> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Model ancaman (MITRE ATLAS)

## Kerangka kerja MITRE ATLAS

**Versi:** 1.0-draft
**Terakhir Diperbarui:** 2026-02-04
**Metodologi:** MITRE ATLAS + Diagram Alur Data
**Kerangka kerja:** [MITRE ATLAS](https://atlas.mitre.org/) (Lanskap Ancaman Adversarial untuk Sistem AI)

### Atribusi kerangka kerja

Model ancaman ini dibangun berdasarkan [MITRE ATLAS](https://atlas.mitre.org/), kerangka kerja standar industri untuk mendokumentasikan ancaman adversarial terhadap sistem AI/ML. ATLAS dikelola oleh [MITRE](https://www.mitre.org/) melalui kolaborasi dengan komunitas keamanan AI.

**Sumber Daya Utama ATLAS:**

* [Teknik ATLAS](https://atlas.mitre.org/techniques/)
* [Taktik ATLAS](https://atlas.mitre.org/tactics/)
* [Studi Kasus ATLAS](https://atlas.mitre.org/studies/)
* [GitHub ATLAS](https://github.com/mitre-atlas/atlas-data)
* [Berkontribusi ke ATLAS](https://atlas.mitre.org/resources/contribute)

### Berkontribusi pada Model Ancaman Ini

Ini adalah dokumen hidup yang dikelola oleh komunitas OpenClaw. Lihat [CONTRIBUTING-THREAT-MODEL.md](/id/security/CONTRIBUTING-THREAT-MODEL) untuk panduan berkontribusi:

* Melaporkan ancaman baru
* Memperbarui ancaman yang ada
* Mengusulkan rantai serangan
* Menyarankan mitigasi

***

## 1. Pengantar

### 1.1 Tujuan

Model ancaman ini mendokumentasikan ancaman adversarial terhadap platform agen AI OpenClaw dan marketplace skill ClawHub, menggunakan kerangka kerja MITRE ATLAS yang dirancang khusus untuk sistem AI/ML.

### 1.2 Cakupan

| Komponen              | Termasuk | Catatan                                          |
| --------------------- | -------- | ------------------------------------------------ |
| Runtime Agen OpenClaw | Ya       | Eksekusi agen inti, panggilan alat, sesi         |
| Gateway               | Ya       | Autentikasi, perutean, integrasi kanal           |
| Integrasi Kanal       | Ya       | WhatsApp, Telegram, Discord, Signal, Slack, dll. |
| Marketplace ClawHub   | Ya       | Publikasi skill, moderasi, distribusi            |
| Server MCP            | Ya       | Penyedia alat eksternal                          |
| Perangkat Pengguna    | Sebagian | Aplikasi seluler, klien desktop                  |

### 1.3 Di Luar Cakupan

Tidak ada yang secara eksplisit berada di luar cakupan model ancaman ini.

***

## 2. Arsitektur Sistem

### 2.1 Batas Kepercayaan

```
┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
```

### 2.2 Alur Data

| Alur | Sumber  | Tujuan    | Data                  | Perlindungan         |
| ---- | ------- | --------- | --------------------- | -------------------- |
| F1   | Kanal   | Gateway   | Pesan pengguna        | TLS, AllowFrom       |
| F2   | Gateway | Agen      | Pesan yang dirutekan  | Isolasi sesi         |
| F3   | Agen    | Alat      | Pemanggilan alat      | Penegakan kebijakan  |
| F4   | Agen    | Eksternal | permintaan web\_fetch | Pemblokiran SSRF     |
| F5   | ClawHub | Agen      | Kode skill            | Moderasi, pemindaian |
| F6   | Agen    | Kanal     | Respons               | Penyaringan keluaran |

