Saltar al contenido principal
Versión: 1.0-draft | Marco: MITRE ATLAS (Panorama de amenazas adversarias para sistemas de IA) + diagramas de flujo de datos Este modelo de amenazas documenta amenazas adversarias contra la plataforma de agentes de IA OpenClaw y el marketplace de Skills ClawHub. Es un documento vivo mantenido por la comunidad de OpenClaw. Consulta Contribuir al modelo de amenazas para saber cómo reportar nuevas amenazas, proponer cadenas de ataque o sugerir mitigaciones. Recursos clave de ATLAS: Técnicas | Tácticas | Casos de estudio | GitHub de ATLAS | Contribuir a ATLAS

1. Alcance

ComponenteIncluidoNotas
Runtime de agentes OpenClawEjecución central de agentes, llamadas a herramientas, sesiones
GatewayAutenticación, enrutamiento, integración de canales
Integraciones de canalesWhatsApp, Telegram, Discord, Signal, Slack, etc.
Marketplace ClawHubPublicación, moderación y distribución de Skills
Servidores MCPProveedores de herramientas externas
Dispositivos de usuarioParcialAplicaciones móviles, clientes de escritorio
Los reportes fuera de alcance y los patrones de falsos positivos (exposición a internet público, cadenas solo de inyección de prompts sin omisión de frontera, operadores mutuamente no confiables que comparten un host Gateway, y otros) se enumeran en SECURITY.md; ese archivo es la fuente de verdad actual para el alcance de reportes de vulnerabilidades, no esta página.

2. Arquitectura del sistema

2.1 Fronteras de confianza

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device pairing (1h DM pairing / 5m node pairing TTL)   │   │
│  │  • AllowFrom / allowlist validation                       │   │
│  │  • Token / password / Tailscale auth                      │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox (default) or host (exec approvals)      │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (random-boundary XML tags)   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Static pattern + AST-adjacent moderation scanning      │   │
│  │  • LLM-based agentic risk review + VirusTotal scanning    │   │
│  │  • GitHub account age verification (14 days)              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Flujos de datos

FlujoOrigenDestinoDatosProtección
F1CanalGatewayMensajes de usuarioTLS, AllowFrom
F2GatewayAgenteMensajes enrutadosAislamiento de sesión
F3AgenteHerramientasInvocaciones de herramientasAplicación de políticas
F4AgenteExternoSolicitudes web_fetchBloqueo de SSRF
F5ClawHubAgenteCódigo de SkillModeración, escaneo
F6AgenteCanalRespuestasFiltrado de salida

3. Análisis de amenazas por táctica de ATLAS

3.1 Reconocimiento (AML.TA0002)

T-RECON-001: Descubrimiento de endpoints de agentes

AtributoValor
ID de ATLASAML.T0006 - Escaneo activo
DescripciónEl atacante escanea endpoints Gateway de OpenClaw expuestos
Vector de ataqueEscaneo de red, consultas de Shodan, enumeración de DNS
Componentes afectadosGateway, endpoints de API expuestos
Mitigaciones actualesOpción de autenticación Tailscale, vinculación a local loopback de forma predeterminada
Riesgo residualMedio - los Gateways públicos son detectables
RecomendacionesDocumentar el despliegue seguro, agregar limitación de tasa en endpoints de descubrimiento

T-RECON-002: Sondeo de integración de canales

AtributoValor
ID de ATLASAML.T0006 - Escaneo activo
DescripciónEl atacante sondea canales de mensajería para identificar cuentas gestionadas por IA
Vector de ataqueEnvío de mensajes de prueba, observación de patrones de respuesta
Componentes afectadosTodas las integraciones de canales
Mitigaciones actualesNinguna específica
Riesgo residualBajo - valor limitado solo a partir del descubrimiento
RecomendacionesConsiderar la aleatorización del tiempo de respuesta

