खतरा मॉडल (MITRE ATLAS)

MITRE ATLAS फ्रेमवर्क

संस्करण: 1.0-draft अंतिम अद्यतन: 2026-02-04 कार्यप्रणाली: MITRE ATLAS + डेटा प्रवाह आरेख फ्रेमवर्क: MITRE ATLAS (AI प्रणालियों के लिए प्रतिकूल खतरा परिदृश्य)

फ्रेमवर्क श्रेय

यह खतरा मॉडल MITRE ATLAS पर आधारित है, जो AI/ML प्रणालियों के प्रतिकूल खतरों का दस्तावेजीकरण करने के लिए उद्योग-मानक फ्रेमवर्क है। ATLAS को AI सुरक्षा समुदाय के सहयोग से MITRE द्वारा बनाए रखा जाता है। मुख्य ATLAS संसाधन:

इस खतरा मॉडल में योगदान

यह OpenClaw समुदाय द्वारा बनाए रखा जाने वाला एक जीवंत दस्तावेज है। योगदान संबंधी दिशानिर्देशों के लिए CONTRIBUTING-THREAT-MODEL.md देखें:

नए खतरों की रिपोर्ट करना
मौजूदा खतरों को अद्यतन करना
आक्रमण श्रृंखलाओं का प्रस्ताव करना
शमन सुझाना

1. परिचय

1.1 उद्देश्य

यह खतरा मॉडल OpenClaw AI एजेंट प्लेटफॉर्म और ClawHub Skills बाज़ार के प्रतिकूल खतरों का दस्तावेजीकरण करता है, जिसमें विशेष रूप से AI/ML प्रणालियों के लिए बनाए गए MITRE ATLAS फ्रेमवर्क का उपयोग किया गया है।

1.2 दायरा

घटक	शामिल	टिप्पणियां
OpenClaw एजेंट रनटाइम	हां	मुख्य एजेंट निष्पादन, टूल कॉल, सत्र
Gateway	हां	प्रमाणीकरण, रूटिंग, चैनल एकीकरण
चैनल एकीकरण	हां	WhatsApp, Telegram, Discord, Signal, Slack आदि
ClawHub बाज़ार	हां	Skill प्रकाशन, मॉडरेशन, वितरण
MCP सर्वर	हां	बाहरी टूल प्रदाता
उपयोगकर्ता डिवाइस	आंशिक	मोबाइल ऐप, डेस्कटॉप क्लाइंट

1.3 दायरे से बाहर

इस खतरा मॉडल के लिए कुछ भी स्पष्ट रूप से दायरे से बाहर नहीं है।

2. सिस्टम आर्किटेक्चर

2.1 भरोसे की सीमाएं

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 डेटा प्रवाह

प्रवाह	स्रोत	गंतव्य	डेटा	सुरक्षा
F1	चैनल	Gateway	उपयोगकर्ता संदेश	TLS, AllowFrom
F2	Gateway	एजेंट	रूट किए गए संदेश	सत्र पृथक्करण
F3	एजेंट	टूल	टूल आमंत्रण	नीति प्रवर्तन
F4	एजेंट	बाहरी	web_fetch अनुरोध	SSRF अवरोधन
F5	ClawHub	एजेंट	Skill कोड	मॉडरेशन, स्कैनिंग
F6	एजेंट	चैनल	प्रतिक्रियाएं	आउटपुट फ़िल्टरिंग

3. ATLAS रणनीति के अनुसार खतरा विश्लेषण

3.1 टोह लेना (AML.TA0002)

T-RECON-001: एजेंट एंडपॉइंट खोज

विशेषता	मान
ATLAS ID	AML.T0006 - सक्रिय स्कैनिंग
विवरण	हमलावर उजागर OpenClaw gateway एंडपॉइंट के लिए स्कैन करता है
आक्रमण वेक्टर	नेटवर्क स्कैनिंग, shodan क्वेरी, DNS गणना
प्रभावित घटक	Gateway, उजागर API एंडपॉइंट
मौजूदा शमन	Tailscale प्रमाणीकरण विकल्प, डिफ़ॉल्ट रूप से loopback से bind करना
अवशिष्ट जोखिम	मध्यम - सार्वजनिक gateways खोजे जा सकते हैं
अनुशंसाएं	सुरक्षित परिनियोजन का दस्तावेजीकरण करें, खोज एंडपॉइंट पर दर सीमा जोड़ें

