メインコンテンツへスキップ
バージョン: 1.0-draft | フレームワーク: MITRE ATLAS (AI システム向け敵対的脅威ランドスケープ) + データフロー図 この脅威モデルは、OpenClaw AI エージェントプラットフォームと ClawHub skill マーケットプレイスに対する敵対的脅威を文書化します。これは OpenClaw コミュニティが保守する生きた文書です。新しい脅威の報告、攻撃チェーンの提案、または緩和策の提案方法については、脅威モデルへのコントリビューションを参照してください。 主要な ATLAS リソース: テクニック | タクティクス | ケーススタディ | ATLAS GitHub | ATLAS へのコントリビューション

1. スコープ

コンポーネント含まれる注記
OpenClaw エージェントランタイムはいコアエージェントの実行、ツール呼び出し、セッション
Gatewayはい認証、ルーティング、チャネル統合
チャネル統合はいWhatsApp、Telegram、Discord、Signal、Slack など
ClawHub マーケットプレイスはいSkill の公開、モデレーション、配布
MCP サーバーはい外部ツールプロバイダー
ユーザーデバイス一部モバイルアプリ、デスクトップクライアント
スコープ外の報告と誤検知パターン (公開インターネットへの露出、境界バイパスを伴わないプロンプトインジェクションのみのチェーン、相互に信頼されていない運用者が 1 つの Gateway ホストを共有するケースなど) は SECURITY.md に列挙されています。このファイルが脆弱性報告スコープの現在の信頼できる情報源であり、このページではありません。

2. システムアーキテクチャ

2.1 信頼境界

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device pairing (1h DM pairing / 5m node pairing TTL)   │   │
│  │  • AllowFrom / allowlist validation                       │   │
│  │  • Token / password / Tailscale auth                      │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox (default) or host (exec approvals)      │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (random-boundary XML tags)   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Static pattern + AST-adjacent moderation scanning      │   │
│  │  • LLM-based agentic risk review + VirusTotal scanning    │   │
│  │  • GitHub account age verification (14 days)              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 データフロー

フローソース宛先データ保護
F1チャネルGatewayユーザーメッセージTLS、AllowFrom
F2Gatewayエージェントルーティングされたメッセージセッション分離
F3エージェントツールツール呼び出しポリシー適用
F4エージェント外部web_fetch リクエストSSRF ブロック
F5ClawHubエージェントSkill コードモデレーション、スキャン
F6エージェントチャネル応答出力フィルタリング

3. ATLAS タクティクス別の脅威分析

3.1 偵察 (AML.TA0002)

T-RECON-001: エージェントエンドポイントの発見

属性
ATLAS IDAML.T0006 - Active Scanning
説明攻撃者が露出した OpenClaw Gateway エンドポイントをスキャンする
攻撃ベクトルネットワークスキャン、Shodan クエリ、DNS 列挙
影響を受けるコンポーネントGateway、露出した API エンドポイント
現在の緩和策Tailscale 認証オプション、デフォルトで loopback にバインド
残存リスク中 - 公開 Gateway は発見可能
推奨事項安全なデプロイを文書化し、発見エンドポイントにレート制限を追加

T-RECON-002: チャネル統合のプロービング

属性
ATLAS IDAML.T0006 - Active Scanning
説明攻撃者がメッセージングチャネルをプローブして AI 管理アカウントを特定する
攻撃ベクトルテストメッセージの送信、応答パターンの観察
影響を受けるコンポーネントすべてのチャネル統合
現在の緩和策特になし
残存リスク低 - 発見単独から得られる価値は限定的
推奨事項応答タイミングのランダム化を検討

3.2 初期アクセス (AML.TA0004)

