> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Modèle de menace (MITRE ATLAS)

## Cadre MITRE ATLAS

**Version :** 1.0-brouillon
**Dernière mise à jour :** 2026-02-04
**Méthodologie :** MITRE ATLAS + diagrammes de flux de données
**Cadre :** [MITRE ATLAS](https://atlas.mitre.org/) (paysage des menaces adversariales pour les systèmes d’IA)

### Attribution du cadre

Ce modèle de menace s’appuie sur [MITRE ATLAS](https://atlas.mitre.org/), le cadre de référence du secteur pour documenter les menaces adversariales visant les systèmes d’IA/ML. ATLAS est maintenu par [MITRE](https://www.mitre.org/) en collaboration avec la communauté de la sécurité de l’IA.

**Ressources ATLAS clés :**

* [Techniques ATLAS](https://atlas.mitre.org/techniques/)
* [Tactiques ATLAS](https://atlas.mitre.org/tactics/)
* [Études de cas ATLAS](https://atlas.mitre.org/studies/)
* [GitHub ATLAS](https://github.com/mitre-atlas/atlas-data)
* [Contribuer à ATLAS](https://atlas.mitre.org/resources/contribute)

### Contribuer à ce modèle de menace

Il s’agit d’un document évolutif maintenu par la communauté OpenClaw. Consultez [CONTRIBUTING-THREAT-MODEL.md](/fr/security/CONTRIBUTING-THREAT-MODEL) pour les consignes de contribution :

* Signaler de nouvelles menaces
* Mettre à jour les menaces existantes
* Proposer des chaînes d’attaque
* Suggérer des mesures d’atténuation

***

## 1. Introduction

### 1.1 Objectif

Ce modèle de menace documente les menaces adversariales visant la plateforme d’agent IA OpenClaw et le marché de Skills ClawHub, à l’aide du cadre MITRE ATLAS conçu spécifiquement pour les systèmes d’IA/ML.

### 1.2 Périmètre

| Composant                                     | Inclus  | Notes                                                      |
| --------------------------------------------- | ------- | ---------------------------------------------------------- |
| Environnement d’exécution de l’agent OpenClaw | Oui     | Exécution principale de l’agent, appels d’outils, sessions |
| Gateway                                       | Oui     | Authentification, routage, intégration des canaux          |
| Intégrations de canaux                        | Oui     | WhatsApp, Telegram, Discord, Signal, Slack, etc.           |
| Marché ClawHub                                | Oui     | Publication, modération, distribution des Skills           |
| Serveurs MCP                                  | Oui     | Fournisseurs d’outils externes                             |
| Appareils utilisateur                         | Partiel | Applications mobiles, clients de bureau                    |

### 1.3 Hors périmètre

Rien n’est explicitement hors périmètre pour ce modèle de menace.

***

## 2. Architecture du système

### 2.1 Limites de confiance

```
┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
```

### 2.2 Flux de données

| Flux | Source  | Destination | Données              | Protection                 |
| ---- | ------- | ----------- | -------------------- | -------------------------- |
| F1   | Canal   | Gateway     | Messages utilisateur | TLS, AllowFrom             |
| F2   | Gateway | Agent       | Messages routés      | Isolation de session       |
| F3   | Agent   | Outils      | Appels d’outils      | Application des politiques |
| F4   | Agent   | Externe     | Requêtes web\_fetch  | Blocage SSRF               |
| F5   | ClawHub | Agent       | Code des Skills      | Modération, analyse        |
| F6   | Agent   | Canal       | Réponses             | Filtrage de sortie         |

***

## 3. Analyse des menaces par tactique ATLAS

### 3.1 Reconnaissance (AML.TA0002)

#### T-RECON-001 : Découverte des points de terminaison d’agent

| Attribut                            | Valeur                                                                                                          |
| ----------------------------------- | --------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**                        | AML.T0006 - Analyse active                                                                                      |
| **Description**                     | Un attaquant recherche les points de terminaison Gateway OpenClaw exposés                                       |
| **Vecteur d’attaque**               | Analyse réseau, requêtes Shodan, énumération DNS                                                                |
| **Composants affectés**             | Gateway, points de terminaison d’API exposés                                                                    |
| **Mesures d’atténuation actuelles** | Option d’authentification Tailscale, liaison à loopback par défaut                                              |
| **Risque résiduel**                 | Moyen - Les gateways publics sont découvrables                                                                  |
| **Recommandations**                 | Documenter le déploiement sécurisé, ajouter une limitation de débit sur les points de terminaison de découverte |