T-RECON-002: चैनल एकीकरण जांच

विशेषता	मान
ATLAS ID	AML.T0006 - Active Scanning
विवरण	हमलावर AI-प्रबंधित खातों की पहचान करने के लिए मैसेजिंग चैनलों की जांच करता है
आक्रमण वेक्टर	परीक्षण संदेश भेजना, प्रतिक्रिया पैटर्न देखना
प्रभावित घटक	सभी चैनल एकीकरण
वर्तमान न्यूनीकरण	कोई विशिष्ट नहीं
अवशिष्ट जोखिम	कम - केवल खोज से सीमित मूल्य
अनुशंसाएं	प्रतिक्रिया समय में रैंडमाइजेशन पर विचार करें

3.2 प्रारंभिक पहुंच (AML.TA0004)

T-ACCESS-001: पेयरिंग कोड इंटरसेप्शन

विशेषता	मान
ATLAS ID	AML.T0040 - AI Model Inference API Access
विवरण	हमलावर पेयरिंग ग्रेस अवधि के दौरान पेयरिंग कोड इंटरसेप्ट करता है (DM चैनल पेयरिंग के लिए 1h, node पेयरिंग के लिए 5m)
आक्रमण वेक्टर	कंधे के ऊपर से देखना, नेटवर्क स्निफिंग, सोशल इंजीनियरिंग
प्रभावित घटक	डिवाइस पेयरिंग सिस्टम
वर्तमान न्यूनीकरण	1h समाप्ति (DM पेयरिंग) / 5m समाप्ति (node पेयरिंग), मौजूदा चैनल के माध्यम से भेजे गए कोड
अवशिष्ट जोखिम	मध्यम - ग्रेस अवधि का दुरुपयोग किया जा सकता है
अनुशंसाएं	ग्रेस अवधि कम करें, पुष्टि चरण जोड़ें

T-ACCESS-002: AllowFrom स्पूफिंग

विशेषता	मान
ATLAS ID	AML.T0040 - AI Model Inference API Access
विवरण	हमलावर चैनल में अनुमत प्रेषक पहचान की स्पूफिंग करता है
आक्रमण वेक्टर	चैनल पर निर्भर - फोन नंबर स्पूफिंग, उपयोगकर्ता नाम प्रतिरूपण
प्रभावित घटक	प्रति चैनल AllowFrom सत्यापन
वर्तमान न्यूनीकरण	चैनल-विशिष्ट पहचान सत्यापन
अवशिष्ट जोखिम	मध्यम - कुछ चैनल स्पूफिंग के प्रति संवेदनशील हैं
अनुशंसाएं	चैनल-विशिष्ट जोखिमों का दस्तावेजीकरण करें, जहां संभव हो क्रिप्टोग्राफिक सत्यापन जोड़ें

T-ACCESS-003: टोकन चोरी

विशेषता	मान
ATLAS ID	AML.T0040 - AI Model Inference API Access
विवरण	हमलावर कॉन्फ़िग फाइलों से प्रमाणीकरण टोकन चुराता है
आक्रमण वेक्टर	मैलवेयर, अनधिकृत डिवाइस पहुंच, कॉन्फ़िग बैकअप उजागर होना
प्रभावित घटक	~/.openclaw/credentials/, कॉन्फ़िग स्टोरेज
वर्तमान न्यूनीकरण	फाइल अनुमतियां
अवशिष्ट जोखिम	उच्च - टोकन प्लेनटेक्स्ट में संग्रहीत हैं
अनुशंसाएं	स्थिर अवस्था में टोकन एन्क्रिप्शन लागू करें, टोकन रोटेशन जोड़ें

3.3 निष्पादन (AML.TA0005)