***

## 3. Analisis Ancaman berdasarkan Taktik ATLAS

### 3.1 Pengintaian (AML.TA0002)

#### T-RECON-001: Penemuan Endpoint Agen

| Atribut                | Nilai                                                                            |
| ---------------------- | -------------------------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0006 - Pemindaian Aktif                                                     |
| **Deskripsi**          | Penyerang memindai endpoint Gateway OpenClaw yang terekspos                      |
| **Vektor Serangan**    | Pemindaian jaringan, kueri shodan, enumerasi DNS                                 |
| **Komponen Terdampak** | Gateway, endpoint API yang terekspos                                             |
| **Mitigasi Saat Ini**  | Opsi auth Tailscale, bind ke loopback secara default                             |
| **Risiko Residual**    | Sedang - Gateway publik dapat ditemukan                                          |
| **Rekomendasi**        | Dokumentasikan deployment aman, tambahkan pembatasan laju pada endpoint penemuan |

#### T-RECON-002: Probing Integrasi Kanal

| Atribut                | Nilai                                                                               |
| ---------------------- | ----------------------------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0006 - Pemindaian Aktif                                                        |
| **Deskripsi**          | Penyerang memeriksa saluran perpesanan untuk mengidentifikasi akun yang dikelola AI |
| **Vektor Serangan**    | Mengirim pesan uji, mengamati pola respons                                          |
| **Komponen Terdampak** | Semua integrasi saluran                                                             |
| **Mitigasi Saat Ini**  | Tidak ada yang spesifik                                                             |
| **Risiko Residual**    | Rendah - Nilai terbatas dari penemuan saja                                          |
| **Rekomendasi**        | Pertimbangkan pengacakan waktu respons                                              |

***

### 3.2 Akses Awal (AML.TA0004)

#### T-ACCESS-001: Intersepsi Kode Pairing

| Atribut                | Nilai                                                                                                                   |
| ---------------------- | ----------------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0040 - Akses API Inferensi Model AI                                                                                |
| **Deskripsi**          | Penyerang mengintersepsi kode pairing selama masa tenggang pairing (1h untuk pairing saluran DM, 5m untuk pairing Node) |
| **Vektor Serangan**    | Mengintip dari balik bahu, penyadapan jaringan, rekayasa sosial                                                         |
| **Komponen Terdampak** | Sistem pairing perangkat                                                                                                |
| **Mitigasi Saat Ini**  | Kedaluwarsa 1h (pairing DM) / kedaluwarsa 5m (pairing Node), kode dikirim melalui saluran yang ada                      |
| **Risiko Residual**    | Sedang - Masa tenggang dapat dieksploitasi                                                                              |
| **Rekomendasi**        | Kurangi masa tenggang, tambahkan langkah konfirmasi                                                                     |

#### T-ACCESS-002: Pemalsuan AllowFrom

| Atribut                | Nilai                                                                                       |
| ---------------------- | ------------------------------------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0040 - Akses API Inferensi Model AI                                                    |
| **Deskripsi**          | Penyerang memalsukan identitas pengirim yang diizinkan di saluran                           |
| **Vektor Serangan**    | Bergantung pada saluran - pemalsuan nomor telepon, peniruan nama pengguna                   |
| **Komponen Terdampak** | Validasi AllowFrom per saluran                                                              |
| **Mitigasi Saat Ini**  | Verifikasi identitas spesifik saluran                                                       |
| **Risiko Residual**    | Sedang - Sebagian saluran rentan terhadap pemalsuan                                         |
| **Rekomendasi**        | Dokumentasikan risiko spesifik saluran, tambahkan verifikasi kriptografis jika memungkinkan |

#### T-ACCESS-003: Pencurian Token

| Atribut                | Nilai                                                             |
| ---------------------- | ----------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0040 - Akses API Inferensi Model AI                          |
| **Deskripsi**          | Penyerang mencuri token autentikasi dari file konfigurasi         |
| **Vektor Serangan**    | Malware, akses perangkat tanpa izin, paparan cadangan konfigurasi |
| **Komponen Terdampak** | \~/.openclaw/credentials/, penyimpanan konfigurasi                |
| **Mitigasi Saat Ini**  | Izin file                                                         |
| **Risiko Residual**    | Tinggi - Token disimpan dalam teks biasa                          |
| **Rekomendasi**        | Terapkan enkripsi token saat tersimpan, tambahkan rotasi token    |