#### T-RECON-002 : Sondage des intégrations de canaux

| Attribut                   | Valeur                                                                                |
| -------------------------- | ------------------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0006 - Analyse active                                                            |
| **Description**            | L’attaquant sonde les canaux de messagerie pour identifier les comptes gérés par l’IA |
| **Vecteur d’attaque**      | Envoi de messages de test, observation des schémas de réponse                         |
| **Composants affectés**    | Toutes les intégrations de canaux                                                     |
| **Atténuations actuelles** | Aucune spécifique                                                                     |
| **Risque résiduel**        | Faible - Valeur limitée de la découverte seule                                        |
| **Recommandations**        | Envisager une randomisation du délai de réponse                                       |

***

### 3.2 Accès initial (AML.TA0004)

#### T-ACCESS-001 : Interception du code d’appairage

| Attribut                   | Valeur                                                                                                                                                |
| -------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0040 - Accès à l’API d’inférence du modèle d’IA                                                                                                  |
| **Description**            | L’attaquant intercepte le code d’appairage pendant la période de grâce d’appairage (1 h pour l’appairage de canal DM, 5 min pour l’appairage de node) |
| **Vecteur d’attaque**      | Observation par-dessus l’épaule, sniffing réseau, ingénierie sociale                                                                                  |
| **Composants affectés**    | Système d’appairage des appareils                                                                                                                     |
| **Atténuations actuelles** | Expiration 1 h (appairage DM) / expiration 5 min (appairage de node), codes envoyés via le canal existant                                             |
| **Risque résiduel**        | Moyen - Période de grâce exploitable                                                                                                                  |
| **Recommandations**        | Réduire la période de grâce, ajouter une étape de confirmation                                                                                        |

#### T-ACCESS-002 : Usurpation AllowFrom

| Attribut                   | Valeur                                                                                                     |
| -------------------------- | ---------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0040 - Accès à l’API d’inférence du modèle d’IA                                                       |
| **Description**            | L’attaquant usurpe l’identité d’un expéditeur autorisé dans le canal                                       |
| **Vecteur d’attaque**      | Dépend du canal - usurpation de numéro de téléphone, usurpation de nom d’utilisateur                       |
| **Composants affectés**    | Validation AllowFrom par canal                                                                             |
| **Atténuations actuelles** | Vérification d’identité propre au canal                                                                    |
| **Risque résiduel**        | Moyen - Certains canaux sont vulnérables à l’usurpation                                                    |
| **Recommandations**        | Documenter les risques propres aux canaux, ajouter une vérification cryptographique lorsque c’est possible |

#### T-ACCESS-003 : Vol de jetons

| Attribut                   | Valeur                                                                              |
| -------------------------- | ----------------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0040 - Accès à l’API d’inférence du modèle d’IA                                |
| **Description**            | L’attaquant vole des jetons d’authentification depuis les fichiers de configuration |
| **Vecteur d’attaque**      | Malware, accès non autorisé à l’appareil, exposition de sauvegarde de configuration |
| **Composants affectés**    | \~/.openclaw/credentials/, stockage de configuration                                |
| **Atténuations actuelles** | Permissions de fichier                                                              |
| **Risque résiduel**        | Élevé - Jetons stockés en texte clair                                               |
| **Recommandations**        | Mettre en œuvre le chiffrement des jetons au repos, ajouter la rotation des jetons  |

***

### 3.3 Exécution (AML.TA0005)

#### T-EXEC-001 : Injection directe de prompt

| Attribut                   | Valeur                                                                                                                     |
| -------------------------- | -------------------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0051.000 - Injection de prompt LLM : directe                                                                          |
| **Description**            | L’attaquant envoie des prompts conçus pour manipuler le comportement de l’agent                                            |
| **Vecteur d’attaque**      | Messages de canal contenant des instructions adversariales                                                                 |
| **Composants affectés**    | LLM de l’agent, toutes les surfaces d’entrée                                                                               |
| **Atténuations actuelles** | Détection de motifs, encapsulation du contenu externe                                                                      |
| **Risque résiduel**        | Critique - Détection uniquement, aucun blocage ; les attaques sophistiquées la contournent                                 |
| **Recommandations**        | Mettre en œuvre une défense multicouche, la validation des sorties, la confirmation utilisateur pour les actions sensibles |