T-EXEC-001: प्रत्यक्ष Prompt Injection

विशेषता	मान
ATLAS ID	AML.T0051.000 - LLM Prompt Injection: Direct
विवरण	हमलावर agent व्यवहार में हेरफेर करने के लिए विशेष रूप से तैयार prompts भेजता है
आक्रमण वेक्टर	प्रतिकूल निर्देशों वाले चैनल संदेश
प्रभावित घटक	Agent LLM, सभी इनपुट सतहें
वर्तमान न्यूनीकरण	पैटर्न पहचान, बाहरी सामग्री रैपिंग
अवशिष्ट जोखिम	गंभीर - केवल पहचान, कोई ब्लॉकिंग नहीं; परिष्कृत आक्रमण बायपास कर जाते हैं
अनुशंसाएं	बहु-स्तरीय रक्षा, आउटपुट सत्यापन, संवेदनशील कार्रवाइयों के लिए उपयोगकर्ता पुष्टि लागू करें

T-EXEC-002: अप्रत्यक्ष Prompt Injection

विशेषता	मान
ATLAS ID	AML.T0051.001 - LLM Prompt Injection: Indirect
विवरण	हमलावर प्राप्त की गई सामग्री में दुर्भावनापूर्ण निर्देश एम्बेड करता है
आक्रमण वेक्टर	दुर्भावनापूर्ण URL, विषाक्त ईमेल, समझौता किए गए Webhook
प्रभावित घटक	web_fetch, ईमेल इनजेशन, बाहरी डेटा स्रोत
वर्तमान न्यूनीकरण	XML टैग और सुरक्षा सूचना के साथ सामग्री रैपिंग
अवशिष्ट जोखिम	उच्च - LLM रैपर निर्देशों को अनदेखा कर सकता है
अनुशंसाएं	सामग्री सैनिटाइजेशन लागू करें, अलग निष्पादन संदर्भ

T-EXEC-003: टूल आर्ग्युमेंट Injection

विशेषता	मान
ATLAS ID	AML.T0051.000 - LLM Prompt Injection: Direct
विवरण	हमलावर Prompt Injection के माध्यम से टूल आर्ग्युमेंट्स में हेरफेर करता है
आक्रमण वेक्टर	टूल पैरामीटर मानों को प्रभावित करने वाले विशेष रूप से तैयार prompts
प्रभावित घटक	सभी टूल आवाहन
वर्तमान न्यूनीकरण	खतरनाक कमांड के लिए Exec अनुमोदन
अवशिष्ट जोखिम	उच्च - उपयोगकर्ता के निर्णय पर निर्भर
अनुशंसाएं	आर्ग्युमेंट सत्यापन लागू करें, पैरामीटरयुक्त टूल कॉल

T-EXEC-004: Exec अनुमोदन बायपास

विशेषता	मान
ATLAS ID	AML.T0043 - Craft Adversarial Data
विवरण	हमलावर ऐसी कमांड तैयार करता है जो अनुमोदन allowlist को बायपास करती हैं
आक्रमण वेक्टर	कमांड अस्पष्टीकरण, alias दुरुपयोग, पाथ हेरफेर
प्रभावित घटक	exec-approvals.ts, कमांड allowlist
वर्तमान न्यूनीकरण	Allowlist + ask मोड
अवशिष्ट जोखिम	उच्च - कोई कमांड सैनिटाइजेशन नहीं
अनुशंसाएं	कमांड सामान्यीकरण लागू करें, blocklist का विस्तार करें

3.4 स्थायित्व (AML.TA0006)

T-PERSIST-001: दुर्भावनापूर्ण Skill इंस्टॉलेशन

विशेषता	मान
ATLAS ID	AML.T0010.001 - Supply Chain Compromise: AI Software
विवरण	हमलावर ClawHub पर दुर्भावनापूर्ण skill प्रकाशित करता है
आक्रमण वेक्टर	खाता बनाना, छिपे हुए दुर्भावनापूर्ण कोड के साथ skill प्रकाशित करना
प्रभावित घटक	ClawHub, skill लोडिंग, agent निष्पादन
वर्तमान न्यूनीकरण	GitHub खाता आयु सत्यापन, पैटर्न-आधारित मॉडरेशन फ्लैग
अवशिष्ट जोखिम	गंभीर - कोई सैंडबॉक्सिंग नहीं, सीमित समीक्षा
अनुशंसाएं	VirusTotal एकीकरण (प्रगति में), skill सैंडबॉक्सिंग, सामुदायिक समीक्षा

