| السمة                 | القيمة                                         |
| --------------------- | ---------------------------------------------- |
| **معرّف ATLAS**       | AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي |
| **الوصف**             | ينفذ المهاجم أوامر عشوائية على نظام المستخدم   |
| **متجه الهجوم**       | حقن توجيه مع تجاوز موافقة exec                 |
| **المكونات المتأثرة** | أداة Bash، تنفيذ الأوامر                       |
| **التخفيفات الحالية** | موافقات exec، خيار عزل Docker                  |
| **الخطر المتبقي**     | حرج - تنفيذ على المضيف دون عزل                 |
| **التوصيات**          | جعل العزل هو الافتراضي، تحسين تجربة الموافقة   |

#### T-IMPACT-002: استنزاف الموارد (DoS)

| السمة                 | القيمة                                         |
| --------------------- | ---------------------------------------------- |
| **معرّف ATLAS**       | AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي |
| **الوصف**             | يستنزف المهاجم أرصدة API أو موارد الحوسبة      |
| **متجه الهجوم**       | إغراق آلي بالرسائل، استدعاءات أدوات مكلفة      |
| **المكونات المتأثرة** | Gateway، جلسات الوكيل، مزود API                |
| **التخفيفات الحالية** | لا يوجد                                        |
| **الخطر المتبقي**     | عال - لا توجد حدود للمعدل                      |
| **التوصيات**          | تنفيذ حدود معدل لكل مرسل، ميزانيات تكلفة       |

#### T-IMPACT-003: الإضرار بالسمعة

| السمة                 | القيمة                                         |
| --------------------- | ---------------------------------------------- |
| **معرّف ATLAS**       | AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي |
| **الوصف**             | يجعل المهاجم الوكيل يرسل محتوى ضارا/مسيئا      |
| **متجه الهجوم**       | حقن توجيه يسبب ردودا غير ملائمة                |
| **المكونات المتأثرة** | توليد المخرجات، رسائل القنوات                  |
| **التخفيفات الحالية** | سياسات محتوى مزود LLM                          |
| **الخطر المتبقي**     | متوسط - مرشحات المزود غير مثالية               |
| **التوصيات**          | طبقة ترشيح للمخرجات، ضوابط للمستخدم            |

***

## 4. تحليل سلسلة توريد ClawHub

### 4.1 ضوابط الأمان الحالية

| الضابط              | التنفيذ                      | الفاعلية                                    |
| ------------------- | ---------------------------- | ------------------------------------------- |
| عمر حساب GitHub     | `requireGitHubAccountAge()`  | متوسط - يرفع العائق أمام المهاجمين الجدد    |
| تطهير المسار        | `sanitizePath()`             | عال - يمنع اجتياز المسارات                  |
| التحقق من نوع الملف | `isTextFile()`               | متوسط - ملفات نصية فقط، لكنها قد تبقى خبيثة |
| حدود الحجم          | إجمالي الحزمة 50MB           | عال - يمنع استنزاف الموارد                  |
| SKILL.md مطلوب      | ملف تمهيدي إلزامي            | قيمة أمنية منخفضة - معلومات فقط             |
| ضبط الأنماط         | FLAG\_RULES في moderation.ts | منخفض - يسهل تجاوزه                         |
| حالة الضبط          | حقل `moderationStatus`       | متوسط - المراجعة اليدوية ممكنة              |

### 4.2 أنماط إشارات الضبط

الأنماط الحالية في `moderation.ts`:

```javascript theme={"theme":{"light":"min-light","dark":"min-dark"}}
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
```

**القيود:**

* يفحص فقط slug وdisplayName والملخص وfrontmatter والبيانات الوصفية ومسارات الملفات
* لا يحلل محتوى شيفرة Skill الفعلي
* تعبيرات regex بسيطة يسهل تجاوزها بالإخفاء
* لا يوجد تحليل سلوكي

### 4.3 التحسينات المخطط لها

| التحسين          | الحالة                           | الأثر                                                                |
| ---------------- | -------------------------------- | -------------------------------------------------------------------- |
| تكامل VirusTotal | قيد التنفيذ                      | عال - تحليل سلوكي عبر Code Insight                                   |
| الإبلاغ المجتمعي | جزئي (جدول `skillReports` موجود) | متوسط                                                                |
| تسجيل التدقيق    | جزئي (جدول `auditLogs` موجود)    | متوسط                                                                |
| نظام الشارات     | منفذ                             | متوسط - `highlighted`, `official`, `deprecated`, `redactionApproved` |

***

## 5. مصفوفة المخاطر

### 5.1 الاحتمالية مقابل الأثر

| معرّف التهديد | الاحتمالية | الأثر | مستوى الخطر | الأولوية |
| ------------- | ---------- | ----- | ----------- | -------- |
| T-EXEC-001    | عالية      | حرج   | **حرج**     | P0       |
| T-PERSIST-001 | عالية      | حرج   | **حرج**     | P0       |
| T-EXFIL-003   | متوسطة     | حرج   | **حرج**     | P0       |
| T-IMPACT-001  | متوسطة     | حرج   | **عال**     | P1       |
| T-EXEC-002    | عالية      | عال   | **عال**     | P1       |
| T-EXEC-004    | متوسطة     | عال   | **عال**     | P1       |
| T-ACCESS-003  | متوسطة     | عال   | **عال**     | P1       |
| T-EXFIL-001   | متوسطة     | عال   | **عال**     | P1       |
| T-IMPACT-002  | عالية      | متوسط | **عال**     | P1       |
| T-EVADE-001   | عالية      | متوسط | **متوسط**   | P2       |
| T-ACCESS-001  | منخفضة     | عال   | **متوسط**   | P2       |
| T-ACCESS-002  | منخفضة     | عال   | **متوسط**   | P2       |
| T-PERSIST-002 | منخفضة     | عال   | **متوسط**   | P2       |