#### T-EXEC-002 : Injection indirecte de prompt

| Attribut                   | Valeur                                                                        |
| -------------------------- | ----------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0051.001 - Injection de prompt LLM : indirecte                           |
| **Description**            | L’attaquant intègre des instructions malveillantes dans du contenu récupéré   |
| **Vecteur d’attaque**      | URL malveillantes, e-mails empoisonnés, webhooks compromis                    |
| **Composants affectés**    | web\_fetch, ingestion d’e-mails, sources de données externes                  |
| **Atténuations actuelles** | Encapsulation du contenu avec des balises XML et un avis de sécurité          |
| **Risque résiduel**        | Élevé - Le LLM peut ignorer les instructions d’encapsulation                  |
| **Recommandations**        | Mettre en œuvre la sanitisation du contenu, séparer les contextes d’exécution |

#### T-EXEC-003 : Injection d’arguments d’outil

| Attribut                   | Valeur                                                                      |
| -------------------------- | --------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0051.000 - Injection de prompt LLM : directe                           |
| **Description**            | L’attaquant manipule les arguments d’outil par injection de prompt          |
| **Vecteur d’attaque**      | Prompts conçus qui influencent les valeurs des paramètres d’outil           |
| **Composants affectés**    | Tous les appels d’outils                                                    |
| **Atténuations actuelles** | Approbations exec pour les commandes dangereuses                            |
| **Risque résiduel**        | Élevé - Dépend du jugement de l’utilisateur                                 |
| **Recommandations**        | Mettre en œuvre la validation des arguments, des appels d’outils paramétrés |

#### T-EXEC-004 : Contournement de l’approbation exec

| Attribut                   | Valeur                                                                                     |
| -------------------------- | ------------------------------------------------------------------------------------------ |
| **ID ATLAS**               | AML.T0043 - Création de données adversariales                                              |
| **Description**            | L’attaquant conçoit des commandes qui contournent la liste d’autorisation des approbations |
| **Vecteur d’attaque**      | Obfuscation de commande, exploitation d’alias, manipulation de chemins                     |
| **Composants affectés**    | exec-approvals.ts, liste d’autorisation des commandes                                      |
| **Atténuations actuelles** | Liste d’autorisation + mode demande                                                        |
| **Risque résiduel**        | Élevé - Aucune sanitisation des commandes                                                  |
| **Recommandations**        | Mettre en œuvre la normalisation des commandes, étendre la liste de blocage                |

***

### 3.4 Persistance (AML.TA0006)

#### T-PERSIST-001 : Installation de Skill malveillant

| Attribut                   | Valeur                                                                                 |
| -------------------------- | -------------------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0010.001 - Compromission de la chaîne d’approvisionnement : logiciel d’IA         |
| **Description**            | L’attaquant publie un Skill malveillant sur ClawHub                                    |
| **Vecteur d’attaque**      | Créer un compte, publier un Skill avec du code malveillant caché                       |
| **Composants affectés**    | ClawHub, chargement de Skill, exécution de l’agent                                     |
| **Atténuations actuelles** | Vérification de l’âge du compte GitHub, indicateurs de modération basés sur des motifs |
| **Risque résiduel**        | Critique - Pas de sandboxing, examen limité                                            |
| **Recommandations**        | Intégration VirusTotal (en cours), sandboxing des Skills, revue communautaire          |

#### T-PERSIST-002 : Empoisonnement de mise à jour de Skill

| Attribut                   | Valeur                                                                                             |
| -------------------------- | -------------------------------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0010.001 - Compromission de la chaîne d’approvisionnement : logiciel d’IA                     |
| **Description**            | L’attaquant compromet un Skill populaire et pousse une mise à jour malveillante                    |
| **Vecteur d’attaque**      | Compromission de compte, ingénierie sociale du propriétaire du Skill                               |
| **Composants affectés**    | Versionnement ClawHub, flux de mise à jour automatique                                             |
| **Atténuations actuelles** | Empreinte de version                                                                               |
| **Risque résiduel**        | Élevé - Les mises à jour automatiques peuvent récupérer des versions malveillantes                 |
| **Recommandations**        | Mettre en œuvre la signature des mises à jour, la capacité de restauration, l’épinglage de version |