T-PERSIST-002: Skill अपडेट पॉइज़निंग

विशेषता	मान
ATLAS ID	AML.T0010.001 - Supply Chain Compromise: AI Software
विवरण	हमलावर लोकप्रिय skill से समझौता करता है और दुर्भावनापूर्ण अपडेट भेजता है
आक्रमण वेक्टर	खाता समझौता, skill स्वामी की सोशल इंजीनियरिंग
प्रभावित घटक	ClawHub वर्जनिंग, ऑटो-अपडेट फ्लो
वर्तमान न्यूनीकरण	संस्करण फिंगरप्रिंटिंग
अवशिष्ट जोखिम	उच्च - ऑटो-अपडेट दुर्भावनापूर्ण संस्करण खींच सकते हैं
अनुशंसाएं	अपडेट साइनिंग, रोलबैक क्षमता, संस्करण पिनिंग लागू करें

T-PERSIST-003: Agent कॉन्फ़िगरेशन से छेड़छाड़

विशेषता	मान
ATLAS ID	AML.T0010.002 - Supply Chain Compromise: Data
विवरण	हमलावर पहुंच बनाए रखने के लिए agent कॉन्फ़िगरेशन संशोधित करता है
आक्रमण वेक्टर	कॉन्फ़िग फाइल संशोधन, सेटिंग्स Injection
प्रभावित घटक	Agent कॉन्फ़िग, टूल नीतियां
वर्तमान न्यूनीकरण	फाइल अनुमतियां
अवशिष्ट जोखिम	मध्यम - स्थानीय पहुंच आवश्यक
अनुशंसाएं	कॉन्फ़िग अखंडता सत्यापन, कॉन्फ़िग बदलावों के लिए ऑडिट लॉगिंग

3.5 रक्षा चकमा (AML.TA0007)

T-EVADE-001: मॉडरेशन पैटर्न बायपास

विशेषता	मान
ATLAS ID	AML.T0043 - Craft Adversarial Data
विवरण	हमलावर मॉडरेशन पैटर्न से बचने के लिए skill सामग्री तैयार करता है
आक्रमण वेक्टर	Unicode homoglyphs, एन्कोडिंग तरकीबें, डायनेमिक लोडिंग
प्रभावित घटक	ClawHub moderation.ts
वर्तमान न्यूनीकरण	पैटर्न-आधारित FLAG_RULES
अवशिष्ट जोखिम	उच्च - सरल regex को आसानी से बायपास किया जा सकता है
अनुशंसाएं	व्यवहारिक विश्लेषण जोड़ें (VirusTotal Code Insight), AST-आधारित पहचान

T-EVADE-002: सामग्री रैपर एस्केप

विशेषता	मान
ATLAS ID	AML.T0043 - प्रतिकूल डेटा तैयार करना
विवरण	हमलावर ऐसी सामग्री तैयार करता है जो XML रैपर संदर्भ से बच निकलती है
हमला वेक्टर	टैग में हेरफेर, संदर्भ भ्रम, निर्देश ओवरराइड
प्रभावित घटक	बाहरी सामग्री रैपिंग
वर्तमान शमन	XML टैग + सुरक्षा सूचना
अवशिष्ट जोखिम	मध्यम - नए बच निकलने के तरीके नियमित रूप से खोजे जाते हैं
अनुशंसाएँ	कई रैपर परतें, आउटपुट-साइड सत्यापन

3.6 खोज (AML.TA0008)

T-DISC-001: टूल गणना

विशेषता	मान
ATLAS ID	AML.T0040 - AI मॉडल अनुमान API पहुंच
विवरण	हमलावर प्रॉम्प्टिंग के माध्यम से उपलब्ध टूल गिनता है
हमला वेक्टर	”आपके पास कौन से टूल हैं?” शैली की क्वेरी
प्रभावित घटक	एजेंट टूल रजिस्ट्री
वर्तमान शमन	कोई विशिष्ट नहीं
अवशिष्ट जोखिम	कम - टूल आम तौर पर प्रलेखित होते हैं
अनुशंसाएँ	टूल दृश्यता नियंत्रणों पर विचार करें