### 5.2 سلاسل الهجوم ذات المسار الحرج

**سلسلة الهجوم 1: سرقة بيانات قائمة على Skill**

```
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
```

**سلسلة الهجوم 2: حقن توجيه إلى RCE**

```
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
```

**سلسلة الهجوم 3: حقن غير مباشر عبر محتوى مجلوب**

```
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)
```

***

## 6. ملخص التوصيات

### 6.1 فوري (P0)

| المعرّف | التوصية                                  | يعالج                      |
| ------- | ---------------------------------------- | -------------------------- |
| R-001   | إكمال تكامل VirusTotal                   | T-PERSIST-001, T-EVADE-001 |
| R-002   | تنفيذ عزل المهارات                       | T-PERSIST-001, T-EXFIL-003 |
| R-003   | إضافة تحقق من المخرجات للإجراءات الحساسة | T-EXEC-001, T-EXEC-002     |

### 6.2 المدى القصير (P1)

| المعرّف | التوصية                                    | يعالج        |
| ------- | ------------------------------------------ | ------------ |
| R-004   | تنفيذ تحديد معدل الطلبات                   | T-IMPACT-002 |
| R-005   | إضافة تشفير الرموز المميزة عند التخزين     | T-ACCESS-003 |
| R-006   | تحسين تجربة موافقة exec والتحقق منها       | T-EXEC-004   |
| R-007   | تنفيذ قائمة سماح لعناوين URL لـ web\_fetch | T-EXFIL-001  |

### 6.3 المدى المتوسط (P2)

| المعرّف | التوصية                                | يعالج         |
| ------- | -------------------------------------- | ------------- |
| R-008   | إضافة تحقق تشفيري من القناة حيثما أمكن | T-ACCESS-002  |
| R-009   | تنفيذ تحقق من سلامة الإعدادات          | T-PERSIST-003 |
| R-010   | إضافة توقيع التحديثات وتثبيت الإصدارات | T-PERSIST-002 |

***

## 7. الملاحق

### 7.1 ربط تقنيات ATLAS

| معرّف ATLAS   | اسم التقنية                                          | تهديدات OpenClaw                                                 |
| ------------- | ---------------------------------------------------- | ---------------------------------------------------------------- |
| AML.T0006     | الفحص النشط                                          | T-RECON-001, T-RECON-002                                         |
| AML.T0009     | الجمع                                                | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003                            |
| AML.T0010.001 | سلسلة التوريد: برمجيات الذكاء الاصطناعي              | T-PERSIST-001, T-PERSIST-002                                     |
| AML.T0010.002 | سلسلة التوريد: البيانات                              | T-PERSIST-003                                                    |
| AML.T0031     | إضعاف سلامة نموذج الذكاء الاصطناعي                   | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003                         |
| AML.T0040     | الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043     | صياغة بيانات خصومية                                  | T-EXEC-004, T-EVADE-001, T-EVADE-002                             |
| AML.T0051.000 | حقن مطالبة LLM: مباشر                                | T-EXEC-001, T-EXEC-003                                           |
| AML.T0051.001 | حقن مطالبة LLM: غير مباشر                            | T-EXEC-002                                                       |

### 7.2 ملفات الأمان الرئيسية

| المسار                              | الغرض                     | مستوى الخطر |
| ----------------------------------- | ------------------------- | ----------- |
| `src/infra/exec-approvals.ts`       | منطق الموافقة على الأوامر | **حرج**     |
| `src/gateway/auth.ts`               | مصادقة Gateway            | **حرج**     |
| `src/infra/net/ssrf.ts`             | حماية SSRF                | **حرج**     |
| `src/security/external-content.ts`  | تخفيف حقن المطالبات       | **حرج**     |
| `src/agents/sandbox/tool-policy.ts` | إنفاذ سياسة الأدوات       | **حرج**     |
| `src/routing/resolve-route.ts`      | عزل الجلسات               | **متوسط**   |

### 7.3 مسرد المصطلحات

| المصطلح              | التعريف                                               |
| -------------------- | ----------------------------------------------------- |
| **ATLAS**            | مشهد MITRE للتهديدات الخصومية لأنظمة الذكاء الاصطناعي |
| **ClawHub**          | سوق المهارات في OpenClaw                              |
| **Gateway**          | طبقة توجيه الرسائل والمصادقة في OpenClaw              |
| **MCP**              | Model Context Protocol - واجهة موفر الأدوات           |
| **Prompt Injection** | هجوم تُضمَّن فيه تعليمات ضارة في الإدخال              |
| **Skill**            | امتداد قابل للتنزيل لوكلاء OpenClaw                   |
| **SSRF**             | تزوير الطلبات من جانب الخادم                          |

***

*نموذج التهديدات هذا مستند حي. أبلغ عن مشكلات الأمان عبر [security@openclaw.ai](mailto:security@openclaw.ai)*

## ذو صلة

* [التحقق الرسمي](/ar/security/formal-verification)
* [المساهمة في نموذج التهديدات](/ar/security/CONTRIBUTING-THREAT-MODEL)