3.2 Acceso inicial (AML.TA0004)

T-ACCESS-001: Intercepción del código de emparejamiento

AtributoValor
ATLAS IDAML.T0040 - Acceso a la API de inferencia de modelos de IA
DescripciónEl atacante intercepta un código de emparejamiento durante la ventana de emparejamiento (1 h DM/genérico, 5 min nodo)
Vector de ataqueObservación por encima del hombro, sniffing de red, ingeniería social
Componentes afectadosSistema de emparejamiento de dispositivos
Mitigaciones actualesTTL de 1 h (emparejamiento DM/genérico), TTL de 5 min (emparejamiento de nodo); códigos enviados por el canal existente
Riesgo residualMedio - ventana de emparejamiento explotable
RecomendacionesReducir la ventana de emparejamiento, agregar un paso de confirmación

T-ACCESS-002: Suplantación de AllowFrom

AtributoValor
ATLAS IDAML.T0040 - Acceso a la API de inferencia de modelos de IA
DescripciónEl atacante suplanta una identidad de remitente permitida en un canal
Vector de ataqueDependiente del canal - suplantación de número telefónico, impersonación de nombre de usuario
Componentes afectadosValidación AllowFrom por canal
Mitigaciones actualesVerificación de identidad específica del canal
Riesgo residualMedio - algunos canales siguen siendo vulnerables a la suplantación
RecomendacionesDocumentar los riesgos específicos del canal, agregar verificación criptográfica cuando sea posible

T-ACCESS-003: Robo de tokens

AtributoValor
ATLAS IDAML.T0040 - Acceso a la API de inferencia de modelos de IA
DescripciónEl atacante roba tokens de autenticación de archivos de configuración/credenciales
Vector de ataqueMalware, acceso no autorizado al dispositivo, exposición de copias de seguridad de configuración
Componentes afectadosAlmacenamiento de credenciales de canal/proveedor, almacenamiento de configuración
Mitigaciones actualesPermisos de archivo
Riesgo residualAlto - tokens almacenados en texto plano en disco
RecomendacionesImplementar cifrado de tokens en reposo, agregar rotación de tokens

3.3 Ejecución (AML.TA0005)

T-EXEC-001: Inyección directa de prompts

AtributoValor
ATLAS IDAML.T0051.000 - Inyección de prompts en LLM: directa
DescripciónEl atacante envía prompts manipulados para alterar el comportamiento del agente
Vector de ataqueMensajes de canal que contienen instrucciones adversarias
Componentes afectadosLLM del agente, todas las superficies de entrada
Mitigaciones actualesDetección de patrones, envoltura de contenido externo; tratado como fuera de alcance para informes de vulnerabilidad si no hay una elusión de límite (ver SECURITY.md)
Riesgo residualCrítico - solo detección, sin bloqueo; los ataques sofisticados la eluden
RecomendacionesValidación de salida y confirmación del usuario para acciones sensibles, aplicadas sobre la detección existente

T-EXEC-002: Inyección indirecta de prompts

AtributoValor
ATLAS IDAML.T0051.001 - Inyección de prompts en LLM: indirecta
DescripciónEl atacante incrusta instrucciones maliciosas en contenido obtenido
Vector de ataqueURL maliciosas, correos electrónicos contaminados, webhooks comprometidos
Componentes afectadosweb_fetch, ingesta de correo electrónico, fuentes de datos externas
Mitigaciones actualesEnvoltura de contenido con marcadores aleatorios de estilo XML con límites, normalización de homógrafos/tokens especiales y aviso de seguridad
Riesgo residualAlto - el LLM aún puede ignorar las instrucciones de envoltura
RecomendacionesContextos de ejecución separados para contenido envuelto

T-EXEC-003: Inyección de argumentos de herramientas

AtributoValor
ATLAS IDAML.T0051.000 - Inyección de prompts en LLM: directa
DescripciónEl atacante manipula argumentos de herramientas mediante inyección de prompts
Vector de ataquePrompts manipulados que influyen en los valores de parámetros de herramientas
Componentes afectadosTodas las invocaciones de herramientas
Mitigaciones actualesAprobaciones Exec para comandos peligrosos
Riesgo residualAlto - depende del criterio del usuario
RecomendacionesValidación de argumentos, llamadas a herramientas parametrizadas