T-DISC-002: सत्र डेटा निष्कर्षण

विशेषता	मान
ATLAS ID	AML.T0040 - AI मॉडल अनुमान API पहुंच
विवरण	हमलावर सत्र संदर्भ से संवेदनशील डेटा निकालता है
हमला वेक्टर	”हमने क्या चर्चा की?” क्वेरी, संदर्भ जांच
प्रभावित घटक	सत्र प्रतिलिपियाँ, संदर्भ विंडो
वर्तमान शमन	प्रति प्रेषक सत्र पृथक्करण
अवशिष्ट जोखिम	मध्यम - सत्र के भीतर का डेटा सुलभ है
अनुशंसाएँ	संदर्भ में संवेदनशील डेटा संपादन लागू करें

3.7 संग्रह और बहिर्गमन (AML.TA0009, AML.TA0010)

T-EXFIL-001: web_fetch के माध्यम से डेटा चोरी

विशेषता	मान
ATLAS ID	AML.T0009 - संग्रह
विवरण	हमलावर एजेंट को बाहरी URL पर भेजने का निर्देश देकर डेटा बाहर निकालता है
हमला वेक्टर	प्रॉम्प्ट इंजेक्शन जिससे एजेंट हमलावर सर्वर पर डेटा POST करता है
प्रभावित घटक	web_fetch टूल
वर्तमान शमन	आंतरिक नेटवर्क के लिए SSRF अवरोध
अवशिष्ट जोखिम	उच्च - बाहरी URL अनुमत हैं
अनुशंसाएँ	URL allowlisting, डेटा वर्गीकरण जागरूकता लागू करें

T-EXFIL-002: अनधिकृत संदेश भेजना

विशेषता	मान
ATLAS ID	AML.T0009 - संग्रह
विवरण	हमलावर एजेंट से संवेदनशील डेटा वाले संदेश भिजवाता है
हमला वेक्टर	प्रॉम्प्ट इंजेक्शन जिससे एजेंट हमलावर को संदेश भेजता है
प्रभावित घटक	संदेश टूल, चैनल एकीकरण
वर्तमान शमन	आउटबाउंड मैसेजिंग गेटिंग
अवशिष्ट जोखिम	मध्यम - गेटिंग को बायपास किया जा सकता है
अनुशंसाएँ	नए प्राप्तकर्ताओं के लिए स्पष्ट पुष्टि आवश्यक करें

T-EXFIL-003: क्रेडेंशियल हार्वेस्टिंग

विशेषता	मान
ATLAS ID	AML.T0009 - संग्रह
विवरण	दुर्भावनापूर्ण skill एजेंट संदर्भ से क्रेडेंशियल निकालता है
हमला वेक्टर	Skill कोड पर्यावरण चर, कॉन्फिग फाइलें पढ़ता है
प्रभावित घटक	Skill निष्पादन परिवेश
वर्तमान शमन	Skills के लिए कोई विशिष्ट नहीं
अवशिष्ट जोखिम	अत्यंत गंभीर - Skills एजेंट विशेषाधिकारों के साथ चलते हैं
अनुशंसाएँ	Skill sandboxing, क्रेडेंशियल पृथक्करण

3.8 प्रभाव (AML.TA0011)

T-IMPACT-001: अनधिकृत कमांड निष्पादन

विशेषता	मान
ATLAS ID	AML.T0031 - AI मॉडल अखंडता को क्षीण करना
विवरण	हमलावर उपयोगकर्ता सिस्टम पर मनमाने कमांड चलाता है
हमला वेक्टर	exec अनुमोदन बायपास के साथ संयुक्त प्रॉम्प्ट इंजेक्शन
प्रभावित घटक	Bash टूल, कमांड निष्पादन
वर्तमान शमन	Exec अनुमोदन, Docker सैंडबॉक्स विकल्प
अवशिष्ट जोखिम	अत्यंत गंभीर - सैंडबॉक्स के बिना होस्ट निष्पादन
अनुशंसाएँ	सैंडबॉक्स को डिफॉल्ट बनाएं, अनुमोदन UX सुधारें

