> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Bedrohungsmodell (MITRE ATLAS)

## MITRE-ATLAS-Framework

**Version:** 1.0-draft
**Zuletzt aktualisiert:** 2026-02-04
**Methodik:** MITRE ATLAS + Datenflussdiagramme
**Framework:** [MITRE ATLAS](https://atlas.mitre.org/) (Adversarial Threat Landscape for AI Systems)

### Framework-Zuordnung

Dieses Bedrohungsmodell basiert auf [MITRE ATLAS](https://atlas.mitre.org/), dem branchenüblichen Framework zur Dokumentation adversarialer Bedrohungen für KI/ML-Systeme. ATLAS wird von [MITRE](https://www.mitre.org/) in Zusammenarbeit mit der KI-Sicherheitscommunity gepflegt.

**Wichtige ATLAS-Ressourcen:**

* [ATLAS-Techniken](https://atlas.mitre.org/techniques/)
* [ATLAS-Taktiken](https://atlas.mitre.org/tactics/)
* [ATLAS-Fallstudien](https://atlas.mitre.org/studies/)
* [ATLAS GitHub](https://github.com/mitre-atlas/atlas-data)
* [Zu ATLAS beitragen](https://atlas.mitre.org/resources/contribute)

### Zu diesem Bedrohungsmodell beitragen

Dies ist ein lebendes Dokument, das von der OpenClaw-Community gepflegt wird. Richtlinien zum Beitragen finden Sie unter [CONTRIBUTING-THREAT-MODEL.md](/de/security/CONTRIBUTING-THREAT-MODEL):

* Neue Bedrohungen melden
* Bestehende Bedrohungen aktualisieren
* Angriffsketten vorschlagen
* Gegenmaßnahmen vorschlagen

***

## 1. Einführung

### 1.1 Zweck

Dieses Bedrohungsmodell dokumentiert adversariale Bedrohungen für die OpenClaw-KI-Agentenplattform und den ClawHub-Skills-Marktplatz mithilfe des MITRE-ATLAS-Frameworks, das speziell für KI/ML-Systeme entwickelt wurde.

### 1.2 Umfang

| Komponente             | Enthalten | Hinweise                                            |
| ---------------------- | --------- | --------------------------------------------------- |
| OpenClaw Agent Runtime | Ja        | Zentrale Agentenausführung, Tool-Aufrufe, Sitzungen |
| Gateway                | Ja        | Authentifizierung, Routing, Kanalintegration        |
| Kanalintegrationen     | Ja        | WhatsApp, Telegram, Discord, Signal, Slack usw.     |
| ClawHub-Marktplatz     | Ja        | Veröffentlichung, Moderation, Verteilung von Skills |
| MCP-Server             | Ja        | Externe Tool-Provider                               |
| Benutzergeräte         | Teilweise | Mobile Apps, Desktop-Clients                        |

### 1.3 Außerhalb des Umfangs

Für dieses Bedrohungsmodell ist nichts ausdrücklich außerhalb des Umfangs.

***

## 2. Systemarchitektur

### 2.1 Vertrauensgrenzen

```
┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
```

### 2.2 Datenflüsse

| Fluss | Quelle  | Ziel    | Daten                       | Schutz                  |
| ----- | ------- | ------- | --------------------------- | ----------------------- |
| F1    | Kanal   | Gateway | Benutzernachrichten         | TLS, AllowFrom          |
| F2    | Gateway | Agent   | Weitergeleitete Nachrichten | Sitzungsisolierung      |
| F3    | Agent   | Tools   | Tool-Aufrufe                | Richtliniendurchsetzung |
| F4    | Agent   | Extern  | web\_fetch-Anfragen         | SSRF-Blockierung        |
| F5    | ClawHub | Agent   | Skill-Code                  | Moderation, Scans       |
| F6    | Agent   | Kanal   | Antworten                   | Ausgabefilterung        |