#### T-PERSIST-003 : Altération de la configuration de l’agent

| Attribut                   | Valeur                                                                                                     |
| -------------------------- | ---------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0010.002 - Compromission de la chaîne d’approvisionnement : données                                   |
| **Description**            | L’attaquant modifie la configuration de l’agent pour maintenir l’accès                                     |
| **Vecteur d’attaque**      | Modification du fichier de configuration, injection de paramètres                                          |
| **Composants affectés**    | Configuration de l’agent, politiques d’outils                                                              |
| **Atténuations actuelles** | Permissions de fichier                                                                                     |
| **Risque résiduel**        | Moyen - Nécessite un accès local                                                                           |
| **Recommandations**        | Vérification de l’intégrité de la configuration, journalisation d’audit des modifications de configuration |

***

### 3.5 Évasion de défense (AML.TA0007)

#### T-EVADE-001 : Contournement des motifs de modération

| Attribut                   | Valeur                                                                                     |
| -------------------------- | ------------------------------------------------------------------------------------------ |
| **ID ATLAS**               | AML.T0043 - Création de données adversariales                                              |
| **Description**            | L’attaquant conçoit du contenu de Skill pour échapper aux motifs de modération             |
| **Vecteur d’attaque**      | Homoglyphes Unicode, astuces d’encodage, chargement dynamique                              |
| **Composants affectés**    | ClawHub moderation.ts                                                                      |
| **Atténuations actuelles** | FLAG\_RULES basées sur des motifs                                                          |
| **Risque résiduel**        | Élevé - Regex simples facilement contournées                                               |
| **Recommandations**        | Ajouter une analyse comportementale (VirusTotal Code Insight), une détection basée sur AST |

#### T-EVADE-002 : Échappement de l’encapsulation de contenu

| Attribut                   | Valeur                                                                      |
| -------------------------- | --------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0043 - Créer des données adversariales                                 |
| **Description**            | L’attaquant crée du contenu qui sort du contexte d’enveloppe XML            |
| **Vecteur d’attaque**      | Manipulation de balises, confusion de contexte, remplacement d’instructions |
| **Composants affectés**    | Encapsulation de contenu externe                                            |
| **Atténuations actuelles** | Balises XML + avis de sécurité                                              |
| **Risque résiduel**        | Moyen - De nouvelles échappatoires sont découvertes régulièrement           |
| **Recommandations**        | Plusieurs couches d’encapsulation, validation côté sortie                   |

***

### 3.6 Découverte (AML.TA0008)

#### T-DISC-001 : Énumération des outils

| Attribut                   | Valeur                                                |
| -------------------------- | ----------------------------------------------------- |
| **ID ATLAS**               | AML.T0040 - Accès à l’API d’inférence de modèle d’IA  |
| **Description**            | L’attaquant énumère les outils disponibles par prompt |
| **Vecteur d’attaque**      | Requêtes du type « Quels outils as-tu ? »             |
| **Composants affectés**    | Registre des outils de l’agent                        |
| **Atténuations actuelles** | Aucune spécifique                                     |
| **Risque résiduel**        | Faible - Les outils sont généralement documentés      |
| **Recommandations**        | Envisager des contrôles de visibilité des outils      |

#### T-DISC-002 : Extraction des données de session

| Attribut                   | Valeur                                                           |
| -------------------------- | ---------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0040 - Accès à l’API d’inférence de modèle d’IA             |
| **Description**            | L’attaquant extrait des données sensibles du contexte de session |
| **Vecteur d’attaque**      | Requêtes « De quoi avons-nous discuté ? », sondage du contexte   |
| **Composants affectés**    | Transcriptions de session, fenêtre de contexte                   |
| **Atténuations actuelles** | Isolation de session par expéditeur                              |
| **Risque résiduel**        | Moyen - Les données intra-session sont accessibles               |
| **Recommandations**        | Implémenter la censure des données sensibles dans le contexte    |