T-IMPACT-002: संसाधन समाप्ति (DoS)

विशेषता	मान
ATLAS ID	AML.T0031 - AI मॉडल अखंडता को क्षीण करना
विवरण	हमलावर API क्रेडिट या कंप्यूट संसाधन समाप्त करता है
हमला वेक्टर	स्वचालित संदेश बाढ़, महंगे टूल कॉल
प्रभावित घटक	Gateway, एजेंट सत्र, API प्रदाता
वर्तमान शमन	कोई नहीं
अवशिष्ट जोखिम	उच्च - कोई दर सीमा नहीं
अनुशंसाएँ	प्रति-प्रेषक दर सीमाएँ, लागत बजट लागू करें

T-IMPACT-003: प्रतिष्ठा क्षति

विशेषता	मान
ATLAS ID	AML.T0031 - AI मॉडल अखंडता को क्षीण करना
विवरण	हमलावर एजेंट से हानिकारक/आपत्तिजनक सामग्री भेजवाता है
हमला वेक्टर	प्रॉम्प्ट इंजेक्शन जिससे अनुपयुक्त प्रतिक्रियाएँ होती हैं
प्रभावित घटक	आउटपुट जनरेशन, चैनल मैसेजिंग
वर्तमान शमन	LLM प्रदाता सामग्री नीतियाँ
अवशिष्ट जोखिम	मध्यम - प्रदाता फिल्टर अपूर्ण हैं
अनुशंसाएँ	आउटपुट फिल्टरिंग परत, उपयोगकर्ता नियंत्रण

4. ClawHub आपूर्ति श्रृंखला विश्लेषण

4.1 वर्तमान सुरक्षा नियंत्रण

नियंत्रण	कार्यान्वयन	प्रभावशीलता
GitHub खाता आयु	`requireGitHubAccountAge()`	मध्यम - नए हमलावरों के लिए बाधा बढ़ाता है
पथ स्वच्छीकरण	`sanitizePath()`	उच्च - पथ ट्रैवर्सल रोकता है
फाइल प्रकार सत्यापन	`isTextFile()`	मध्यम - केवल टेक्स्ट फाइलें, लेकिन फिर भी दुर्भावनापूर्ण हो सकती हैं
आकार सीमाएँ	कुल 50MB बंडल	उच्च - संसाधन समाप्ति रोकता है
आवश्यक SKILL.md	अनिवार्य readme	कम सुरक्षा मूल्य - केवल सूचनात्मक
पैटर्न मॉडरेशन	moderation.ts में FLAG_RULES	कम - आसानी से बायपास किया जा सकता है
मॉडरेशन स्थिति	`moderationStatus` फील्ड	मध्यम - मैनुअल समीक्षा संभव

4.2 मॉडरेशन फ्लैग पैटर्न

moderation.ts में वर्तमान पैटर्न:

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

सीमाएँ:

केवल slug, displayName, summary, frontmatter, metadata, फाइल पथों की जांच करता है
वास्तविक skill कोड सामग्री का विश्लेषण नहीं करता
सरल regex को अस्पष्टता से आसानी से बायपास किया जा सकता है
कोई व्यवहारिक विश्लेषण नहीं

4.3 नियोजित सुधार

सुधार	स्थिति	प्रभाव
VirusTotal एकीकरण	प्रगति में	उच्च - Code Insight व्यवहारिक विश्लेषण
समुदाय रिपोर्टिंग	आंशिक (`skillReports` टेबल मौजूद है)	मध्यम
ऑडिट लॉगिंग	आंशिक (`auditLogs` टेबल मौजूद है)	मध्यम
बैज सिस्टम	लागू	मध्यम - `highlighted`, `official`, `deprecated`, `redactionApproved`