***

## 3. Bedrohungsanalyse nach ATLAS-Taktik

### 3.1 Aufklärung (AML.TA0002)

#### T-RECON-001: Erkennung von Agent-Endpunkten

| Attribut                    | Wert                                                                                   |
| --------------------------- | -------------------------------------------------------------------------------------- |
| **ATLAS-ID**                | AML.T0006 - Aktives Scannen                                                            |
| **Beschreibung**            | Angreifer scannt nach offengelegten OpenClaw-Gateway-Endpunkten                        |
| **Angriffsvektor**          | Netzwerk-Scanning, Shodan-Abfragen, DNS-Enumeration                                    |
| **Betroffene Komponenten**  | Gateway, offengelegte API-Endpunkte                                                    |
| **Aktuelle Gegenmaßnahmen** | Tailscale-Auth-Option, standardmäßige Bindung an local loopback                        |
| **Restrisiko**              | Mittel - Öffentliche Gateways sind auffindbar                                          |
| **Empfehlungen**            | Sichere Bereitstellung dokumentieren, Rate-Limiting für Erkennungsendpunkte hinzufügen |

#### T-RECON-002: Untersuchung von Kanalintegrationen

| Attribut                   | Wert                                                                   |
| -------------------------- | ---------------------------------------------------------------------- |
| **ATLAS-ID**               | AML.T0006 - Aktives Scannen                                            |
| **Beschreibung**           | Angreifer sondiert Messaging-Kanäle, um KI-verwaltete Konten zu finden |
| **Angriffsvektor**         | Senden von Testnachrichten, Beobachten von Antwortmustern              |
| **Betroffene Komponenten** | Alle Kanalintegrationen                                                |
| **Aktuelle Mitigations**   | Keine spezifischen                                                     |
| **Restrisiko**             | Niedrig - Begrenzter Wert allein durch Entdeckung                      |
| **Empfehlungen**           | Randomisierung der Antwortzeiten erwägen                               |

***

### 3.2 Initialzugriff (AML.TA0004)

#### T-ACCESS-001: Abfangen des Pairing-Codes

| Attribut                   | Wert                                                                                                                 |
| -------------------------- | -------------------------------------------------------------------------------------------------------------------- |
| **ATLAS-ID**               | AML.T0040 - Zugriff auf KI-Modell-Inferenz-API                                                                       |
| **Beschreibung**           | Angreifer fängt den Pairing-Code während der Pairing-Nachfrist ab (1 h für DM-Kanal-Pairing, 5 min für Node-Pairing) |
| **Angriffsvektor**         | Shoulder Surfing, Netzwerk-Sniffing, Social Engineering                                                              |
| **Betroffene Komponenten** | Geräte-Pairing-System                                                                                                |
| **Aktuelle Mitigations**   | Ablauf nach 1 h (DM-Pairing) / Ablauf nach 5 min (Node-Pairing), Codes werden über vorhandenen Kanal gesendet        |
| **Restrisiko**             | Mittel - Nachfrist ausnutzbar                                                                                        |
| **Empfehlungen**           | Nachfrist verkürzen, Bestätigungsschritt hinzufügen                                                                  |

#### T-ACCESS-002: AllowFrom-Spoofing

| Attribut                   | Wert                                                                                         |
| -------------------------- | -------------------------------------------------------------------------------------------- |
| **ATLAS-ID**               | AML.T0040 - Zugriff auf KI-Modell-Inferenz-API                                               |
| **Beschreibung**           | Angreifer fälscht die Identität eines erlaubten Absenders im Kanal                           |
| **Angriffsvektor**         | Abhängig vom Kanal - Telefonnummern-Spoofing, Identitätsvortäuschung über Benutzernamen      |
| **Betroffene Komponenten** | AllowFrom-Validierung pro Kanal                                                              |
| **Aktuelle Mitigations**   | Kanalspezifische Identitätsprüfung                                                           |
| **Restrisiko**             | Mittel - Einige Kanäle sind anfällig für Spoofing                                            |
| **Empfehlungen**           | Kanalspezifische Risiken dokumentieren, kryptografische Verifizierung hinzufügen, wo möglich |