***

### 3.7 Collecte et exfiltration (AML.TA0009, AML.TA0010)

#### T-EXFIL-001 : Vol de données via web\_fetch

| Attribut                   | Valeur                                                                                       |
| -------------------------- | -------------------------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0009 - Collecte                                                                         |
| **Description**            | L’attaquant exfiltre des données en demandant à l’agent de les envoyer à une URL externe     |
| **Vecteur d’attaque**      | Injection de prompt amenant l’agent à envoyer des données par POST au serveur de l’attaquant |
| **Composants affectés**    | Outil web\_fetch                                                                             |
| **Atténuations actuelles** | Blocage SSRF pour les réseaux internes                                                       |
| **Risque résiduel**        | Élevé - Les URL externes sont autorisées                                                     |
| **Recommandations**        | Implémenter une liste d’URL autorisées, sensibilisation à la classification des données      |

#### T-EXFIL-002 : Envoi de messages non autorisé

| Attribut                   | Valeur                                                                           |
| -------------------------- | -------------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0009 - Collecte                                                             |
| **Description**            | L’attaquant amène l’agent à envoyer des messages contenant des données sensibles |
| **Vecteur d’attaque**      | Injection de prompt amenant l’agent à envoyer un message à l’attaquant           |
| **Composants affectés**    | Outil de messagerie, intégrations de canaux                                      |
| **Atténuations actuelles** | Contrôle des messages sortants                                                   |
| **Risque résiduel**        | Moyen - Le contrôle peut être contourné                                          |
| **Recommandations**        | Exiger une confirmation explicite pour les nouveaux destinataires                |

#### T-EXFIL-003 : Collecte d’identifiants

| Attribut                   | Valeur                                                                                 |
| -------------------------- | -------------------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0009 - Collecte                                                                   |
| **Description**            | Une skill malveillante collecte des identifiants depuis le contexte de l’agent         |
| **Vecteur d’attaque**      | Le code de la skill lit des variables d’environnement et des fichiers de configuration |
| **Composants affectés**    | Environnement d’exécution des skills                                                   |
| **Atténuations actuelles** | Aucune spécifique aux skills                                                           |
| **Risque résiduel**        | Critique - Les Skills s’exécutent avec les privilèges de l’agent                       |
| **Recommandations**        | Cloisonnement des skills, isolation des identifiants                                   |

***

### 3.8 Impact (AML.TA0011)

#### T-IMPACT-001 : Exécution de commandes non autorisée

| Attribut                   | Valeur                                                                        |
| -------------------------- | ----------------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0031 - Éroder l’intégrité du modèle d’IA                                 |
| **Description**            | L’attaquant exécute des commandes arbitraires sur le système de l’utilisateur |
| **Vecteur d’attaque**      | Injection de prompt combinée à un contournement d’approbation exec            |
| **Composants affectés**    | Outil Bash, exécution de commandes                                            |
| **Atténuations actuelles** | Approbations exec, option de bac à sable Docker                               |
| **Risque résiduel**        | Critique - Exécution sur l’hôte sans bac à sable                              |
| **Recommandations**        | Utiliser le bac à sable par défaut, améliorer l’UX d’approbation              |

#### T-IMPACT-002 : Épuisement des ressources (DoS)

| Attribut                   | Valeur                                                                 |
| -------------------------- | ---------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0031 - Éroder l’intégrité du modèle d’IA                          |
| **Description**            | L’attaquant épuise les crédits d’API ou les ressources de calcul       |
| **Vecteur d’attaque**      | Inondation automatisée de messages, appels d’outils coûteux            |
| **Composants affectés**    | Gateway, sessions d’agent, fournisseur d’API                           |
| **Atténuations actuelles** | Aucune                                                                 |
| **Risque résiduel**        | Élevé - Aucune limitation de débit                                     |
| **Recommandations**        | Implémenter des limites de débit par expéditeur et des budgets de coût |

#### T-IMPACT-003 : Atteinte à la réputation

| Attribut                   | Valeur                                                               |
| -------------------------- | -------------------------------------------------------------------- |
| **ID ATLAS**               | AML.T0031 - Éroder l’intégrité du modèle d’IA                        |
| **Description**            | L’attaquant amène l’agent à envoyer du contenu nuisible ou offensant |
| **Vecteur d’attaque**      | Injection de prompt provoquant des réponses inappropriées            |
| **Composants affectés**    | Génération de sortie, messagerie de canal                            |
| **Atténuations actuelles** | Politiques de contenu du fournisseur de LLM                          |
| **Risque résiduel**        | Moyen - Les filtres du fournisseur sont imparfaits                   |
| **Recommandations**        | Couche de filtrage de sortie, contrôles utilisateur                  |