T-ACCESS-001: ペアリングコードの傍受

属性
ATLAS IDAML.T0040 - AIモデル推論APIアクセス
説明攻撃者がペアリング期間中(DM/汎用ペアリングは1時間、ノードペアリングは5分)にペアリングコードを傍受する
攻撃ベクトルショルダーサーフィン、ネットワークスニッフィング、ソーシャルエンジニアリング
影響を受けるコンポーネントデバイスペアリングシステム
現在の緩和策1時間TTL(DM/汎用ペアリング)、5分TTL(ノードペアリング)。コードは既存のチャネル経由で送信される
残存リスク中 - ペアリング期間が悪用可能
推奨事項ペアリング期間を短縮し、確認ステップを追加する

T-ACCESS-002: AllowFrom のスプーフィング

属性
ATLAS IDAML.T0040 - AIモデル推論APIアクセス
説明攻撃者がチャネル上で許可された送信者 ID をスプーフィングする
攻撃ベクトルチャネル依存 - 電話番号のスプーフィング、ユーザー名のなりすまし
影響を受けるコンポーネントチャネルごとの AllowFrom 検証
現在の緩和策チャネル固有の ID 検証
残存リスク中 - 一部のチャネルはスプーフィングに対して脆弱なまま
推奨事項チャネル固有のリスクを文書化し、可能な場合は暗号学的検証を追加する

T-ACCESS-003: トークンの窃取

属性
ATLAS IDAML.T0040 - AIモデル推論APIアクセス
説明攻撃者が config/credential ファイルから認証トークンを窃取する
攻撃ベクトルマルウェア、不正なデバイスアクセス、設定バックアップの露出
影響を受けるコンポーネントチャネル/プロバイダーの認証情報ストレージ、設定ストレージ
現在の緩和策ファイル権限
残存リスク高 - トークンがディスク上に平文で保存されている
推奨事項保存時のトークン暗号化を実装し、トークンローテーションを追加する

3.3 実行 (AML.TA0005)

T-EXEC-001: 直接プロンプトインジェクション

属性
ATLAS IDAML.T0051.000 - LLMプロンプトインジェクション: 直接
説明攻撃者がエージェントの動作を操作するために細工したプロンプトを送信する
攻撃ベクトル敵対的な指示を含むチャネルメッセージ
影響を受けるコンポーネントエージェント LLM、すべての入力サーフェス
現在の緩和策パターン検出、外部コンテンツのラッピング。境界バイパスがない限り、脆弱性報告の対象外として扱われる(SECURITY.md を参照)
残存リスク重大 - 検出のみでブロックなし。高度な攻撃はバイパスする
推奨事項機密性の高いアクションに対する出力検証とユーザー確認を、既存の検出の上に重ねる

T-EXEC-002: 間接プロンプトインジェクション

属性
ATLAS IDAML.T0051.001 - LLMプロンプトインジェクション: 間接
説明攻撃者が取得されたコンテンツに悪意ある指示を埋め込む
攻撃ベクトル悪意ある URL、汚染されたメール、侵害された Webhook
影響を受けるコンポーネントweb_fetch、メール取り込み、外部データソース
現在の緩和策ランダム境界の XML 風マーカーによるコンテンツラッピング、ホモグリフ/特殊トークンの正規化、およびセキュリティ通知
残存リスク高 - LLM がラッパーの指示をなお無視する可能性がある
推奨事項ラップされたコンテンツ用に実行コンテキストを分離する

T-EXEC-003: ツール引数インジェクション

属性
ATLAS IDAML.T0051.000 - LLMプロンプトインジェクション: 直接
説明攻撃者がプロンプトインジェクションを通じてツール引数を操作する
攻撃ベクトルツールパラメーター値に影響を与える細工されたプロンプト
影響を受けるコンポーネントすべてのツール呼び出し
現在の緩和策危険なコマンドに対する Exec 承認
残存リスク高 - ユーザーの判断に依存する
推奨事項引数検証、パラメーター化されたツール呼び出し

