> ## Documentation Index > Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt > Use this file to discover all available pages before exploring further. # खतरा मॉडल (MITRE ATLAS) ## MITRE ATLAS फ्रेमवर्क **संस्करण:** 1.0-draft **अंतिम अद्यतन:** 2026-02-04 **कार्यप्रणाली:** MITRE ATLAS + डेटा प्रवाह आरेख **फ्रेमवर्क:** [MITRE ATLAS](https://atlas.mitre.org/) (AI प्रणालियों के लिए प्रतिकूल खतरा परिदृश्य) ### फ्रेमवर्क श्रेय यह खतरा मॉडल [MITRE ATLAS](https://atlas.mitre.org/) पर आधारित है, जो AI/ML प्रणालियों के प्रतिकूल खतरों का दस्तावेजीकरण करने के लिए उद्योग-मानक फ्रेमवर्क है। ATLAS को AI सुरक्षा समुदाय के सहयोग से [MITRE](https://www.mitre.org/) द्वारा बनाए रखा जाता है। **मुख्य ATLAS संसाधन:** * [ATLAS तकनीकें](https://atlas.mitre.org/techniques/) * [ATLAS रणनीतियां](https://atlas.mitre.org/tactics/) * [ATLAS केस अध्ययन](https://atlas.mitre.org/studies/) * [ATLAS GitHub](https://github.com/mitre-atlas/atlas-data) * [ATLAS में योगदान](https://atlas.mitre.org/resources/contribute) ### इस खतरा मॉडल में योगदान यह OpenClaw समुदाय द्वारा बनाए रखा जाने वाला एक जीवंत दस्तावेज है। योगदान संबंधी दिशानिर्देशों के लिए [CONTRIBUTING-THREAT-MODEL.md](/hi/security/CONTRIBUTING-THREAT-MODEL) देखें: * नए खतरों की रिपोर्ट करना * मौजूदा खतरों को अद्यतन करना * आक्रमण श्रृंखलाओं का प्रस्ताव करना * शमन सुझाना *** ## 1. परिचय ### 1.1 उद्देश्य यह खतरा मॉडल OpenClaw AI एजेंट प्लेटफॉर्म और ClawHub Skills बाज़ार के प्रतिकूल खतरों का दस्तावेजीकरण करता है, जिसमें विशेष रूप से AI/ML प्रणालियों के लिए बनाए गए MITRE ATLAS फ्रेमवर्क का उपयोग किया गया है। ### 1.2 दायरा | घटक | शामिल | टिप्पणियां | | --------------------- | ----- | ---------------------------------------------- | | OpenClaw एजेंट रनटाइम | हां | मुख्य एजेंट निष्पादन, टूल कॉल, सत्र | | Gateway | हां | प्रमाणीकरण, रूटिंग, चैनल एकीकरण | | चैनल एकीकरण | हां | WhatsApp, Telegram, Discord, Signal, Slack आदि | | ClawHub बाज़ार | हां | Skill प्रकाशन, मॉडरेशन, वितरण | | MCP सर्वर | हां | बाहरी टूल प्रदाता | | उपयोगकर्ता डिवाइस | आंशिक | मोबाइल ऐप, डेस्कटॉप क्लाइंट | ### 1.3 दायरे से बाहर इस खतरा मॉडल के लिए कुछ भी स्पष्ट रूप से दायरे से बाहर नहीं है। *** ## 2. सिस्टम आर्किटेक्चर ### 2.1 भरोसे की सीमाएं ``` ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ ``` ### 2.2 डेटा प्रवाह | प्रवाह | स्रोत | गंतव्य | डेटा | सुरक्षा | | ------ | ------- | ------- | ----------------- | ----------------- | | F1 | चैनल | Gateway | उपयोगकर्ता संदेश | TLS, AllowFrom | | F2 | Gateway | एजेंट | रूट किए गए संदेश | सत्र पृथक्करण | | F3 | एजेंट | टूल | टूल आमंत्रण | नीति प्रवर्तन | | F4 | एजेंट | बाहरी | web\_fetch अनुरोध | SSRF अवरोधन | | F5 | ClawHub | एजेंट | Skill कोड | मॉडरेशन, स्कैनिंग | | F6 | एजेंट | चैनल | प्रतिक्रियाएं | आउटपुट फ़िल्टरिंग | *** ## 3. ATLAS रणनीति के अनुसार खतरा विश्लेषण ### 3.1 टोह लेना (AML.TA0002) #### T-RECON-001: एजेंट एंडपॉइंट खोज | विशेषता | मान | | ----------------- | ----------------------------------------------------------------------- | | **ATLAS