***

### 3.3 Eksekusi (AML.TA0005)

#### T-EXEC-001: Injeksi Prompt Langsung

| Atribut                | Nilai                                                                                      |
| ---------------------- | ------------------------------------------------------------------------------------------ |
| **ID ATLAS**           | AML.T0051.000 - Injeksi Prompt LLM: Langsung                                               |
| **Deskripsi**          | Penyerang mengirim prompt yang dirancang untuk memanipulasi perilaku agen                  |
| **Vektor Serangan**    | Pesan saluran yang berisi instruksi adversarial                                            |
| **Komponen Terdampak** | LLM agen, semua permukaan input                                                            |
| **Mitigasi Saat Ini**  | Deteksi pola, pembungkusan konten eksternal                                                |
| **Risiko Residual**    | Kritis - Hanya deteksi, tanpa pemblokiran; serangan canggih dapat melewati                 |
| **Rekomendasi**        | Terapkan pertahanan berlapis, validasi output, konfirmasi pengguna untuk tindakan sensitif |

#### T-EXEC-002: Injeksi Prompt Tidak Langsung

| Atribut                | Nilai                                                               |
| ---------------------- | ------------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0051.001 - Injeksi Prompt LLM: Tidak Langsung                  |
| **Deskripsi**          | Penyerang menyematkan instruksi berbahaya dalam konten yang diambil |
| **Vektor Serangan**    | URL berbahaya, email yang diracuni, webhook yang disusupi           |
| **Komponen Terdampak** | web\_fetch, penyerapan email, sumber data eksternal                 |
| **Mitigasi Saat Ini**  | Pembungkusan konten dengan tag XML dan pemberitahuan keamanan       |
| **Risiko Residual**    | Tinggi - LLM dapat mengabaikan instruksi pembungkus                 |
| **Rekomendasi**        | Terapkan sanitasi konten, pisahkan konteks eksekusi                 |

#### T-EXEC-003: Injeksi Argumen Tool

| Atribut                | Nilai                                                        |
| ---------------------- | ------------------------------------------------------------ |
| **ID ATLAS**           | AML.T0051.000 - Injeksi Prompt LLM: Langsung                 |
| **Deskripsi**          | Penyerang memanipulasi argumen tool melalui injeksi prompt   |
| **Vektor Serangan**    | Prompt yang dirancang untuk memengaruhi nilai parameter tool |
| **Komponen Terdampak** | Semua pemanggilan tool                                       |
| **Mitigasi Saat Ini**  | Persetujuan exec untuk perintah berbahaya                    |
| **Risiko Residual**    | Tinggi - Bergantung pada penilaian pengguna                  |
| **Rekomendasi**        | Terapkan validasi argumen, panggilan tool berparameter       |

#### T-EXEC-004: Bypass Persetujuan Exec

| Atribut                | Nilai                                                            |
| ---------------------- | ---------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0043 - Membuat Data Adversarial                             |
| **Deskripsi**          | Penyerang membuat perintah yang melewati daftar izin persetujuan |
| **Vektor Serangan**    | Pengaburan perintah, eksploitasi alias, manipulasi path          |
| **Komponen Terdampak** | exec-approvals.ts, daftar izin perintah                          |
| **Mitigasi Saat Ini**  | Daftar izin + mode tanya                                         |
| **Risiko Residual**    | Tinggi - Tidak ada sanitasi perintah                             |
| **Rekomendasi**        | Terapkan normalisasi perintah, perluas daftar blokir             |