T-EXEC-004: Exec 承認バイパス

属性
ATLAS IDAML.T0043 - 敵対的データの作成
説明攻撃者が承認 allowlist をバイパスするコマンドを細工する
攻撃ベクトルコマンドの難読化、エイリアスの悪用、パス操作
影響を受けるコンポーネントsrc/infra/exec-approvals*.ts、コマンド allowlist
現在の緩和策allowlist + ask モード、およびコマンド正規化(dispatch-wrapper のアンラップ、inline-eval 検出、シェルチェーン解析)
残存リスク高 - 正規化により難読化バイパスは狭まるが排除されない。exec パス間のパリティのみの指摘は脆弱性ではなくハードニングとして扱われる(SECURITY.md を参照)
推奨事項新しい難読化手法に対するコマンド正規化カバレッジを継続的に拡大する

3.4 永続化 (AML.TA0006)

T-PERSIST-001: 悪意あるスキルのインストール

属性
ATLAS IDAML.T0010.001 - サプライチェーン侵害: AIソフトウェア
説明攻撃者が悪意あるスキルを ClawHub に公開する
攻撃ベクトルアカウントを作成し、隠された悪意あるコードを含むスキルを公開する
影響を受けるコンポーネントClawHub、スキル読み込み、エージェント実行
現在の緩和策GitHub アカウント年齢の検証、静的パターン/AST 隣接スキャン、LLM ベースのエージェント型リスクレビュー、VirusTotal スキャン
残存リスク高 - 検出層は存在するが、スキルは依然としてエージェント権限で実行され、実行サンドボックス化がない
推奨事項スキル実行のサンドボックス化、コミュニティレビューの拡充

T-PERSIST-002: スキル更新のポイズニング

属性
ATLAS IDAML.T0010.001 - サプライチェーン侵害: AIソフトウェア
説明攻撃者が人気のあるスキルを侵害し、悪意ある更新をプッシュする
攻撃ベクトルアカウント侵害、スキル所有者へのソーシャルエンジニアリング
影響を受けるコンポーネントClawHub のバージョン管理、自動更新フロー
現在の緩和策バージョンフィンガープリント、新バージョンでのモデレーション/スキャン再実行
残存リスク高 - レビュー完了前に自動更新が悪意あるバージョンを取り込む可能性がある
推奨事項更新署名、ロールバック機能、バージョン固定

T-PERSIST-003: エージェント設定の改ざん

属性
ATLAS IDAML.T0010.002 - サプライチェーン侵害: データ
説明攻撃者がエージェント設定を変更してアクセスを永続化する
攻撃ベクトル設定ファイルの変更、設定の注入
影響を受けるコンポーネントエージェント設定、ツールポリシー
現在の緩和策ファイル権限
残存リスク中 - ローカルアクセスが必要
推奨事項設定の整合性検証、設定変更の監査ログ

3.5 防御回避 (AML.TA0007)

T-EVADE-001: モデレーションパターンのバイパス

属性
ATLAS IDAML.T0043 - 敵対的データの作成
説明攻撃者が ClawHub のモデレーションチェックを回避するために skill コンテンツを作成する
攻撃ベクトルUnicode 同形異字、エンコーディングのトリック、動的読み込み
影響を受けるコンポーネントClawHub のモデレーション/スキャンパイプライン
現在の緩和策静的パターンルール、AST 隣接のコードスキャン、LLM のエージェント型リスクレビュー、VirusTotal
残存リスク中 - 新しい難読化は、階層化されたヒューリスティックをなおすり抜ける可能性がある
推奨事項新しい回避手法が見つかるたびに、パターン/振る舞いコーパスを拡充し続ける

T-EVADE-002: コンテンツラッパーからの脱出

属性
ATLAS IDAML.T0043 - 敵対的データの作成
説明攻撃者が外部コンテンツラッパーのコンテキストから脱出するコンテンツを作成する
攻撃ベクトルタグ操作、コンテキストの混同、指示の上書き
影響を受けるコンポーネント外部コンテンツのラッピング
現在の緩和策ランダム境界の XML 風マーカー + セキュリティ通知、および同形異字/空白バリアントによるマーカー偽装の検出
残存リスク中 - 新しい脱出手法が定期的に発見されている
推奨事項入力側のラッピングに加えて、出力側の検証