ID** | AML.T0006 - सक्रिय स्कैनिंग | | **विवरण** | हमलावर उजागर OpenClaw gateway एंडपॉइंट के लिए स्कैन करता है | | **आक्रमण वेक्टर** | नेटवर्क स्कैनिंग, shodan क्वेरी, DNS गणना | | **प्रभावित घटक** | Gateway, उजागर API एंडपॉइंट | | **मौजूदा शमन** | Tailscale प्रमाणीकरण विकल्प, डिफ़ॉल्ट रूप से loopback से bind करना | | **अवशिष्ट जोखिम** | मध्यम - सार्वजनिक gateways खोजे जा सकते हैं | | **अनुशंसाएं** | सुरक्षित परिनियोजन का दस्तावेजीकरण करें, खोज एंडपॉइंट पर दर सीमा जोड़ें | #### T-RECON-002: चैनल एकीकरण जांच | विशेषता | मान | | --------------------- | ----------------------------------------------------------------------------- | | **ATLAS ID** | AML.T0006 - Active Scanning | | **विवरण** | हमलावर AI-प्रबंधित खातों की पहचान करने के लिए मैसेजिंग चैनलों की जांच करता है | | **आक्रमण वेक्टर** | परीक्षण संदेश भेजना, प्रतिक्रिया पैटर्न देखना | | **प्रभावित घटक** | सभी चैनल एकीकरण | | **वर्तमान न्यूनीकरण** | कोई विशिष्ट नहीं | | **अवशिष्ट जोखिम** | कम - केवल खोज से सीमित मूल्य | | **अनुशंसाएं** | प्रतिक्रिया समय में रैंडमाइजेशन पर विचार करें | *** ### 3.2 प्रारंभिक पहुंच (AML.TA0004) #### T-ACCESS-001: पेयरिंग कोड इंटरसेप्शन | विशेषता | मान | | --------------------- | -------------------------------------------------------------------------------------------------------------------- | | **ATLAS ID** | AML.T0040 - AI Model Inference API Access | | **विवरण** | हमलावर पेयरिंग ग्रेस अवधि के दौरान पेयरिंग कोड इंटरसेप्ट करता है (DM चैनल पेयरिंग के लिए 1h, node पेयरिंग के लिए 5m) | | **आक्रमण वेक्टर** | कंधे के ऊपर से देखना, नेटवर्क स्निफिंग, सोशल इंजीनियरिंग | | **प्रभावित घटक** | डिवाइस पेयरिंग सिस्टम | | **वर्तमान न्यूनीकरण** | 1h समाप्ति (DM पेयरिंग) / 5m समाप्ति (node पेयरिंग), मौजूदा चैनल के माध्यम से भेजे गए कोड | | **अवशिष्ट जोखिम** | मध्यम - ग्रेस अवधि का दुरुपयोग किया जा सकता है | | **अनुशंसाएं** | ग्रेस अवधि कम करें, पुष्टि चरण जोड़ें | #### T-ACCESS-002: AllowFrom स्पूफिंग | विशेषता | मान | | --------------------- | -------------------------------------------------------------------------------------- | | **ATLAS ID** | AML.T0040 - AI Model Inference API Access | | **विवरण** | हमलावर चैनल में अनुमत प्रेषक पहचान की स्पूफिंग करता है | | **आक्रमण वेक्टर** | चैनल पर निर्भर - फोन नंबर स्पूफिंग, उपयोगकर्ता नाम प्रतिरूपण | | **प्रभावित घटक** | प्रति चैनल AllowFrom सत्यापन | | **वर्तमान न्यूनीकरण** | चैनल-विशिष्ट पहचान सत्यापन | | **अवशिष्ट जोखिम** | मध्यम - कुछ चैनल स्पूफिंग के प्रति संवेदनशील हैं | | **अनुशंसाएं** | चैनल-विशिष्ट जोखिमों का दस्तावेजीकरण करें, जहां संभव हो क्रिप्टोग्राफिक सत्यापन जोड़ें | #### T-ACCESS-003: टोकन चोरी | विशेषता | मान | | --------------------- | --------------------------------------------------------------- | | **ATLAS ID** | AML.T0040 - AI Model Inference API Access | | **विवरण** | हमलावर कॉन्फ़िग फाइलों से प्रमाणीकरण टोकन चुराता है | | **आक्रमण वेक्टर** | मैलवेयर, अनधिकृत