***

### 3.4 Persistensi (AML.TA0006)

#### T-PERSIST-001: Instalasi Skill Berbahaya

| Atribut                | Nilai                                                                           |
| ---------------------- | ------------------------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0010.001 - Kompromi Rantai Pasok: Perangkat Lunak AI                       |
| **Deskripsi**          | Penyerang menerbitkan skill berbahaya ke ClawHub                                |
| **Vektor Serangan**    | Membuat akun, menerbitkan skill dengan kode berbahaya tersembunyi               |
| **Komponen Terdampak** | ClawHub, pemuatan skill, eksekusi agen                                          |
| **Mitigasi Saat Ini**  | Verifikasi usia akun GitHub, flag moderasi berbasis pola                        |
| **Risiko Residual**    | Kritis - Tidak ada sandboxing, tinjauan terbatas                                |
| **Rekomendasi**        | Integrasi VirusTotal (sedang berlangsung), sandboxing skill, tinjauan komunitas |

#### T-PERSIST-002: Peracunan Pembaruan Skill

| Atribut                | Nilai                                                                 |
| ---------------------- | --------------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0010.001 - Kompromi Rantai Pasok: Perangkat Lunak AI             |
| **Deskripsi**          | Penyerang menyusupi skill populer dan mendorong pembaruan berbahaya   |
| **Vektor Serangan**    | Kompromi akun, rekayasa sosial terhadap pemilik skill                 |
| **Komponen Terdampak** | Pembuatan versi ClawHub, alur pembaruan otomatis                      |
| **Mitigasi Saat Ini**  | Fingerprinting versi                                                  |
| **Risiko Residual**    | Tinggi - Pembaruan otomatis dapat menarik versi berbahaya             |
| **Rekomendasi**        | Terapkan penandatanganan pembaruan, kemampuan rollback, pinning versi |

#### T-PERSIST-003: Perusakan Konfigurasi Agen

| Atribut                | Nilai                                                                        |
| ---------------------- | ---------------------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0010.002 - Kompromi Rantai Pasok: Data                                  |
| **Deskripsi**          | Penyerang memodifikasi konfigurasi agen untuk mempertahankan akses           |
| **Vektor Serangan**    | Modifikasi file konfigurasi, injeksi pengaturan                              |
| **Komponen Terdampak** | Konfigurasi agen, kebijakan tool                                             |
| **Mitigasi Saat Ini**  | Izin file                                                                    |
| **Risiko Residual**    | Sedang - Memerlukan akses lokal                                              |
| **Rekomendasi**        | Verifikasi integritas konfigurasi, logging audit untuk perubahan konfigurasi |

***

### 3.5 Penghindaran Pertahanan (AML.TA0007)

#### T-EVADE-001: Bypass Pola Moderasi

| Atribut                | Nilai                                                                       |
| ---------------------- | --------------------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0043 - Membuat Data Adversarial                                        |
| **Deskripsi**          | Penyerang membuat konten skill untuk menghindari pola moderasi              |
| **Vektor Serangan**    | Homoglif Unicode, trik encoding, pemuatan dinamis                           |
| **Komponen Terdampak** | moderation.ts ClawHub                                                       |
| **Mitigasi Saat Ini**  | FLAG\_RULES berbasis pola                                                   |
| **Risiko Residual**    | Tinggi - Regex sederhana mudah dilewati                                     |
| **Rekomendasi**        | Tambahkan analisis perilaku (VirusTotal Code Insight), deteksi berbasis AST |

#### T-EVADE-002: Escape Pembungkus Konten

| Atribut                | Nilai                                                            |
| ---------------------- | ---------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0043 - Membuat Data Adversarial                             |
| **Deskripsi**          | Penyerang membuat konten yang keluar dari konteks pembungkus XML |
| **Vektor Serangan**    | Manipulasi tag, kebingungan konteks, penimpaan instruksi         |
| **Komponen Terdampak** | Pembungkusan konten eksternal                                    |
| **Mitigasi Saat Ini**  | Tag XML + pemberitahuan keamanan                                 |
| **Risiko Residual**    | Sedang - Escape baru ditemukan secara rutin                      |
| **Rekomendasi**        | Beberapa lapisan pembungkus, validasi sisi output                |