#### T-ACCESS-003: Token-Diebstahl

| Attribut                   | Wert                                                                           |
| -------------------------- | ------------------------------------------------------------------------------ |
| **ATLAS-ID**               | AML.T0040 - Zugriff auf KI-Modell-Inferenz-API                                 |
| **Beschreibung**           | Angreifer stiehlt Authentifizierungs-Tokens aus Konfigurationsdateien          |
| **Angriffsvektor**         | Malware, unbefugter Gerätezugriff, Offenlegung von Konfigurations-Backups      |
| **Betroffene Komponenten** | \~/.openclaw/credentials/, Konfigurationsspeicher                              |
| **Aktuelle Mitigations**   | Dateiberechtigungen                                                            |
| **Restrisiko**             | Hoch - Tokens werden im Klartext gespeichert                                   |
| **Empfehlungen**           | Token-Verschlüsselung im Ruhezustand implementieren, Token-Rotation hinzufügen |

***

### 3.3 Ausführung (AML.TA0005)

#### T-EXEC-001: Direkte Prompt-Injection

| Attribut                   | Wert                                                                                                   |
| -------------------------- | ------------------------------------------------------------------------------------------------------ |
| **ATLAS-ID**               | AML.T0051.000 - LLM-Prompt-Injection: Direkt                                                           |
| **Beschreibung**           | Angreifer sendet präparierte Prompts, um das Verhalten des Agenten zu manipulieren                     |
| **Angriffsvektor**         | Kanalnachrichten mit gegnerischen Anweisungen                                                          |
| **Betroffene Komponenten** | Agent-LLM, alle Eingabeflächen                                                                         |
| **Aktuelle Mitigations**   | Mustererkennung, Umhüllung externer Inhalte                                                            |
| **Restrisiko**             | Kritisch - Nur Erkennung, keine Blockierung; ausgefeilte Angriffe umgehen sie                          |
| **Empfehlungen**           | Mehrschichtige Abwehr, Ausgabevalidierung und Benutzerbestätigung für sensible Aktionen implementieren |

#### T-EXEC-002: Indirekte Prompt-Injection

| Attribut                   | Wert                                                             |
| -------------------------- | ---------------------------------------------------------------- |
| **ATLAS-ID**               | AML.T0051.001 - LLM-Prompt-Injection: Indirekt                   |
| **Beschreibung**           | Angreifer bettet bösartige Anweisungen in abgerufene Inhalte ein |
| **Angriffsvektor**         | Bösartige URLs, vergiftete E-Mails, kompromittierte Webhooks     |
| **Betroffene Komponenten** | web\_fetch, E-Mail-Ingestion, externe Datenquellen               |
| **Aktuelle Mitigations**   | Inhaltsumhüllung mit XML-Tags und Sicherheitshinweis             |
| **Restrisiko**             | Hoch - LLM ignoriert möglicherweise Wrapper-Anweisungen          |
| **Empfehlungen**           | Inhaltssanitisierung implementieren, Ausführungskontexte trennen |

#### T-EXEC-003: Tool-Argument-Injection

| Attribut                   | Wert                                                             |
| -------------------------- | ---------------------------------------------------------------- |
| **ATLAS-ID**               | AML.T0051.000 - LLM-Prompt-Injection: Direkt                     |
| **Beschreibung**           | Angreifer manipuliert Tool-Argumente durch Prompt-Injection      |
| **Angriffsvektor**         | Präparierte Prompts, die Tool-Parameterwerte beeinflussen        |
| **Betroffene Komponenten** | Alle Tool-Aufrufe                                                |
| **Aktuelle Mitigations**   | Exec-Genehmigungen für gefährliche Befehle                       |
| **Restrisiko**             | Hoch - Verlässt sich auf das Urteilsvermögen des Benutzers       |
| **Empfehlungen**           | Argumentvalidierung, parametrisierte Tool-Aufrufe implementieren |

#### T-EXEC-004: Umgehung der Exec-Genehmigung

| Attribut                   | Wert                                                               |
| -------------------------- | ------------------------------------------------------------------ |
| **ATLAS-ID**               | AML.T0043 - Gegnerische Daten erstellen                            |
| **Beschreibung**           | Angreifer erstellt Befehle, die die Genehmigungs-Allowlist umgehen |
| **Angriffsvektor**         | Befehlsverschleierung, Alias-Ausnutzung, Pfadmanipulation          |
| **Betroffene Komponenten** | exec-approvals.ts, Befehls-Allowlist                               |
| **Aktuelle Mitigations**   | Allowlist + Ask-Modus                                              |
| **Restrisiko**             | Hoch - Keine Befehlssanitisierung                                  |
| **Empfehlungen**           | Befehlsnormalisierung implementieren, Blocklist erweitern          |