डिवाइस पहुंच, कॉन्फ़िग बैकअप उजागर होना | | **प्रभावित घटक** | \~/.openclaw/credentials/, कॉन्फ़िग स्टोरेज | | **वर्तमान न्यूनीकरण** | फाइल अनुमतियां | | **अवशिष्ट जोखिम** | उच्च - टोकन प्लेनटेक्स्ट में संग्रहीत हैं | | **अनुशंसाएं** | स्थिर अवस्था में टोकन एन्क्रिप्शन लागू करें, टोकन रोटेशन जोड़ें | *** ### 3.3 निष्पादन (AML.TA0005) #### T-EXEC-001: प्रत्यक्ष Prompt Injection | विशेषता | मान | | --------------------- | ------------------------------------------------------------------------------------------ | | **ATLAS ID** | AML.T0051.000 - LLM Prompt Injection: Direct | | **विवरण** | हमलावर agent व्यवहार में हेरफेर करने के लिए विशेष रूप से तैयार prompts भेजता है | | **आक्रमण वेक्टर** | प्रतिकूल निर्देशों वाले चैनल संदेश | | **प्रभावित घटक** | Agent LLM, सभी इनपुट सतहें | | **वर्तमान न्यूनीकरण** | पैटर्न पहचान, बाहरी सामग्री रैपिंग | | **अवशिष्ट जोखिम** | गंभीर - केवल पहचान, कोई ब्लॉकिंग नहीं; परिष्कृत आक्रमण बायपास कर जाते हैं | | **अनुशंसाएं** | बहु-स्तरीय रक्षा, आउटपुट सत्यापन, संवेदनशील कार्रवाइयों के लिए उपयोगकर्ता पुष्टि लागू करें | #### T-EXEC-002: अप्रत्यक्ष Prompt Injection | विशेषता | मान | | --------------------- | ---------------------------------------------------------------------- | | **ATLAS ID** | AML.T0051.001 - LLM Prompt Injection: Indirect | | **विवरण** | हमलावर प्राप्त की गई सामग्री में दुर्भावनापूर्ण निर्देश एम्बेड करता है | | **आक्रमण वेक्टर** | दुर्भावनापूर्ण URL, विषाक्त ईमेल, समझौता किए गए Webhook | | **प्रभावित घटक** | web\_fetch, ईमेल इनजेशन, बाहरी डेटा स्रोत | | **वर्तमान न्यूनीकरण** | XML टैग और सुरक्षा सूचना के साथ सामग्री रैपिंग | | **अवशिष्ट जोखिम** | उच्च - LLM रैपर निर्देशों को अनदेखा कर सकता है | | **अनुशंसाएं** | सामग्री सैनिटाइजेशन लागू करें, अलग निष्पादन संदर्भ | #### T-EXEC-003: टूल आर्ग्युमेंट Injection | विशेषता | मान | | --------------------- | ------------------------------------------------------------------------- | | **ATLAS ID** | AML.T0051.000 - LLM Prompt Injection: Direct | | **विवरण** | हमलावर Prompt Injection के माध्यम से टूल आर्ग्युमेंट्स में हेरफेर करता है | | **आक्रमण वेक्टर** | टूल पैरामीटर मानों को प्रभावित करने वाले विशेष रूप से तैयार prompts | | **प्रभावित घटक** | सभी टूल आवाहन | | **वर्तमान न्यूनीकरण** | खतरनाक कमांड के लिए Exec अनुमोदन | | **अवशिष्ट जोखिम** | उच्च - उपयोगकर्ता के निर्णय पर निर्भर | | **अनुशंसाएं** | आर्ग्युमेंट सत्यापन लागू करें, पैरामीटरयुक्त टूल कॉल | #### T-EXEC-004: Exec अनुमोदन बायपास | विशेषता | मान | | --------------------- | ---------------------------------------------------------------------- | | **ATLAS ID** | AML.T0043 - Craft Adversarial Data | | **विवरण** | हमलावर ऐसी कमांड तैयार करता है जो अनुमोदन allowlist को बायपास करती हैं | | **आक्रमण वेक्टर** | कमांड अस्पष्टीकरण, alias दुरुपयोग, पाथ हेरफेर | | **प्रभावित घटक** | exec-approvals.ts, कमांड allowlist | | **वर्तमान न्यूनीकरण** | Allowlist + ask मोड | | **अवशिष्ट जोखिम** | उच्च - कोई कमांड