***

### 3.6 Penemuan (AML.TA0008)

#### T-DISC-001: Enumerasi Tool

| Atribut                | Nilai                                                            |
| ---------------------- | ---------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0040 - Akses API Inferensi Model AI                         |
| **Deskripsi**          | Penyerang menginventarisasi tool yang tersedia melalui prompting |
| **Vektor Serangan**    | Kueri bergaya "Tool apa yang Anda miliki?"                       |
| **Komponen Terdampak** | Registri tool agen                                               |
| **Mitigasi Saat Ini**  | Tidak ada yang spesifik                                          |
| **Risiko Residual**    | Rendah - Tool umumnya terdokumentasi                             |
| **Rekomendasi**        | Pertimbangkan kontrol visibilitas tool                           |

#### T-DISC-002: Ekstraksi Data Sesi

| Atribut                | Nilai                                                 |
| ---------------------- | ----------------------------------------------------- |
| **ID ATLAS**           | AML.T0040 - Akses API Inferensi Model AI              |
| **Deskripsi**          | Penyerang mengekstrak data sensitif dari konteks sesi |
| **Vektor Serangan**    | Kueri "Apa yang tadi kita bahas?", probing konteks    |
| **Komponen Terdampak** | Transkrip sesi, jendela konteks                       |
| **Mitigasi Saat Ini**  | Isolasi sesi per pengirim                             |
| **Risiko Residual**    | Sedang - Data dalam sesi dapat diakses                |
| **Rekomendasi**        | Implementasikan redaksi data sensitif dalam konteks   |

***

### 3.7 Pengumpulan & Eksfiltrasi (AML.TA0009, AML.TA0010)

#### T-EXFIL-001: Pencurian Data melalui web\_fetch

| Atribut                | Nilai                                                                                       |
| ---------------------- | ------------------------------------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0009 - Pengumpulan                                                                     |
| **Deskripsi**          | Penyerang mengeksfiltrasi data dengan menginstruksikan agen untuk mengirim ke URL eksternal |
| **Vektor Serangan**    | Injeksi prompt yang menyebabkan agen melakukan POST data ke server penyerang                |
| **Komponen Terdampak** | Tool web\_fetch                                                                             |
| **Mitigasi Saat Ini**  | Pemblokiran SSRF untuk jaringan internal                                                    |
| **Risiko Residual**    | Tinggi - URL eksternal diizinkan                                                            |
| **Rekomendasi**        | Implementasikan daftar URL yang diizinkan, kesadaran klasifikasi data                       |

#### T-EXFIL-002: Pengiriman Pesan Tidak Sah

| Atribut                | Nilai                                                                |
| ---------------------- | -------------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0009 - Pengumpulan                                              |
| **Deskripsi**          | Penyerang menyebabkan agen mengirim pesan yang berisi data sensitif  |
| **Vektor Serangan**    | Injeksi prompt yang menyebabkan agen mengirim pesan kepada penyerang |
| **Komponen Terdampak** | Tool pesan, integrasi kanal                                          |
| **Mitigasi Saat Ini**  | Gating pesan keluar                                                  |
| **Risiko Residual**    | Sedang - Gating mungkin dapat dilewati                               |
| **Rekomendasi**        | Wajibkan konfirmasi eksplisit untuk penerima baru                    |