***

## 4. Analyse de la chaîne d’approvisionnement ClawHub

### 4.1 Contrôles de sécurité actuels

| Contrôle                      | Implémentation                 | Efficacité                                                                           |
| ----------------------------- | ------------------------------ | ------------------------------------------------------------------------------------ |
| Âge du compte GitHub          | `requireGitHubAccountAge()`    | Moyen - Élève le niveau requis pour les nouveaux attaquants                          |
| Nettoyage des chemins         | `sanitizePath()`               | Élevée - Empêche la traversée de chemins                                             |
| Validation du type de fichier | `isTextFile()`                 | Moyenne - Fichiers texte uniquement, mais ils peuvent tout de même être malveillants |
| Limites de taille             | Bundle total de 50 Mo          | Élevée - Empêche l’épuisement des ressources                                         |
| SKILL.md requis               | README obligatoire             | Faible valeur de sécurité - Informatif uniquement                                    |
| Modération par motifs         | FLAG\_RULES dans moderation.ts | Faible - Facilement contournée                                                       |
| État de modération            | Champ `moderationStatus`       | Moyen - Revue manuelle possible                                                      |

### 4.2 Motifs d’indicateurs de modération

Motifs actuels dans `moderation.ts` :

```javascript theme={"theme":{"light":"min-light","dark":"min-dark"}}
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
```

**Limites :**

* Vérifie uniquement le slug, displayName, le résumé, le frontmatter, les métadonnées et les chemins de fichiers
* N’analyse pas le contenu réel du code de la skill
* Regex simple, facilement contournée par obfuscation
* Aucune analyse comportementale

### 4.3 Améliorations prévues

| Amélioration              | État                                     | Impact                                                               |
| ------------------------- | ---------------------------------------- | -------------------------------------------------------------------- |
| Intégration VirusTotal    | En cours                                 | Élevé - Analyse comportementale Code Insight                         |
| Signalement communautaire | Partiel (la table `skillReports` existe) | Moyen                                                                |
| Journalisation d’audit    | Partielle (la table `auditLogs` existe)  | Moyen                                                                |
| Système de badges         | Implémenté                               | Moyen - `highlighted`, `official`, `deprecated`, `redactionApproved` |

***

## 5. Matrice des risques

### 5.1 Probabilité vs impact

| ID de menace  | Probabilité | Impact   | Niveau de risque | Priorité |
| ------------- | ----------- | -------- | ---------------- | -------- |
| T-EXEC-001    | Élevée      | Critique | **Critique**     | P0       |
| T-PERSIST-001 | Élevée      | Critique | **Critique**     | P0       |
| T-EXFIL-003   | Moyenne     | Critique | **Critique**     | P0       |
| T-IMPACT-001  | Moyenne     | Critique | **Élevé**        | P1       |
| T-EXEC-002    | Élevée      | Élevé    | **Élevé**        | P1       |
| T-EXEC-004    | Moyenne     | Élevé    | **Élevé**        | P1       |
| T-ACCESS-003  | Moyenne     | Élevé    | **Élevé**        | P1       |
| T-EXFIL-001   | Moyenne     | Élevé    | **Élevé**        | P1       |
| T-IMPACT-002  | Élevée      | Moyen    | **Élevé**        | P1       |
| T-EVADE-001   | Élevée      | Moyen    | **Moyen**        | P2       |
| T-ACCESS-001  | Faible      | Élevé    | **Moyen**        | P2       |
| T-ACCESS-002  | Faible      | Élevé    | **Moyen**        | P2       |
| T-PERSIST-002 | Faible      | Élevé    | **Moyen**        | P2       |

### 5.2 Chaînes d’attaque du chemin critique

**Chaîne d’attaque 1 : vol de données basé sur une skill**

```
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
```

**Chaîne d’attaque 2 : injection de prompt vers RCE**

```
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
```

**Chaîne d’attaque 3 : injection indirecte via contenu récupéré**

```
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)
```