सैनिटाइजेशन नहीं | | **अनुशंसाएं** | कमांड सामान्यीकरण लागू करें, blocklist का विस्तार करें | *** ### 3.4 स्थायित्व (AML.TA0006) #### T-PERSIST-001: दुर्भावनापूर्ण Skill इंस्टॉलेशन | विशेषता | मान | | --------------------- | --------------------------------------------------------------------- | | **ATLAS ID** | AML.T0010.001 - Supply Chain Compromise: AI Software | | **विवरण** | हमलावर ClawHub पर दुर्भावनापूर्ण skill प्रकाशित करता है | | **आक्रमण वेक्टर** | खाता बनाना, छिपे हुए दुर्भावनापूर्ण कोड के साथ skill प्रकाशित करना | | **प्रभावित घटक** | ClawHub, skill लोडिंग, agent निष्पादन | | **वर्तमान न्यूनीकरण** | GitHub खाता आयु सत्यापन, पैटर्न-आधारित मॉडरेशन फ्लैग | | **अवशिष्ट जोखिम** | गंभीर - कोई सैंडबॉक्सिंग नहीं, सीमित समीक्षा | | **अनुशंसाएं** | VirusTotal एकीकरण (प्रगति में), skill सैंडबॉक्सिंग, सामुदायिक समीक्षा | #### T-PERSIST-002: Skill अपडेट पॉइज़निंग | विशेषता | मान | | --------------------- | ------------------------------------------------------------------------ | | **ATLAS ID** | AML.T0010.001 - Supply Chain Compromise: AI Software | | **विवरण** | हमलावर लोकप्रिय skill से समझौता करता है और दुर्भावनापूर्ण अपडेट भेजता है | | **आक्रमण वेक्टर** | खाता समझौता, skill स्वामी की सोशल इंजीनियरिंग | | **प्रभावित घटक** | ClawHub वर्जनिंग, ऑटो-अपडेट फ्लो | | **वर्तमान न्यूनीकरण** | संस्करण फिंगरप्रिंटिंग | | **अवशिष्ट जोखिम** | उच्च - ऑटो-अपडेट दुर्भावनापूर्ण संस्करण खींच सकते हैं | | **अनुशंसाएं** | अपडेट साइनिंग, रोलबैक क्षमता, संस्करण पिनिंग लागू करें | #### T-PERSIST-003: Agent कॉन्फ़िगरेशन से छेड़छाड़ | विशेषता | मान | | --------------------- | ---------------------------------------------------------------- | | **ATLAS ID** | AML.T0010.002 - Supply Chain Compromise: Data | | **विवरण** | हमलावर पहुंच बनाए रखने के लिए agent कॉन्फ़िगरेशन संशोधित करता है | | **आक्रमण वेक्टर** | कॉन्फ़िग फाइल संशोधन, सेटिंग्स Injection | | **प्रभावित घटक** | Agent कॉन्फ़िग, टूल नीतियां | | **वर्तमान न्यूनीकरण** | फाइल अनुमतियां | | **अवशिष्ट जोखिम** | मध्यम - स्थानीय पहुंच आवश्यक | | **अनुशंसाएं** | कॉन्फ़िग अखंडता सत्यापन, कॉन्फ़िग बदलावों के लिए ऑडिट लॉगिंग | *** ### 3.5 रक्षा चकमा (AML.TA0007) #### T-EVADE-001: मॉडरेशन पैटर्न बायपास | विशेषता | मान | | --------------------- | --------------------------------------------------------------------- | | **ATLAS ID** | AML.T0043 - Craft Adversarial Data | | **विवरण** | हमलावर मॉडरेशन पैटर्न से बचने के लिए skill सामग्री तैयार करता है | | **आक्रमण वेक्टर** | Unicode homoglyphs, एन्कोडिंग तरकीबें, डायनेमिक लोडिंग | | **प्रभावित घटक** | ClawHub moderation.ts | | **वर्तमान न्यूनीकरण** | पैटर्न-आधारित FLAG\_RULES | | **अवशिष्ट जोखिम** | उच्च - सरल regex को आसानी से बायपास किया जा सकता है | | **अनुशंसाएं** | व्यवहारिक विश्लेषण जोड़ें (VirusTotal Code Insight), AST-आधारित पहचान | #### T-EVADE-002: सामग्री रैपर एस्केप | विशेषता | मान | | ----------------- | ------------------------------------------------------------------- | | **ATLAS