#### T-EXFIL-003: Pemanenan Kredensial

| Atribut                | Nilai                                                    |
| ---------------------- | -------------------------------------------------------- |
| **ID ATLAS**           | AML.T0009 - Pengumpulan                                  |
| **Deskripsi**          | Skill berbahaya memanen kredensial dari konteks agen     |
| **Vektor Serangan**    | Kode skill membaca variabel lingkungan, file konfigurasi |
| **Komponen Terdampak** | Lingkungan eksekusi skill                                |
| **Mitigasi Saat Ini**  | Tidak ada yang spesifik untuk skill                      |
| **Risiko Residual**    | Kritis - Skills berjalan dengan hak istimewa agen        |
| **Rekomendasi**        | Sandboxing skill, isolasi kredensial                     |

***

### 3.8 Dampak (AML.TA0011)

#### T-IMPACT-001: Eksekusi Perintah Tidak Sah

| Atribut                | Nilai                                                          |
| ---------------------- | -------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0031 - Mengikis Integritas Model AI                       |
| **Deskripsi**          | Penyerang menjalankan perintah arbitrer pada sistem pengguna   |
| **Vektor Serangan**    | Injeksi prompt yang digabungkan dengan bypass persetujuan exec |
| **Komponen Terdampak** | Tool Bash, eksekusi perintah                                   |
| **Mitigasi Saat Ini**  | Persetujuan exec, opsi sandbox Docker                          |
| **Risiko Residual**    | Kritis - Eksekusi host tanpa sandbox                           |
| **Rekomendasi**        | Jadikan sandbox sebagai default, tingkatkan UX persetujuan     |

#### T-IMPACT-002: Kehabisan Sumber Daya (DoS)

| Atribut                | Nilai                                                        |
| ---------------------- | ------------------------------------------------------------ |
| **ID ATLAS**           | AML.T0031 - Mengikis Integritas Model AI                     |
| **Deskripsi**          | Penyerang menghabiskan kredit API atau sumber daya komputasi |
| **Vektor Serangan**    | Banjir pesan otomatis, panggilan tool mahal                  |
| **Komponen Terdampak** | Gateway, sesi agen, penyedia API                             |
| **Mitigasi Saat Ini**  | Tidak ada                                                    |
| **Risiko Residual**    | Tinggi - Tidak ada pembatasan laju                           |
| **Rekomendasi**        | Implementasikan batas laju per pengirim, anggaran biaya      |

#### T-IMPACT-003: Kerusakan Reputasi

| Atribut                | Nilai                                                            |
| ---------------------- | ---------------------------------------------------------------- |
| **ID ATLAS**           | AML.T0031 - Mengikis Integritas Model AI                         |
| **Deskripsi**          | Penyerang menyebabkan agen mengirim konten berbahaya/menyinggung |
| **Vektor Serangan**    | Injeksi prompt yang menyebabkan respons tidak pantas             |
| **Komponen Terdampak** | Pembuatan output, pengiriman pesan kanal                         |
| **Mitigasi Saat Ini**  | Kebijakan konten penyedia LLM                                    |
| **Risiko Residual**    | Sedang - Filter penyedia tidak sempurna                          |
| **Rekomendasi**        | Lapisan pemfilteran output, kontrol pengguna                     |

***

## 4. Analisis Rantai Pasok ClawHub

### 4.1 Kontrol Keamanan Saat Ini

| Kontrol             | Implementasi                 | Efektivitas                                            |
| ------------------- | ---------------------------- | ------------------------------------------------------ |
| Usia Akun GitHub    | `requireGitHubAccountAge()`  | Sedang - Meningkatkan hambatan bagi penyerang baru     |
| Sanitasi Path       | `sanitizePath()`             | Tinggi - Mencegah path traversal                       |
| Validasi Jenis File | `isTextFile()`               | Sedang - Hanya file teks, tetapi masih dapat berbahaya |
| Batas Ukuran        | Total bundel 50MB            | Tinggi - Mencegah kehabisan sumber daya                |
| SKILL.md Wajib      | Readme wajib                 | Nilai keamanan rendah - Hanya informatif               |
| Moderasi Pola       | FLAG\_RULES di moderation.ts | Rendah - Mudah dilewati                                |
| Status Moderasi     | Field `moderationStatus`     | Sedang - Peninjauan manual dimungkinkan                |