***

## 6. Résumé des recommandations

### 6.1 Immédiat (P0)

| ID    | Recommandation                                              | Traite                     |
| ----- | ----------------------------------------------------------- | -------------------------- |
| R-001 | Terminer l’intégration VirusTotal                           | T-PERSIST-001, T-EVADE-001 |
| R-002 | Mettre en œuvre l’isolation des Skills                      | T-PERSIST-001, T-EXFIL-003 |
| R-003 | Ajouter une validation de sortie pour les actions sensibles | T-EXEC-001, T-EXEC-002     |

### 6.2 Court terme (P1)

| ID    | Recommandation                                                 | Traite       |
| ----- | -------------------------------------------------------------- | ------------ |
| R-004 | Mettre en œuvre la limitation de débit                         | T-IMPACT-002 |
| R-005 | Ajouter le chiffrement des jetons au repos                     | T-ACCESS-003 |
| R-006 | Améliorer l’UX et la validation de l’approbation exec          | T-EXEC-004   |
| R-007 | Mettre en œuvre une liste d’autorisation d’URL pour web\_fetch | T-EXFIL-001  |

### 6.3 Moyen terme (P2)

| ID    | Recommandation                                                       | Traite        |
| ----- | -------------------------------------------------------------------- | ------------- |
| R-008 | Ajouter une vérification cryptographique des canaux lorsque possible | T-ACCESS-002  |
| R-009 | Mettre en œuvre la vérification de l’intégrité de la configuration   | T-PERSIST-003 |
| R-010 | Ajouter la signature des mises à jour et l’épinglage des versions    | T-PERSIST-002 |

***

## 7. Annexes

### 7.1 Correspondance des techniques ATLAS

| ID ATLAS      | Nom de la technique                        | Menaces OpenClaw                                                 |
| ------------- | ------------------------------------------ | ---------------------------------------------------------------- |
| AML.T0006     | Analyse active                             | T-RECON-001, T-RECON-002                                         |
| AML.T0009     | Collecte                                   | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003                            |
| AML.T0010.001 | Chaîne d’approvisionnement : logiciel d’IA | T-PERSIST-001, T-PERSIST-002                                     |
| AML.T0010.002 | Chaîne d’approvisionnement : données       | T-PERSIST-003                                                    |
| AML.T0031     | Éroder l’intégrité du modèle d’IA          | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003                         |
| AML.T0040     | Accès à l’API d’inférence du modèle d’IA   | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043     | Créer des données adversariales            | T-EXEC-004, T-EVADE-001, T-EVADE-002                             |
| AML.T0051.000 | Injection de prompt LLM : directe          | T-EXEC-001, T-EXEC-003                                           |
| AML.T0051.001 | Injection de prompt LLM : indirecte        | T-EXEC-002                                                       |

### 7.2 Fichiers de sécurité clés

| Chemin                              | Objectif                               | Niveau de risque |
| ----------------------------------- | -------------------------------------- | ---------------- |
| `src/infra/exec-approvals.ts`       | Logique d’approbation des commandes    | **Critique**     |
| `src/gateway/auth.ts`               | Authentification du Gateway            | **Critique**     |
| `src/infra/net/ssrf.ts`             | Protection SSRF                        | **Critique**     |
| `src/security/external-content.ts`  | Atténuation de l’injection de prompt   | **Critique**     |
| `src/agents/sandbox/tool-policy.ts` | Application de la politique des outils | **Critique**     |
| `src/routing/resolve-route.ts`      | Isolation des sessions                 | **Moyen**        |

### 7.3 Glossaire

| Terme                | Définition                                                             |
| -------------------- | ---------------------------------------------------------------------- |
| **ATLAS**            | Paysage des menaces adversariales de MITRE pour les systèmes d’IA      |
| **ClawHub**          | Marketplace de Skills d’OpenClaw                                       |
| **Gateway**          | Couche de routage des messages et d’authentification d’OpenClaw        |
| **MCP**              | Model Context Protocol - interface de fournisseur d’outils             |
| **Prompt Injection** | Attaque où des instructions malveillantes sont intégrées dans l’entrée |
| **Skill**            | Extension téléchargeable pour les agents OpenClaw                      |
| **SSRF**             | Server-Side Request Forgery                                            |

***

*Ce modèle de menace est un document vivant. Signalez les problèmes de sécurité à [security@openclaw.ai](mailto:security@openclaw.ai)*

## Associé

* [Vérification formelle](/fr/security/formal-verification)
* [Contribuer au modèle de menace](/fr/security/CONTRIBUTING-THREAT-MODEL)