T-EXEC-004: Elusión de aprobación Exec

AtributoValor
ATLAS IDAML.T0043 - Crear datos adversarios
DescripciónEl atacante crea comandos que eluden la lista de permitidos de aprobación
Vector de ataqueOfuscación de comandos, explotación de alias, manipulación de rutas
Componentes afectadossrc/infra/exec-approvals*.ts, lista de comandos permitidos
Mitigaciones actualesLista de permitidos + modo de solicitud, además de normalización de comandos (desenvoltura de dispatch-wrapper, detección de inline-eval, análisis de cadenas de shell)
Riesgo residualAlto - la normalización reduce pero no elimina la elusión mediante ofuscación; los hallazgos de solo paridad entre rutas Exec se tratan como endurecimiento, no como vulnerabilidades (ver SECURITY.md)
RecomendacionesSeguir ampliando la cobertura de normalización de comandos contra nuevas técnicas de ofuscación

3.4 Persistencia (AML.TA0006)

T-PERSIST-001: Instalación de skill maliciosa

AtributoValor
ATLAS IDAML.T0010.001 - Compromiso de la cadena de suministro: software de IA
DescripciónEl atacante publica una skill maliciosa en ClawHub
Vector de ataqueCrear cuenta, publicar skill con código malicioso oculto
Componentes afectadosClawHub, carga de skills, ejecución del agente
Mitigaciones actualesVerificación de antigüedad de cuenta de GitHub, análisis estático de patrones/adyacente a AST, revisión agéntica de riesgos basada en LLM, análisis con VirusTotal
Riesgo residualAlto - existen capas de detección, pero las skills aún se ejecutan con privilegios de agente y sin sandboxing de ejecución
RecomendacionesSandboxing de ejecución de skills, revisión comunitaria ampliada

T-PERSIST-002: Envenenamiento de actualización de skill

AtributoValor
ATLAS IDAML.T0010.001 - Compromiso de la cadena de suministro: software de IA
DescripciónEl atacante compromete una skill popular y publica una actualización maliciosa
Vector de ataqueCompromiso de cuenta, ingeniería social del propietario de la skill
Componentes afectadosVersionado de ClawHub, flujos de actualización automática
Mitigaciones actualesHuellas de versión, nueva ejecución de moderación/análisis en versiones nuevas
Riesgo residualAlto - las actualizaciones automáticas pueden descargar versiones maliciosas antes de que finalice la revisión
RecomendacionesFirma de actualizaciones, capacidad de reversión, fijación de versiones

T-PERSIST-003: Manipulación de la configuración del agente

AtributoValor
ID ATLASAML.T0010.002 - Compromiso de la cadena de suministro: Datos
DescripciónEl atacante modifica la configuración del agente para persistir el acceso
Vector de ataqueModificación del archivo de configuración, inyección de ajustes
Componentes afectadosConfiguración del agente, políticas de herramientas
Mitigaciones actualesPermisos de archivo
Riesgo residualMedio - requiere acceso local
RecomendacionesVerificación de integridad de la configuración, registro de auditoría para cambios de configuración

3.5 Evasión de defensas (AML.TA0007)

T-EVADE-001: Omisión de patrones de moderación

AtributoValor
ID ATLASAML.T0043 - Crear datos adversariales
DescripciónEl atacante crea contenido de skill para evadir las comprobaciones de moderación de ClawHub
Vector de ataqueHomoglifos Unicode, trucos de codificación, carga dinámica
Componentes afectadosCanalización de moderación/escaneo de ClawHub
Mitigaciones actualesReglas de patrones estáticos, escaneo de código adyacente a AST, revisión de riesgo agéntico con LLM, VirusTotal
Riesgo residualMedio - la ofuscación novedosa aún puede eludir las heurísticas por capas
RecomendacionesSeguir ampliando el corpus de patrones/comportamientos a medida que se encuentren nuevas evasiones