***

### 3.4 Persistenz (AML.TA0006)

#### T-PERSIST-001: Installation bösartiger Skills

| Attribut                   | Wert                                                                         |
| -------------------------- | ---------------------------------------------------------------------------- |
| **ATLAS-ID**               | AML.T0010.001 - Supply-Chain-Kompromittierung: KI-Software                   |
| **Beschreibung**           | Angreifer veröffentlicht bösartigen Skill auf ClawHub                        |
| **Angriffsvektor**         | Konto erstellen, Skill mit verborgenem bösartigem Code veröffentlichen       |
| **Betroffene Komponenten** | ClawHub, Skill-Laden, Agent-Ausführung                                       |
| **Aktuelle Mitigations**   | Verifizierung des Alters des GitHub-Kontos, musterbasierte Moderations-Flags |
| **Restrisiko**             | Kritisch - Kein Sandboxing, begrenzte Prüfung                                |
| **Empfehlungen**           | VirusTotal-Integration (in Arbeit), Skill-Sandboxing, Community-Prüfung      |

#### T-PERSIST-002: Vergiftung von Skill-Updates

| Attribut                   | Wert                                                                      |
| -------------------------- | ------------------------------------------------------------------------- |
| **ATLAS-ID**               | AML.T0010.001 - Supply-Chain-Kompromittierung: KI-Software                |
| **Beschreibung**           | Angreifer kompromittiert beliebten Skill und spielt bösartiges Update ein |
| **Angriffsvektor**         | Kontokompromittierung, Social Engineering beim Skill-Eigentümer           |
| **Betroffene Komponenten** | ClawHub-Versionierung, Auto-Update-Abläufe                                |
| **Aktuelle Mitigations**   | Versions-Fingerprinting                                                   |
| **Restrisiko**             | Hoch - Auto-Updates können bösartige Versionen abrufen                    |
| **Empfehlungen**           | Update-Signierung, Rollback-Fähigkeit, Versions-Pinning implementieren    |

#### T-PERSIST-003: Manipulation der Agent-Konfiguration

| Attribut                   | Wert                                                                                     |
| -------------------------- | ---------------------------------------------------------------------------------------- |
| **ATLAS-ID**               | AML.T0010.002 - Supply-Chain-Kompromittierung: Daten                                     |
| **Beschreibung**           | Angreifer ändert die Agent-Konfiguration, um Zugriff dauerhaft zu machen                 |
| **Angriffsvektor**         | Änderung von Konfigurationsdateien, Einschleusen von Einstellungen                       |
| **Betroffene Komponenten** | Agent-Konfiguration, Tool-Richtlinien                                                    |
| **Aktuelle Mitigations**   | Dateiberechtigungen                                                                      |
| **Restrisiko**             | Mittel - Erfordert lokalen Zugriff                                                       |
| **Empfehlungen**           | Integritätsprüfung der Konfiguration, Audit-Protokollierung für Konfigurationsänderungen |

***

### 3.5 Abwehrumgehung (AML.TA0007)

#### T-EVADE-001: Umgehung von Moderationsmustern

| Attribut                   | Wert                                                                           |
| -------------------------- | ------------------------------------------------------------------------------ |
| **ATLAS-ID**               | AML.T0043 - Gegnerische Daten erstellen                                        |
| **Beschreibung**           | Angreifer gestaltet Skill-Inhalte so, dass Moderationsmuster umgangen werden   |
| **Angriffsvektor**         | Unicode-Homoglyphen, Encoding-Tricks, dynamisches Laden                        |
| **Betroffene Komponenten** | ClawHub moderation.ts                                                          |
| **Aktuelle Mitigations**   | Musterbasierte FLAG\_RULES                                                     |
| **Restrisiko**             | Hoch - Einfache Regex leicht umgehbar                                          |
| **Empfehlungen**           | Verhaltensanalyse hinzufügen (VirusTotal Code Insight), AST-basierte Erkennung |