5. जोखिम मैट्रिक्स

5.1 संभावना बनाम प्रभाव

खतरा ID	संभावना	प्रभाव	जोखिम स्तर	प्राथमिकता
T-EXEC-001	उच्च	अत्यंत गंभीर	अत्यंत गंभीर	P0
T-PERSIST-001	उच्च	अत्यंत गंभीर	अत्यंत गंभीर	P0
T-EXFIL-003	मध्यम	अत्यंत गंभीर	अत्यंत गंभीर	P0
T-IMPACT-001	मध्यम	अत्यंत गंभीर	उच्च	P1
T-EXEC-002	उच्च	उच्च	उच्च	P1
T-EXEC-004	मध्यम	उच्च	उच्च	P1
T-ACCESS-003	मध्यम	उच्च	उच्च	P1
T-EXFIL-001	मध्यम	उच्च	उच्च	P1
T-IMPACT-002	उच्च	मध्यम	उच्च	P1
T-EVADE-001	उच्च	मध्यम	मध्यम	P2
T-ACCESS-001	कम	उच्च	मध्यम	P2
T-ACCESS-002	कम	उच्च	मध्यम	P2
T-PERSIST-002	कम	उच्च	मध्यम	P2

5.2 महत्वपूर्ण पथ हमला श्रृंखलाएँ

हमला श्रृंखला 1: Skill-आधारित डेटा चोरी

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

हमला श्रृंखला 2: प्रॉम्प्ट इंजेक्शन से RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

हमला श्रृंखला 3: प्राप्त सामग्री के माध्यम से अप्रत्यक्ष इंजेक्शन

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. अनुशंसाओं का सारांश

6.1 तत्काल (P0)

ID	अनुशंसा	संबोधित करता है
R-001	VirusTotal इंटीग्रेशन पूरा करें	T-PERSIST-001, T-EVADE-001
R-002	Skill सैंडबॉक्सिंग लागू करें	T-PERSIST-001, T-EXFIL-003
R-003	संवेदनशील क्रियाओं के लिए आउटपुट सत्यापन जोड़ें	T-EXEC-001, T-EXEC-002

6.2 अल्पकालिक (P1)

ID	अनुशंसा	संबोधित करता है
R-004	दर सीमित करना लागू करें	T-IMPACT-002
R-005	विश्राम अवस्था में टोकन एन्क्रिप्शन जोड़ें	T-ACCESS-003
R-006	exec अनुमोदन UX और सत्यापन सुधारें	T-EXEC-004
R-007	web_fetch के लिए URL अनुमतिसूची लागू करें	T-EXFIL-001

6.3 मध्यमकालिक (P2)

ID	अनुशंसा	संबोधित करता है
R-008	जहां संभव हो क्रिप्टोग्राफिक चैनल सत्यापन जोड़ें	T-ACCESS-002
R-009	कॉन्फ़िगरेशन अखंडता सत्यापन लागू करें	T-PERSIST-003
R-010	अपडेट साइनिंग और संस्करण पिनिंग जोड़ें	T-PERSIST-002

7. परिशिष्ट

7.1 ATLAS तकनीक मैपिंग

ATLAS ID	तकनीक का नाम	OpenClaw खतरे
AML.T0006	सक्रिय स्कैनिंग	T-RECON-001, T-RECON-002
AML.T0009	संग्रह	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	सप्लाई चेन: AI सॉफ़्टवेयर	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	सप्लाई चेन: डेटा	T-PERSIST-003
AML.T0031	AI मॉडल अखंडता को क्षीण करना	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	AI मॉडल इन्फ़रेंस API एक्सेस	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	प्रतिकूल डेटा तैयार करना	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	LLM प्रॉम्प्ट इंजेक्शन: प्रत्यक्ष	T-EXEC-001, T-EXEC-003
AML.T0051.001	LLM प्रॉम्प्ट इंजेक्शन: अप्रत्यक्ष	T-EXEC-002

7.2 मुख्य सुरक्षा फ़ाइलें

पथ	उद्देश्य	जोखिम स्तर
`src/infra/exec-approvals.ts`	कमांड अनुमोदन लॉजिक	गंभीर
`src/gateway/auth.ts`	Gateway प्रमाणीकरण	गंभीर
`src/infra/net/ssrf.ts`	SSRF सुरक्षा	गंभीर
`src/security/external-content.ts`	प्रॉम्प्ट इंजेक्शन न्यूनीकरण	गंभीर
`src/agents/sandbox/tool-policy.ts`	टूल नीति प्रवर्तन	गंभीर
`src/routing/resolve-route.ts`	सत्र आइसोलेशन	मध्यम