T-EVADE-002: Escape de envoltorio de contenido

AtributoValor
ID ATLASAML.T0043 - Crear datos adversariales
DescripciónEl atacante crea contenido que escapa del contexto del envoltorio de contenido externo
Vector de ataqueManipulación de etiquetas, confusión de contexto, anulación de instrucciones
Componentes afectadosEnvoltura de contenido externo
Mitigaciones actualesMarcadores de estilo XML con límite aleatorio + aviso de seguridad, además de detección de suplantación de marcadores con homoglifos/variantes de espacios en blanco
Riesgo residualMedio - se descubren escapes novedosos con regularidad
RecomendacionesValidación del lado de salida además de la envoltura del lado de entrada

3.6 Descubrimiento (AML.TA0008)

T-DISC-001: Enumeración de herramientas

AtributoValor
ID ATLASAML.T0040 - Acceso a la API de inferencia del modelo de IA
DescripciónEl atacante enumera las herramientas disponibles mediante prompts
Vector de ataqueConsultas de estilo “¿Qué herramientas tienes?”
Componentes afectadosRegistro de herramientas del agente
Mitigaciones actualesNinguna específica
Riesgo residualBajo - las herramientas suelen estar documentadas
RecomendacionesConsiderar controles de visibilidad de herramientas

T-DISC-002: Extracción de datos de sesión

AtributoValor
ID ATLASAML.T0040 - Acceso a la API de inferencia del modelo de IA
DescripciónEl atacante extrae datos sensibles del contexto de sesión
Vector de ataqueConsultas “¿Qué discutimos?”, sondeo del contexto
Componentes afectadosTranscripciones de sesión, ventana de contexto
Mitigaciones actualesAislamiento de sesión por remitente (clave agent:channel:peer)
Riesgo residualMedio - los datos dentro de la sesión son accesibles por diseño
RecomendacionesRedacción de datos sensibles en el contexto

3.7 Recopilación y exfiltración (AML.TA0009, AML.TA0010)

T-EXFIL-001: Robo de datos mediante web_fetch

AtributoValor
ID ATLASAML.T0009 - Recopilación
DescripciónEl atacante exfiltra datos indicando al agente que los envíe a una URL externa
Vector de ataqueInyección de prompt que hace que el agente haga POST de datos a un servidor del atacante
Componentes afectadosHerramienta web_fetch
Mitigaciones actualesBloqueo SSRF para redes internas/privadas (fijación DNS + bloqueo de IP)
Riesgo residualAlto - las URL externas arbitrarias siguen permitidas
RecomendacionesLista de URL permitidas, conciencia de clasificación de datos

T-EXFIL-002: Envío de mensajes no autorizado

AtributoValor
ID ATLASAML.T0009 - Recopilación
DescripciónEl atacante hace que el agente envíe mensajes que contienen datos sensibles
Vector de ataqueInyección de prompt que hace que el agente envíe un mensaje al atacante
Componentes afectadosHerramienta de mensajes, integraciones de canales
Mitigaciones actualesControl de envío de mensajes salientes
Riesgo residualMedio - el control puede ser eludido
RecomendacionesConfirmación explícita para nuevos destinatarios

T-EXFIL-003: Recolección de credenciales

AtributoValor
ID ATLASAML.T0009 - Recopilación
DescripciónUna skill maliciosa recolecta credenciales del contexto del agente
Vector de ataqueEl código de la skill lee variables de entorno, archivos de configuración
Componentes afectadosEntorno de ejecución de skills
Mitigaciones actualesEscaneo de patrones de credenciales en ClawHub (secretos codificados, acceso a variables de entorno de credenciales emparejado con envíos de red); sin sandboxing de ejecución para skills en tiempo de ejecución
Riesgo residualCrítico - las skills se ejecutan con privilegios del agente
RecomendacionesSandboxing de ejecución de skills, aislamiento de credenciales