#### T-EVADE-002: Ausbruch aus dem Content-Wrapper

| Attribut                    | Wert                                                                   |
| --------------------------- | ---------------------------------------------------------------------- |
| **ATLAS-ID**                | AML.T0043 - Adversariale Daten erstellen                               |
| **Beschreibung**            | Angreifer erstellt Inhalte, die aus dem XML-Wrapper-Kontext ausbrechen |
| **Angriffsvektor**          | Tag-Manipulation, Kontextverwirrung, Überschreiben von Anweisungen     |
| **Betroffene Komponenten**  | Wrapping externer Inhalte                                              |
| **Aktuelle Gegenmaßnahmen** | XML-Tags + Sicherheitshinweis                                          |
| **Restrisiko**              | Mittel - Neue Ausbrüche werden regelmäßig entdeckt                     |
| **Empfehlungen**            | Mehrere Wrapper-Ebenen, ausgabeseitige Validierung                     |

***

### 3.6 Erkennung (AML.TA0008)

#### T-DISC-001: Tool-Aufzählung

| Attribut                    | Wert                                                 |
| --------------------------- | ---------------------------------------------------- |
| **ATLAS-ID**                | AML.T0040 - Zugriff auf AI Model Inference API       |
| **Beschreibung**            | Angreifer zählt verfügbare Tools durch Prompting auf |
| **Angriffsvektor**          | Abfragen im Stil von „Welche Tools haben Sie?“       |
| **Betroffene Komponenten**  | Tool-Registry des Agenten                            |
| **Aktuelle Gegenmaßnahmen** | Keine spezifischen                                   |
| **Restrisiko**              | Niedrig - Tools sind im Allgemeinen dokumentiert     |
| **Empfehlungen**            | Tool-Sichtbarkeitskontrollen erwägen                 |

#### T-DISC-002: Extraktion von Sitzungsdaten

| Attribut                    | Wert                                                        |
| --------------------------- | ----------------------------------------------------------- |
| **ATLAS-ID**                | AML.T0040 - Zugriff auf AI Model Inference API              |
| **Beschreibung**            | Angreifer extrahiert sensible Daten aus dem Sitzungskontext |
| **Angriffsvektor**          | Abfragen wie „Was haben wir besprochen?“, Kontextsondierung |
| **Betroffene Komponenten**  | Sitzungstranskripte, Kontextfenster                         |
| **Aktuelle Gegenmaßnahmen** | Sitzungsisolation pro Absender                              |
| **Restrisiko**              | Mittel - Daten innerhalb der Sitzung sind zugänglich        |
| **Empfehlungen**            | Schwärzung sensibler Daten im Kontext implementieren        |

***

### 3.7 Sammlung & Exfiltration (AML.TA0009, AML.TA0010)

#### T-EXFIL-001: Datendiebstahl über web\_fetch

| Attribut                    | Wert                                                                                                |
| --------------------------- | --------------------------------------------------------------------------------------------------- |
| **ATLAS-ID**                | AML.T0009 - Sammlung                                                                                |
| **Beschreibung**            | Angreifer exfiltriert Daten, indem er den Agenten anweist, sie an eine externe URL zu senden        |
| **Angriffsvektor**          | Prompt-Injection, die den Agenten veranlasst, Daten per POST an den Server des Angreifers zu senden |
| **Betroffene Komponenten**  | web\_fetch-Tool                                                                                     |
| **Aktuelle Gegenmaßnahmen** | SSRF-Blockierung für interne Netzwerke                                                              |
| **Restrisiko**              | Hoch - Externe URLs sind erlaubt                                                                    |
| **Empfehlungen**            | URL-Allowlisting, Bewusstsein für Datenklassifizierung implementieren                               |

#### T-EXFIL-002: Unbefugtes Senden von Nachrichten

| Attribut                    | Wert                                                                                 |
| --------------------------- | ------------------------------------------------------------------------------------ |
| **ATLAS-ID**                | AML.T0009 - Sammlung                                                                 |
| **Beschreibung**            | Angreifer veranlasst den Agenten, Nachrichten mit sensiblen Daten zu senden          |
| **Angriffsvektor**          | Prompt-Injection, die den Agenten veranlasst, dem Angreifer eine Nachricht zu senden |
| **Betroffene Komponenten**  | Nachrichten-Tool, Kanalintegrationen                                                 |
| **Aktuelle Gegenmaßnahmen** | Gating für ausgehende Nachrichten                                                    |
| **Restrisiko**              | Mittel - Gating kann umgangen werden                                                 |
| **Empfehlungen**            | Explizite Bestätigung für neue Empfänger verlangen                                   |