### 4.2 Pola Flag Moderasi

Pola saat ini di `moderation.ts`:

```javascript theme={"theme":{"light":"min-light","dark":"min-dark"}}
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
```

**Keterbatasan:**

* Hanya memeriksa slug, displayName, ringkasan, frontmatter, metadata, path file
* Tidak menganalisis konten kode skill yang sebenarnya
* Regex sederhana mudah dilewati dengan obfuskasi
* Tidak ada analisis perilaku

### 4.3 Perbaikan yang Direncanakan

| Perbaikan            | Status                             | Dampak                                                                |
| -------------------- | ---------------------------------- | --------------------------------------------------------------------- |
| Integrasi VirusTotal | Sedang Berlangsung                 | Tinggi - Analisis perilaku Code Insight                               |
| Pelaporan Komunitas  | Parsial (tabel `skillReports` ada) | Sedang                                                                |
| Logging Audit        | Parsial (tabel `auditLogs` ada)    | Sedang                                                                |
| Sistem Badge         | Diimplementasikan                  | Sedang - `highlighted`, `official`, `deprecated`, `redactionApproved` |

***

## 5. Matriks Risiko

### 5.1 Kemungkinan vs Dampak

| ID Ancaman    | Kemungkinan | Dampak | Tingkat Risiko | Prioritas |
| ------------- | ----------- | ------ | -------------- | --------- |
| T-EXEC-001    | Tinggi      | Kritis | **Kritis**     | P0        |
| T-PERSIST-001 | Tinggi      | Kritis | **Kritis**     | P0        |
| T-EXFIL-003   | Sedang      | Kritis | **Kritis**     | P0        |
| T-IMPACT-001  | Sedang      | Kritis | **Tinggi**     | P1        |
| T-EXEC-002    | Tinggi      | Tinggi | **Tinggi**     | P1        |
| T-EXEC-004    | Sedang      | Tinggi | **Tinggi**     | P1        |
| T-ACCESS-003  | Sedang      | Tinggi | **Tinggi**     | P1        |
| T-EXFIL-001   | Sedang      | Tinggi | **Tinggi**     | P1        |
| T-IMPACT-002  | Tinggi      | Sedang | **Tinggi**     | P1        |
| T-EVADE-001   | Tinggi      | Sedang | **Sedang**     | P2        |
| T-ACCESS-001  | Rendah      | Tinggi | **Sedang**     | P2        |
| T-ACCESS-002  | Rendah      | Tinggi | **Sedang**     | P2        |
| T-PERSIST-002 | Rendah      | Tinggi | **Sedang**     | P2        |

### 5.2 Rantai Serangan Jalur Kritis

**Rantai Serangan 1: Pencurian Data Berbasis Skill**

```
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
```

**Rantai Serangan 2: Injeksi Prompt ke RCE**

```
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
```

**Rantai Serangan 3: Injeksi Tidak Langsung melalui Konten yang Diambil**

```
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)
```

***

## 6. Ringkasan Rekomendasi

### 6.1 Segera (P0)

| ID    | Rekomendasi                                         | Menangani                  |
| ----- | --------------------------------------------------- | -------------------------- |
| R-001 | Selesaikan integrasi VirusTotal                     | T-PERSIST-001, T-EVADE-001 |
| R-002 | Implementasikan sandboxing skill                    | T-PERSIST-001, T-EXFIL-003 |
| R-003 | Tambahkan validasi keluaran untuk tindakan sensitif | T-EXEC-001, T-EXEC-002     |