7.3 शब्दावली

शब्द	परिभाषा
ATLAS	AI सिस्टम के लिए MITRE का प्रतिकूल खतरा परिदृश्य
ClawHub	OpenClaw का skill मार्केटप्लेस
Gateway	OpenClaw की संदेश रूटिंग और प्रमाणीकरण लेयर
MCP	Model Context Protocol - टूल प्रदाता इंटरफ़ेस
Prompt Injection	हमला जिसमें दुर्भावनापूर्ण निर्देश इनपुट में एम्बेड किए जाते हैं
Skill	OpenClaw एजेंटों के लिए डाउनलोड करने योग्य एक्सटेंशन
SSRF	Server-Side Request Forgery

यह थ्रेट मॉडल एक जीवित दस्तावेज़ है। सुरक्षा समस्याओं की रिपोर्ट security@openclaw.ai पर करें

​MITRE ATLAS फ्रेमवर्क

​फ्रेमवर्क श्रेय

​इस खतरा मॉडल में योगदान

​1. परिचय

​1.1 उद्देश्य

​1.2 दायरा

​1.3 दायरे से बाहर

​2. सिस्टम आर्किटेक्चर

​2.1 भरोसे की सीमाएं

​2.2 डेटा प्रवाह

​3. ATLAS रणनीति के अनुसार खतरा विश्लेषण

​3.1 टोह लेना (AML.TA0002)

​T-RECON-001: एजेंट एंडपॉइंट खोज

​T-RECON-002: चैनल एकीकरण जांच

​3.2 प्रारंभिक पहुंच (AML.TA0004)

​T-ACCESS-001: पेयरिंग कोड इंटरसेप्शन

​T-ACCESS-002: AllowFrom स्पूफिंग

​T-ACCESS-003: टोकन चोरी

​3.3 निष्पादन (AML.TA0005)

​T-EXEC-001: प्रत्यक्ष Prompt Injection

​T-EXEC-002: अप्रत्यक्ष Prompt Injection

​T-EXEC-003: टूल आर्ग्युमेंट Injection

​T-EXEC-004: Exec अनुमोदन बायपास

​3.4 स्थायित्व (AML.TA0006)

​T-PERSIST-001: दुर्भावनापूर्ण Skill इंस्टॉलेशन

​T-PERSIST-002: Skill अपडेट पॉइज़निंग

​T-PERSIST-003: Agent कॉन्फ़िगरेशन से छेड़छाड़

​3.5 रक्षा चकमा (AML.TA0007)

​T-EVADE-001: मॉडरेशन पैटर्न बायपास

​T-EVADE-002: सामग्री रैपर एस्केप

​3.6 खोज (AML.TA0008)

​T-DISC-001: टूल गणना

​T-DISC-002: सत्र डेटा निष्कर्षण

​3.7 संग्रह और बहिर्गमन (AML.TA0009, AML.TA0010)

​T-EXFIL-001: web_fetch के माध्यम से डेटा चोरी

​T-EXFIL-002: अनधिकृत संदेश भेजना

​T-EXFIL-003: क्रेडेंशियल हार्वेस्टिंग

​3.8 प्रभाव (AML.TA0011)

​T-IMPACT-001: अनधिकृत कमांड निष्पादन

​T-IMPACT-002: संसाधन समाप्ति (DoS)

​T-IMPACT-003: प्रतिष्ठा क्षति

​4. ClawHub आपूर्ति श्रृंखला विश्लेषण

​4.1 वर्तमान सुरक्षा नियंत्रण

​4.2 मॉडरेशन फ्लैग पैटर्न

​4.3 नियोजित सुधार

​5. जोखिम मैट्रिक्स

​5.1 संभावना बनाम प्रभाव

​5.2 महत्वपूर्ण पथ हमला श्रृंखलाएँ

​6. अनुशंसाओं का सारांश

​6.1 तत्काल (P0)

​6.2 अल्पकालिक (P1)

​6.3 मध्यमकालिक (P2)

​7. परिशिष्ट

​7.1 ATLAS तकनीक मैपिंग

​7.2 मुख्य सुरक्षा फ़ाइलें

​7.3 शब्दावली

​संबंधित