3.8 Impacto (AML.TA0011)

T-IMPACT-001: Ejecución de comandos no autorizada

AtributoValor
ID ATLASAML.T0031 - Erosionar la integridad del modelo de IA
DescripciónEl atacante ejecuta comandos arbitrarios en el sistema del usuario
Vector de ataqueInyección de prompt combinada con omisión de aprobación de exec
Componentes afectadosHerramienta Bash, ejecución de comandos
Mitigaciones actualesAprobaciones de exec, opción de sandbox de Docker (backend de tiempo de ejecución predeterminado)
Riesgo residualCrítico - la ejecución en el host es posible cuando el sandbox está deshabilitado
RecomendacionesMejorar la UX de aprobación; los despliegues con sandbox desactivado siguen siendo una elección deliberada del operador, documentada como tal

T-IMPACT-002: Agotamiento de recursos (DoS)

AtributoValor
ID ATLASAML.T0031 - Erosionar la integridad del modelo de IA
DescripciónEl atacante agota créditos de API o recursos de cómputo
Vector de ataqueInundación automatizada de mensajes, llamadas costosas a herramientas
Componentes afectadosGateway, sesiones de agente, proveedor de API
Mitigaciones actualesNinguna
Riesgo residualAlto - sin limitación de tasa por remitente
RecomendacionesLímites de tasa por remitente, presupuestos de coste

T-IMPACT-003: Daño reputacional

AtributoValor
ID ATLASAML.T0031 - Erosionar la integridad del modelo de IA
DescripciónEl atacante hace que el agente envíe contenido dañino/ofensivo
Vector de ataqueInyección de prompt que provoca respuestas inapropiadas
Componentes afectadosGeneración de salida, mensajería de canal
Mitigaciones actualesPolíticas de contenido del proveedor de LLM
Riesgo residualMedio - los filtros del proveedor son imperfectos
RecomendacionesCapa de filtrado de salida, controles de usuario

4. Análisis de la cadena de suministro de ClawHub

4.1 Controles de seguridad actuales

ControlImplementaciónEficacia
Antigüedad de la cuenta de GitHubrequireGitHubAccountAge() (mínimo de 14 días)Media - eleva la dificultad para nuevos atacantes
Saneamiento de rutassanitizePath()Alta - evita el recorrido de rutas
Validación de tipo de archivoisTextFile()Media - solo se escanean archivos de texto, pero siguen siendo explotables
Límites de tamañoPaquete total de 50 MB (MAX_PUBLISH_TOTAL_BYTES)Alta - evita el agotamiento de recursos
SKILL.md obligatorioREADME obligatorio al publicarBajo valor de seguridad - solo informativo
Escaneo estático + adyacente a ASTMotor de patrones que cubre exec, exfiltración, recolección de credenciales, ofuscación y másMedia-Alta - cubre muchos patrones de abuso conocidos, sigue basado en patrones
Revisión agéntica de riesgo basada en LLMVeredicto impulsado por prompts de seguridad al publicarMedia-Alta - detecta comportamientos que los patrones estáticos no detectan
Escaneo con VirusTotalConectado a flujos de publicación/reescan de Skills y lanzamientos de paquetes, condicionado a la clave API del operadorAlta cuando está habilitado - detección con motor estático
Estado de moderaciónCampo moderationStatusMedia - revisión manual posible

4.2 Limitaciones de moderación

El escaneo estático de ClawHub inspecciona directamente el contenido del código de Skills (no solo slug/metadatos/frontmatter), y cubre llamadas exec peligrosas, ejecución dinámica de código, recolección de credenciales, patrones de exfiltración, cargas útiles ofuscadas y más. Brechas conocidas:
  • La detección basada en patrones todavía puede eludirse con ofuscación lo suficientemente novedosa.
  • La revisión basada en LLM y el escaneo con VirusTotal dependen de que las claves API/configuración del lado del operador estén habilitadas.
  • Ningún sandbox de ejecución en tiempo de ejecución aísla una Skill de los privilegios propios del agente una vez instalada.

4.3 Insignias

Skills y paquetes llevan insignias asignadas por moderadores: highlighted, official, deprecated, redactionApproved (solo Skills). Los informes de la comunidad (skillReports) y el registro de auditoría (auditLogs) respaldan los flujos de trabajo de moderación.