### 6.2 Jangka pendek (P1)

| ID    | Rekomendasi                                      | Menangani    |
| ----- | ------------------------------------------------ | ------------ |
| R-004 | Implementasikan pembatasan laju                  | T-IMPACT-002 |
| R-005 | Tambahkan enkripsi token saat tersimpan          | T-ACCESS-003 |
| R-006 | Tingkatkan UX dan validasi persetujuan exec      | T-EXEC-004   |
| R-007 | Implementasikan daftar izin URL untuk web\_fetch | T-EXFIL-001  |

### 6.3 Jangka menengah (P2)

| ID    | Rekomendasi                                               | Menangani     |
| ----- | --------------------------------------------------------- | ------------- |
| R-008 | Tambahkan verifikasi kanal kriptografis jika memungkinkan | T-ACCESS-002  |
| R-009 | Implementasikan verifikasi integritas config              | T-PERSIST-003 |
| R-010 | Tambahkan penandatanganan pembaruan dan penguncian versi  | T-PERSIST-002 |

***

## 7. Lampiran

### 7.1 Pemetaan Teknik ATLAS

| ID ATLAS      | Nama Teknik                        | Ancaman OpenClaw                                                 |
| ------------- | ---------------------------------- | ---------------------------------------------------------------- |
| AML.T0006     | Pemindaian Aktif                   | T-RECON-001, T-RECON-002                                         |
| AML.T0009     | Pengumpulan                        | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003                            |
| AML.T0010.001 | Rantai Pasok: Perangkat Lunak AI   | T-PERSIST-001, T-PERSIST-002                                     |
| AML.T0010.002 | Rantai Pasok: Data                 | T-PERSIST-003                                                    |
| AML.T0031     | Erosi Integritas Model AI          | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003                         |
| AML.T0040     | Akses API Inferensi Model AI       | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043     | Buat Data Adversarial              | T-EXEC-004, T-EVADE-001, T-EVADE-002                             |
| AML.T0051.000 | Injeksi Prompt LLM: Langsung       | T-EXEC-001, T-EXEC-003                                           |
| AML.T0051.001 | Injeksi Prompt LLM: Tidak Langsung | T-EXEC-002                                                       |

### 7.2 File Keamanan Utama

| Jalur                               | Tujuan                      | Tingkat Risiko |
| ----------------------------------- | --------------------------- | -------------- |
| `src/infra/exec-approvals.ts`       | Logika persetujuan perintah | **Kritis**     |
| `src/gateway/auth.ts`               | Autentikasi Gateway         | **Kritis**     |
| `src/infra/net/ssrf.ts`             | Perlindungan SSRF           | **Kritis**     |
| `src/security/external-content.ts`  | Mitigasi injeksi prompt     | **Kritis**     |
| `src/agents/sandbox/tool-policy.ts` | Penegakan kebijakan alat    | **Kritis**     |
| `src/routing/resolve-route.ts`      | Isolasi sesi                | **Sedang**     |

### 7.3 Glosarium

| Istilah            | Definisi                                                   |
| ------------------ | ---------------------------------------------------------- |
| **ATLAS**          | Lanskap Ancaman Adversarial MITRE untuk Sistem AI          |
| **ClawHub**        | Marketplace skill OpenClaw                                 |
| **Gateway**        | Lapisan perutean pesan dan autentikasi OpenClaw            |
| **MCP**            | Model Context Protocol - antarmuka penyedia alat           |
| **Injeksi Prompt** | Serangan ketika instruksi berbahaya disematkan dalam input |
| **Skill**          | Ekstensi yang dapat diunduh untuk agen OpenClaw            |
| **SSRF**           | Pemalsuan Permintaan Sisi Server                           |

***

*Model ancaman ini adalah dokumen yang terus berkembang. Laporkan masalah keamanan ke [security@openclaw.ai](mailto:security@openclaw.ai)*

## Terkait

* [Verifikasi formal](/id/security/formal-verification)
* [Berkontribusi pada model ancaman](/id/security/CONTRIBUTING-THREAT-MODEL)