#### T-EXFIL-003: Abgreifen von Anmeldedaten

| Attribut                    | Wert                                                         |
| --------------------------- | ------------------------------------------------------------ |
| **ATLAS-ID**                | AML.T0009 - Sammlung                                         |
| **Beschreibung**            | Bösartiger Skill sammelt Anmeldedaten aus dem Agentenkontext |
| **Angriffsvektor**          | Skill-Code liest Umgebungsvariablen, Konfigurationsdateien   |
| **Betroffene Komponenten**  | Skill-Ausführungsumgebung                                    |
| **Aktuelle Gegenmaßnahmen** | Keine spezifisch für Skills                                  |
| **Restrisiko**              | Kritisch - Skills laufen mit Agentenrechten                  |
| **Empfehlungen**            | Skill-Sandboxing, Isolation von Anmeldedaten                 |

***

### 3.8 Auswirkung (AML.TA0011)

#### T-IMPACT-001: Unbefugte Befehlsausführung

| Attribut                    | Wert                                                          |
| --------------------------- | ------------------------------------------------------------- |
| **ATLAS-ID**                | AML.T0031 - Integrität des KI-Modells untergraben             |
| **Beschreibung**            | Angreifer führt beliebige Befehle auf dem Benutzersystem aus  |
| **Angriffsvektor**          | Prompt-Injection kombiniert mit Umgehung der Exec-Genehmigung |
| **Betroffene Komponenten**  | Bash-Tool, Befehlsausführung                                  |
| **Aktuelle Gegenmaßnahmen** | Exec-Genehmigungen, Docker-Sandbox-Option                     |
| **Restrisiko**              | Kritisch - Host-Ausführung ohne Sandbox                       |
| **Empfehlungen**            | Standardmäßig Sandbox verwenden, Genehmigungs-UX verbessern   |

#### T-IMPACT-002: Ressourcenerschöpfung (DoS)

| Attribut                    | Wert                                                         |
| --------------------------- | ------------------------------------------------------------ |
| **ATLAS-ID**                | AML.T0031 - Integrität des KI-Modells untergraben            |
| **Beschreibung**            | Angreifer erschöpft API-Guthaben oder Rechenressourcen       |
| **Angriffsvektor**          | Automatisierte Nachrichtenflut, teure Tool-Aufrufe           |
| **Betroffene Komponenten**  | Gateway, Agentensitzungen, API-Provider                      |
| **Aktuelle Gegenmaßnahmen** | Keine                                                        |
| **Restrisiko**              | Hoch - Keine Ratenbegrenzung                                 |
| **Empfehlungen**            | Ratenbegrenzungen pro Absender, Kostenbudgets implementieren |

#### T-IMPACT-003: Reputationsschaden

| Attribut                    | Wert                                                                     |
| --------------------------- | ------------------------------------------------------------------------ |
| **ATLAS-ID**                | AML.T0031 - Integrität des KI-Modells untergraben                        |
| **Beschreibung**            | Angreifer veranlasst den Agenten, schädliche/anstößige Inhalte zu senden |
| **Angriffsvektor**          | Prompt-Injection, die unangemessene Antworten verursacht                 |
| **Betroffene Komponenten**  | Ausgabegenerierung, Kanalnachrichten                                     |
| **Aktuelle Gegenmaßnahmen** | Inhaltsrichtlinien des LLM-Providers                                     |
| **Restrisiko**              | Mittel - Provider-Filter sind unvollkommen                               |
| **Empfehlungen**            | Ausgabefilterebene, Benutzerkontrollen                                   |