ID** | AML.T0043 - प्रतिकूल डेटा तैयार करना | | **विवरण** | हमलावर ऐसी सामग्री तैयार करता है जो XML रैपर संदर्भ से बच निकलती है | | **हमला वेक्टर** | टैग में हेरफेर, संदर्भ भ्रम, निर्देश ओवरराइड | | **प्रभावित घटक** | बाहरी सामग्री रैपिंग | | **वर्तमान शमन** | XML टैग + सुरक्षा सूचना | | **अवशिष्ट जोखिम** | मध्यम - नए बच निकलने के तरीके नियमित रूप से खोजे जाते हैं | | **अनुशंसाएँ** | कई रैपर परतें, आउटपुट-साइड सत्यापन | *** ### 3.6 खोज (AML.TA0008) #### T-DISC-001: टूल गणना | विशेषता | मान | | ----------------- | ---------------------------------------------------- | | **ATLAS ID** | AML.T0040 - AI मॉडल अनुमान API पहुंच | | **विवरण** | हमलावर प्रॉम्प्टिंग के माध्यम से उपलब्ध टूल गिनता है | | **हमला वेक्टर** | "आपके पास कौन से टूल हैं?" शैली की क्वेरी | | **प्रभावित घटक** | एजेंट टूल रजिस्ट्री | | **वर्तमान शमन** | कोई विशिष्ट नहीं | | **अवशिष्ट जोखिम** | कम - टूल आम तौर पर प्रलेखित होते हैं | | **अनुशंसाएँ** | टूल दृश्यता नियंत्रणों पर विचार करें | #### T-DISC-002: सत्र डेटा निष्कर्षण | विशेषता | मान | | ----------------- | ----------------------------------------------- | | **ATLAS ID** | AML.T0040 - AI मॉडल अनुमान API पहुंच | | **विवरण** | हमलावर सत्र संदर्भ से संवेदनशील डेटा निकालता है | | **हमला वेक्टर** | "हमने क्या चर्चा की?" क्वेरी, संदर्भ जांच | | **प्रभावित घटक** | सत्र प्रतिलिपियाँ, संदर्भ विंडो | | **वर्तमान शमन** | प्रति प्रेषक सत्र पृथक्करण | | **अवशिष्ट जोखिम** | मध्यम - सत्र के भीतर का डेटा सुलभ है | | **अनुशंसाएँ** | संदर्भ में संवेदनशील डेटा संपादन लागू करें | *** ### 3.7 संग्रह और बहिर्गमन (AML.TA0009, AML.TA0010) #### T-EXFIL-001: web\_fetch के माध्यम से डेटा चोरी | विशेषता | मान | | ----------------- | ----------------------------------------------------------------------- | | **ATLAS ID** | AML.T0009 - संग्रह | | **विवरण** | हमलावर एजेंट को बाहरी URL पर भेजने का निर्देश देकर डेटा बाहर निकालता है | | **हमला वेक्टर** | प्रॉम्प्ट इंजेक्शन जिससे एजेंट हमलावर सर्वर पर डेटा POST करता है | | **प्रभावित घटक** | web\_fetch टूल | | **वर्तमान शमन** | आंतरिक नेटवर्क के लिए SSRF अवरोध | | **अवशिष्ट जोखिम** | उच्च - बाहरी URL अनुमत हैं | | **अनुशंसाएँ** | URL allowlisting, डेटा वर्गीकरण जागरूकता लागू करें | #### T-EXFIL-002: अनधिकृत संदेश भेजना | विशेषता | मान | | ----------------- | ------------------------------------------------------- | | **ATLAS ID** | AML.T0009 - संग्रह | | **विवरण** | हमलावर एजेंट से संवेदनशील डेटा वाले संदेश भिजवाता है | | **हमला वेक्टर** | प्रॉम्प्ट इंजेक्शन जिससे एजेंट हमलावर को संदेश भेजता है | | **प्रभावित घटक** | संदेश टूल, चैनल एकीकरण | | **वर्तमान शमन** | आउटबाउंड मैसेजिंग गेटिंग | | **अवशिष्ट जोखिम** | मध्यम - गेटिंग को बायपास किया जा सकता है | | **अनुशंसाएँ** | नए प्राप्तकर्ताओं के लिए स्पष्ट पुष्टि आवश्यक करें | #### T-EXFIL-003: क्रेडेंशियल हार्वेस्टिंग | विशेषता | मान | | ----------------- | ----------------------------------------------------------- | | **ATLAS ID** | AML.T0009 - संग्रह | | **विवरण** | दुर्भावनापूर्ण skill एजेंट संदर्भ से क्रेडेंशियल निकालता है | | **हमला वेक्टर** | Skill कोड पर्यावरण चर, कॉन्फिग फाइलें पढ़ता है | | **प्रभावित घटक** | Skill निष्पादन परिवेश | | **वर्तमान शमन** | Skills के लिए कोई विशिष्ट नहीं | | **अवशिष्ट जोखिम** | अत्यंत गंभीर - Skills एजेंट विशेषाधिकारों के साथ चलते हैं | | **अनुशंसाएँ** | Skill sandboxing, क्रेडेंशियल पृथक्करण | *** ### 3.8 प्रभाव (AML.TA0011) #### T-IMPACT-001: अनधिकृत कमांड निष्पादन | विशेषता | मान | | ----------------- | ----------------------------------------------------- | | **ATLAS ID** | AML.T0031 - AI मॉडल अखंडता को क्षीण करना | | **विवरण** | हमलावर उपयोगकर्ता सिस्टम पर मनमाने कमांड चलाता है | | **हमला वेक्टर** | exec अनुमोदन बायपास के साथ संयुक्त प्रॉम्प्ट इंजेक्शन | | **प्रभावित घटक** | Bash टूल, कमांड निष्पादन | | **वर्तमान शमन** | Exec अनुमोदन, Docker सैंडबॉक्स विकल्प | | **अवशिष्ट जोखिम** | अत्यंत गंभीर - सैंडबॉक्स के बिना होस्ट निष्पादन | | **अनुशंसाएँ** | सैंडबॉक्स को डिफॉल्ट बनाएं, अनुमोदन UX सुधारें | #### T-IMPACT-002: संसाधन समाप्ति (DoS) | विशेषता | मान | | ----------------- | --------------------------------------------------- | | **ATLAS ID** | AML.T0031 - AI मॉडल अखंडता को क्षीण करना | | **विवरण** | हमलावर API क्रेडिट या कंप्यूट संसाधन समाप्त करता है | | **हमला वेक्टर** | स्वचालित संदेश बाढ़, महंगे टूल कॉल | | **प्रभावित घटक** | Gateway, एजेंट सत्र, API प्रदाता | | **वर्तमान शमन** | कोई नहीं | | **अवशिष्ट जोखिम** | उच्च - कोई दर सीमा नहीं | | **अनुशंसाएँ** | प्रति-प्रेषक दर सीमाएँ, लागत बजट लागू करें | #### T-IMPACT-003: प्रतिष्ठा क्षति | विशेषता | मान | | ----------------- | --------------------------------------------------------- | | **ATLAS ID** | AML.T0031 - AI मॉडल अखंडता को क्षीण करना | | **विवरण** | हमलावर एजेंट से हानिकारक/आपत्तिजनक सामग्री भेजवाता है | | **हमला वेक्टर** | प्रॉम्प्ट इंजेक्शन जिससे अनुपयुक्त प्रतिक्रियाएँ होती हैं | | **प्रभावित घटक** | आउटपुट जनरेशन, चैनल मैसेजिंग | | **वर्तमान शमन** | LLM प्रदाता सामग्री नीतियाँ | | **अवशिष्ट जोखिम** | मध्यम - प्रदाता फिल्टर अपूर्ण हैं | | **अनुशंसाएँ** | आउटपुट फिल्टरिंग परत, उपयोगकर्ता नियंत्रण | *** ## 4. ClawHub आपूर्ति श्रृंखला विश्लेषण ### 4.1 वर्तमान सुरक्षा नियंत्रण | नियंत्रण | कार्यान्वयन | प्रभावशीलता | | ------------------- | ----------------------------- | -------------------------------------------------------------------- | | GitHub खाता आयु | `requireGitHubAccountAge()` | मध्यम - नए हमलावरों के लिए बाधा बढ़ाता है | | पथ स्वच्छीकरण | `sanitizePath()` | उच्च - पथ ट्रैवर्सल रोकता है | | फाइल प्रकार सत्यापन | `isTextFile()` | मध्यम - केवल टेक्स्ट फाइलें, लेकिन फिर भी दुर्भावनापूर्ण हो सकती हैं | | आकार सीमाएँ | कुल 50MB बंडल | उच्च - संसाधन समाप्ति रोकता है | | आवश्यक SKILL.md | अनिवार्य readme | कम सुरक्षा मूल्य - केवल सूचनात्मक | | पैटर्न मॉडरेशन | moderation.ts में FLAG\_RULES | कम - आसानी से बायपास किया जा सकता है | | मॉडरेशन स्थिति | `moderationStatus` फील्ड | मध्यम - मैनुअल समीक्षा संभव | ### 4.2 मॉडरेशन फ्लैग पैटर्न `moderation.ts` में वर्तमान पैटर्न: ```javascript theme={"theme":{"light":"min-light","dark":"min-dark"}} // Known-bad identifiers /(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i // Suspicious keywords /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg|webhook|hooks\.slack)/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i ``` **सीमाएँ:** * केवल slug, displayName, summary, frontmatter, metadata, फाइल पथों की जांच करता है * वास्तविक skill कोड सामग्री का विश्लेषण नहीं करता * सरल regex को अस्पष्टता से आसानी से बायपास किया जा सकता है * कोई व्यवहारिक विश्लेषण नहीं ### 4.3 नियोजित सुधार | सुधार | स्थिति | प्रभाव | | ----------------- | ------------------------------------ | -------------------------------------------------------------------- | | VirusTotal एकीकरण | प्रगति में | उच्च - Code Insight व्यवहारिक विश्लेषण | | समुदाय रिपोर्टिंग | आंशिक (`skillReports` टेबल मौजूद है) | मध्यम | | ऑडिट लॉगिंग | आंशिक (`auditLogs` टेबल मौजूद है) | मध्यम | | बैज सिस्टम | लागू | मध्यम - `highlighted`, `official`, `deprecated`, `redactionApproved` | *** ## 5. जोखिम मैट्रिक्स ### 5.1 संभावना बनाम प्रभाव | खतरा ID | संभावना | प्रभाव | जोखिम स्तर | प्राथमिकता | | ------------- | ------- | ------------ | ---------------- | ---------- | | T-EXEC-001 | उच्च | अत्यंत गंभीर | **अत्यंत गंभीर** | P0 | | T-PERSIST-001 | उच्च | अत्यंत गंभीर | **अत्यंत गंभीर** | P0 | | T-EXFIL-003 | मध्यम | अत्यंत गंभीर | **अत्यंत गंभीर** | P0 | | T-IMPACT-001 | मध्यम | अत्यंत गंभीर | **उच्च** | P1 | | T-EXEC-002 | उच्च | उच्च | **उच्च** | P1 | | T-EXEC-004 | मध्यम | उच्च | **उच्च** | P1 | | T-ACCESS-003 | मध्यम | उच्च | **उच्च** | P1 | | T-EXFIL-001 | मध्यम | उच्च | **उच्च** | P1 | | T-IMPACT-002 | उच्च | मध्यम | **उच्च** | P1 | | T-EVADE-001 | उच्च | मध्यम | **मध्यम** | P2 | | T-ACCESS-001 | कम | उच्च | **मध्यम** | P2 | | T-ACCESS-002 | कम | उच्च | **मध्यम** | P2 | | T-PERSIST-002 | कम | उच्च | **मध्यम** | P2 | ### 5.2 महत्वपूर्ण पथ हमला श्रृंखलाएँ **हमला श्रृंखला 1: Skill-आधारित डेटा चोरी** ``` T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) ``` **हमला श्रृंखला 2: प्रॉम्प्ट इंजेक्शन से RCE** ``` T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) ``` **हमला श्रृंखला 3: प्राप्त सामग्री के माध्यम से अप्रत्यक्ष इंजेक्शन** ``` T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) ``` *** ## 6. अनुशंसाओं का सारांश ### 6.1 तत्काल (P0) | ID | अनुशंसा | संबोधित करता है | | ----- | ----------------------------------------------- | -------------------------- | | R-001 | VirusTotal इंटीग्रेशन पूरा करें | T-PERSIST-001, T-EVADE-001 | | R-002 | Skill सैंडबॉक्सिंग लागू करें | T-PERSIST-001, T-EXFIL-003 | | R-003 | संवेदनशील क्रियाओं के लिए आउटपुट सत्यापन जोड़ें | T-EXEC-001, T-EXEC-002 | ### 6.2 अल्पकालिक (P1) | ID | अनुशंसा | संबोधित करता है | | ----- | ------------------------------------------ | --------------- | | R-004 | दर सीमित करना लागू करें | T-IMPACT-002 | | R-005 | विश्राम अवस्था में टोकन एन्क्रिप्शन जोड़ें | T-ACCESS-003 | | R-006 | exec अनुमोदन UX और सत्यापन सुधारें | T-EXEC-004 | | R-007 | web\_fetch के लिए URL अनुमतिसूची लागू करें | T-EXFIL-001 | ### 6.3 मध्यमकालिक (P2) | ID | अनुशंसा | संबोधित करता है | | ----- | ------------------------------------------------ | --------------- | | R-008 | जहां संभव हो क्रिप्टोग्राफिक चैनल सत्यापन जोड़ें | T-ACCESS-002 | | R-009 | कॉन्फ़िगरेशन अखंडता सत्यापन लागू करें | T-PERSIST-003 | | R-010 | अपडेट साइनिंग और संस्करण पिनिंग जोड़ें | T-PERSIST-002 | *** ## 7. परिशिष्ट ### 7.1 ATLAS तकनीक मैपिंग | ATLAS ID | तकनीक का नाम | OpenClaw खतरे | | ------------- | ---------------------------------- | ---------------------------------------------------------------- | | AML.T0006 | सक्रिय स्कैनिंग | T-RECON-001, T-RECON-002 | | AML.T0009 | संग्रह | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 | | AML.T0010.001 | सप्लाई चेन: AI सॉफ़्टवेयर | T-PERSIST-001, T-PERSIST-002 | | AML.T0010.002 | सप्लाई चेन: डेटा | T-PERSIST-003 | | AML.T0031 | AI मॉडल अखंडता को क्षीण करना | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 | | AML.T0040 | AI मॉडल इन्फ़रेंस API एक्सेस | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 | | AML.T0043 | प्रतिकूल डेटा तैयार करना | T-EXEC-004, T-EVADE-001, T-EVADE-002 | | AML.T0051.000 | LLM प्रॉम्प्ट इंजेक्शन: प्रत्यक्ष | T-EXEC-001, T-EXEC-003 | | AML.T0051.001 | LLM प्रॉम्प्ट इंजेक्शन: अप्रत्यक्ष | T-EXEC-002 | ### 7.2 मुख्य सुरक्षा फ़ाइलें | पथ | उद्देश्य | जोखिम स्तर | | ----------------------------------- | ---------------------------- | ---------- | | `src/infra/exec-approvals.ts` | कमांड अनुमोदन लॉजिक | **गंभीर** | | `src/gateway/auth.ts` | Gateway प्रमाणीकरण | **गंभीर** | | `src/infra/net/ssrf.ts` | SSRF सुरक्षा | **गंभीर** | | `src/security/external-content.ts` | प्रॉम्प्ट इंजेक्शन न्यूनीकरण | **गंभीर** | | `src/agents/sandbox/tool-policy.ts` | टूल नीति प्रवर्तन | **गंभीर** | | `src/routing/resolve-route.ts` | सत्र आइसोलेशन | **मध्यम** | ### 7.3 शब्दावली | शब्द | परिभाषा | | -------------------- | ---------------------------------------------------------------- | | **ATLAS** | AI सिस्टम के लिए MITRE का प्रतिकूल खतरा परिदृश्य | | **ClawHub** | OpenClaw का skill मार्केटप्लेस | | **Gateway** | OpenClaw की संदेश रूटिंग और प्रमाणीकरण लेयर | | **MCP** | Model Context Protocol - टूल प्रदाता इंटरफ़ेस | | **Prompt Injection** | हमला जिसमें दुर्भावनापूर्ण निर्देश इनपुट में एम्बेड किए जाते हैं | | **Skill** | OpenClaw एजेंटों के लिए डाउनलोड करने योग्य एक्सटेंशन | | **SSRF** | Server-Side Request Forgery | *** *यह थ्रेट मॉडल एक जीवित दस्तावेज़ है। सुरक्षा समस्याओं की रिपोर्ट [security@openclaw.ai](mailto:security@openclaw.ai) पर करें* ## संबंधित * [औपचारिक सत्यापन](/hi/security/formal-verification) * [थ्रेट मॉडल में योगदान देना](/hi/security/CONTRIBUTING-THREAT-MODEL)