5. Matriz de riesgos

5.1 Probabilidad frente a impacto

ID de amenazaProbabilidadImpactoNivel de riesgoPrioridad
T-EXEC-001AltaCríticoCríticoP0
T-PERSIST-001AltaCríticoCríticoP0
T-EXFIL-003MediaCríticoCríticoP0
T-IMPACT-001MediaCríticoAltoP1
T-EXEC-002AltaAltoAltoP1
T-EXEC-004MediaAltoAltoP1
T-ACCESS-003MediaAltoAltoP1
T-EXFIL-001MediaAltoAltoP1
T-IMPACT-002AltaMedioAltoP1
T-EVADE-001AltaMedioMedioP2
T-ACCESS-001BajaAltoMedioP2
T-ACCESS-002BajaAltoMedioP2
T-PERSIST-002BajaAltoMedioP2

5.2 Cadenas de ataque de ruta crítica

Cadena 1: Robo de datos basado en Skills
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
Cadena 2: Inyección de prompts a RCE
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
Cadena 3: Inyección indirecta mediante contenido recuperado
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Resumen de recomendaciones

6.1 Inmediato (P0)

IDRecomendaciónAborda
R-002Implementar sandboxing de ejecución de SkillsT-PERSIST-001, T-EXFIL-003
R-003Añadir validación de salida para acciones sensiblesT-EXEC-001, T-EXEC-002

6.2 Corto plazo (P1)

IDRecomendaciónAborda
R-004Implementar limitación de tasa por remitenteT-IMPACT-002
R-005Añadir cifrado de tokens en reposoT-ACCESS-003
R-006Mejorar la UX de aprobación de exec y seguir ampliando la normalización de comandosT-EXEC-004
R-007Implementar lista de permitidos de URL para web_fetchT-EXFIL-001

6.3 Medio plazo (P2)

IDRecomendaciónAborda
R-008Añadir verificación criptográfica de canales donde sea posibleT-ACCESS-002
R-009Implementar verificación de integridad de configuraciónT-PERSIST-003
R-010Añadir firma de actualizaciones y fijación de versionesT-PERSIST-002

7. Apéndices

7.1 Mapeo de técnicas ATLAS

ID de ATLASNombre de la técnicaAmenazas de OpenClaw
AML.T0006Escaneo activoT-RECON-001, T-RECON-002
AML.T0009RecopilaciónT-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001Cadena de suministro: software de IAT-PERSIST-001, T-PERSIST-002
AML.T0010.002Cadena de suministro: datosT-PERSIST-003
AML.T0031Erosionar la integridad del modelo de IAT-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040Acceso a la API de inferencia del modelo de IAT-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043Crear datos adversariosT-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000Inyección de prompts en LLM: directaT-EXEC-001, T-EXEC-003
AML.T0051.001Inyección de prompts en LLM: indirectaT-EXEC-002

7.2 Archivos de seguridad clave

RutaPropósitoNivel de riesgo
src/infra/exec-approvals.tsLógica de aprobación de comandosCrítico
src/gateway/auth.tsAutenticación de GatewayCrítico
src/infra/net/ssrf.tsProtección contra SSRFCrítico
src/security/external-content.tsMitigación de inyección de promptsCrítico
src/agents/sandbox/tool-policy.tsPolítica de permitir/denegar herramientas del sandboxCrítico
src/routing/resolve-route.tsAislamiento/enrutamiento de sesionesMedio

7.3 Glosario

TérminoDefinición
ATLASPanorama de amenazas adversarias para sistemas de IA de MITRE
ClawHubMarketplace de Skills de OpenClaw
GatewayCapa de enrutamiento de mensajes y autenticación de OpenClaw
MCPModel Context Protocol - interfaz de proveedor de herramientas
Inyección de promptsAtaque en el que se incrustan instrucciones maliciosas en la entrada
SkillExtensión descargable para agentes de OpenClaw
SSRFServer-Side Request Forgery

Este modelo de amenazas es un documento vivo. Informa problemas de seguridad a security@openclaw.ai o consulta la página de confianza.

Relacionado