***

## 4. ClawHub-Supply-Chain-Analyse

### 4.1 Aktuelle Sicherheitskontrollen

| Kontrolle               | Implementierung              | Wirksamkeit                                                  |
| ----------------------- | ---------------------------- | ------------------------------------------------------------ |
| Alter des GitHub-Kontos | `requireGitHubAccountAge()`  | Mittel - Erhöht die Hürde für neue Angreifer                 |
| Pfadbereinigung         | `sanitizePath()`             | Hoch - Verhindert Path Traversal                             |
| Dateitypvalidierung     | `isTextFile()`               | Mittel - Nur Textdateien, können aber trotzdem bösartig sein |
| Größenlimits            | 50 MB Gesamt-Bundle          | Hoch - Verhindert Ressourcenerschöpfung                      |
| Erforderliche SKILL.md  | Obligatorische Readme        | Geringer Sicherheitswert - Nur informativ                    |
| Muster-Moderation       | FLAG\_RULES in moderation.ts | Niedrig - Leicht zu umgehen                                  |
| Moderationsstatus       | `moderationStatus`-Feld      | Mittel - Manuelle Prüfung möglich                            |

### 4.2 Moderations-Flag-Muster

Aktuelle Muster in `moderation.ts`:

```javascript theme={"theme":{"light":"min-light","dark":"min-dark"}}
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
```

**Einschränkungen:**

* Prüft nur Slug, displayName, Zusammenfassung, Frontmatter, Metadaten und Dateipfade
* Analysiert nicht den tatsächlichen Skill-Code-Inhalt
* Einfache Regex kann leicht durch Verschleierung umgangen werden
* Keine Verhaltensanalyse

### 4.3 Geplante Verbesserungen

| Verbesserung           | Status                                       | Auswirkung                                                            |
| ---------------------- | -------------------------------------------- | --------------------------------------------------------------------- |
| VirusTotal-Integration | In Arbeit                                    | Hoch - Verhaltensanalyse durch Code Insight                           |
| Community-Meldungen    | Teilweise (`skillReports`-Tabelle existiert) | Mittel                                                                |
| Audit-Protokollierung  | Teilweise (`auditLogs`-Tabelle existiert)    | Mittel                                                                |
| Badge-System           | Implementiert                                | Mittel - `highlighted`, `official`, `deprecated`, `redactionApproved` |

***

## 5. Risikomatrix

### 5.1 Wahrscheinlichkeit vs. Auswirkung

| Bedrohungs-ID | Wahrscheinlichkeit | Auswirkung | Risikostufe  | Priorität |
| ------------- | ------------------ | ---------- | ------------ | --------- |
| T-EXEC-001    | Hoch               | Kritisch   | **Kritisch** | P0        |
| T-PERSIST-001 | Hoch               | Kritisch   | **Kritisch** | P0        |
| T-EXFIL-003   | Mittel             | Kritisch   | **Kritisch** | P0        |
| T-IMPACT-001  | Mittel             | Kritisch   | **Hoch**     | P1        |
| T-EXEC-002    | Hoch               | Hoch       | **Hoch**     | P1        |
| T-EXEC-004    | Mittel             | Hoch       | **Hoch**     | P1        |
| T-ACCESS-003  | Mittel             | Hoch       | **Hoch**     | P1        |
| T-EXFIL-001   | Mittel             | Hoch       | **Hoch**     | P1        |
| T-IMPACT-002  | Hoch               | Mittel     | **Hoch**     | P1        |
| T-EVADE-001   | Hoch               | Mittel     | **Mittel**   | P2        |
| T-ACCESS-001  | Niedrig            | Hoch       | **Mittel**   | P2        |
| T-ACCESS-002  | Niedrig            | Hoch       | **Mittel**   | P2        |
| T-PERSIST-002 | Niedrig            | Hoch       | **Mittel**   | P2        |

### 5.2 Angriffsketten des kritischen Pfads

**Angriffskette 1: Skill-basierter Datendiebstahl**

```
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
```

**Angriffskette 2: Prompt-Injection zu RCE**

```
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
```

**Angriffskette 3: Indirekte Injection über abgerufene Inhalte**

```
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)
```

***

## 6. Zusammenfassung der Empfehlungen

### 6.1 Sofort (P0)

| ID    | Empfehlung                                          | Behandelt                  |
| ----- | --------------------------------------------------- | -------------------------- |
| R-001 | VirusTotal-Integration abschließen                  | T-PERSIST-001, T-EVADE-001 |
| R-002 | Skills-Sandboxing implementieren                    | T-PERSIST-001, T-EXFIL-003 |
| R-003 | Ausgabevalidierung für sensible Aktionen hinzufügen | T-EXEC-001, T-EXEC-002     |

### 6.2 Kurzfristig (P1)

| ID    | Empfehlung                                           | Behandelt    |
| ----- | ---------------------------------------------------- | ------------ |
| R-004 | Rate Limiting implementieren                         | T-IMPACT-002 |
| R-005 | Token-Verschlüsselung im Ruhezustand hinzufügen      | T-ACCESS-003 |
| R-006 | UX und Validierung für exec-Genehmigungen verbessern | T-EXEC-004   |
| R-007 | URL-Allowlisting für web\_fetch implementieren       | T-EXFIL-001  |

### 6.3 Mittelfristig (P2)

| ID    | Empfehlung                                                | Behandelt     |
| ----- | --------------------------------------------------------- | ------------- |
| R-008 | Kryptografische Kanalverifizierung hinzufügen, wo möglich | T-ACCESS-002  |
| R-009 | Integritätsprüfung der Konfiguration implementieren       | T-PERSIST-003 |
| R-010 | Update-Signierung und Versions-Pinning hinzufügen         | T-PERSIST-002 |

***

## 7. Anhänge

### 7.1 Zuordnung von ATLAS-Techniken

| ATLAS-ID      | Technikname                           | OpenClaw-Bedrohungen                                             |
| ------------- | ------------------------------------- | ---------------------------------------------------------------- |
| AML.T0006     | Aktives Scannen                       | T-RECON-001, T-RECON-002                                         |
| AML.T0009     | Sammlung                              | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003                            |
| AML.T0010.001 | Lieferkette: KI-Software              | T-PERSIST-001, T-PERSIST-002                                     |
| AML.T0010.002 | Lieferkette: Daten                    | T-PERSIST-003                                                    |
| AML.T0031     | Integrität des KI-Modells untergraben | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003                         |
| AML.T0040     | Zugriff auf KI-Modell-Inferenz-API    | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043     | Gegnerische Daten erstellen           | T-EXEC-004, T-EVADE-001, T-EVADE-002                             |
| AML.T0051.000 | LLM-Prompt-Injection: Direkt          | T-EXEC-001, T-EXEC-003                                           |
| AML.T0051.001 | LLM-Prompt-Injection: Indirekt        | T-EXEC-002                                                       |

### 7.2 Zentrale Sicherheitsdateien

| Pfad                                | Zweck                            | Risikostufe  |
| ----------------------------------- | -------------------------------- | ------------ |
| `src/infra/exec-approvals.ts`       | Logik für Befehlsfreigaben       | **Kritisch** |
| `src/gateway/auth.ts`               | Gateway-Authentifizierung        | **Kritisch** |
| `src/infra/net/ssrf.ts`             | SSRF-Schutz                      | **Kritisch** |
| `src/security/external-content.ts`  | Minderung von Prompt Injection   | **Kritisch** |
| `src/agents/sandbox/tool-policy.ts` | Durchsetzung der Tool-Richtlinie | **Kritisch** |
| `src/routing/resolve-route.ts`      | Sitzungsisolation                | **Mittel**   |

### 7.3 Glossar

| Begriff              | Definition                                                             |
| -------------------- | ---------------------------------------------------------------------- |
| **ATLAS**            | MITREs Adversarial Threat Landscape for AI Systems                     |
| **ClawHub**          | OpenClaws Marktplatz für Skills                                        |
| **Gateway**          | OpenClaws Nachrichtenrouting- und Authentifizierungsschicht            |
| **MCP**              | Model Context Protocol - Schnittstelle für Tool-Provider               |
| **Prompt Injection** | Angriff, bei dem schädliche Anweisungen in Eingaben eingebettet werden |
| **Skill**            | Herunterladbare Erweiterung für OpenClaw-Agenten                       |
| **SSRF**             | Server-Side Request Forgery                                            |

***

*Dieses Bedrohungsmodell ist ein lebendes Dokument. Melden Sie Sicherheitsprobleme an [security@openclaw.ai](mailto:security@openclaw.ai)*

## Verwandte Themen

* [Formale Verifizierung](/de/security/formal-verification)
* [Zum Bedrohungsmodell beitragen](/de/security/CONTRIBUTING-THREAT-MODEL)