3.6 Discovery (AML.TA0008)

T-DISC-001: ツール列挙

属性
ATLAS IDAML.T0040 - AI モデル推論 API アクセス
説明攻撃者がプロンプトを通じて利用可能なツールを列挙する
攻撃ベクトル「どのようなツールがありますか?」形式のクエリ
影響を受けるコンポーネントエージェントツールレジストリ
現在の緩和策特になし
残存リスク低 - ツールは一般に文書化されている
推奨事項ツール可視性制御の検討

T-DISC-002: セッションデータ抽出

属性
ATLAS IDAML.T0040 - AI モデル推論 API アクセス
説明攻撃者がセッションコンテキストから機微データを抽出する
攻撃ベクトル「何を話し合いましたか?」クエリ、コンテキスト探索
影響を受けるコンポーネントセッショントランスクリプト、コンテキストウィンドウ
現在の緩和策送信者ごとのセッション分離 (agent:channel:peer キー)
残存リスク中 - セッション内データは設計上アクセス可能
推奨事項コンテキスト内の機微データの秘匿化

3.7 収集と流出 (AML.TA0009, AML.TA0010)

T-EXFIL-001: web_fetch によるデータ窃取

属性
ATLAS IDAML.T0009 - 収集
説明攻撃者がエージェントに外部 URL へデータを送信させることでデータを流出させる
攻撃ベクトルプロンプトインジェクションにより、エージェントが攻撃者のサーバーへデータを POST する
影響を受けるコンポーネントweb_fetch ツール
現在の緩和策内部/プライベートネットワークに対する SSRF ブロック (DNS ピンニング + IP ブロック)
残存リスク高 - 任意の外部 URL が引き続き許可されている
推奨事項URL 許可リスト、データ分類の認識

T-EXFIL-002: 不正なメッセージ送信

属性
ATLAS IDAML.T0009 - 収集
説明攻撃者がエージェントに機微データを含むメッセージを送信させる
攻撃ベクトルプロンプトインジェクションにより、エージェントが攻撃者にメッセージを送る
影響を受けるコンポーネントメッセージツール、チャネル連携
現在の緩和策送信メッセージのゲーティング
残存リスク中 - ゲーティングがバイパスされる可能性がある
推奨事項新しい受信者に対する明示的な確認

T-EXFIL-003: 認証情報の収集

属性
ATLAS IDAML.T0009 - 収集
説明悪意ある skill がエージェントコンテキストから認証情報を収集する
攻撃ベクトルskill コードが環境変数や設定ファイルを読み取る
影響を受けるコンポーネントskill 実行環境
現在の緩和策ClawHub の認証情報パターンスキャン (ハードコードされたシークレット、ネットワーク送信と組み合わされた認証情報 env アクセス)。実行時の skills には実行サンドボックスなし
残存リスク重大 - skills はエージェント権限で実行される
推奨事項skill 実行のサンドボックス化、認証情報の分離

3.8 影響 (AML.TA0011)

T-IMPACT-001: 不正なコマンド実行

属性
ATLAS IDAML.T0031 - AI モデルの整合性低下
説明攻撃者がユーザーシステム上で任意のコマンドを実行する
攻撃ベクトルexec 承認バイパスと組み合わされたプロンプトインジェクション
影響を受けるコンポーネントBash ツール、コマンド実行
現在の緩和策Exec 承認、Docker サンドボックスオプション (デフォルトのランタイムバックエンド)
残存リスク重大 - サンドボックスが無効な場合、ホスト実行が可能
推奨事項承認 UX を改善する。サンドボックス無効のデプロイは、意図的な運用者の選択として引き続きそのように文書化する

T-IMPACT-002: リソース枯渇 (DoS)

属性
ATLAS IDAML.T0031 - AI モデルの整合性低下
説明攻撃者が API クレジットまたは計算リソースを枯渇させる
攻撃ベクトル自動化されたメッセージの大量送信、高コストなツール呼び出し
影響を受けるコンポーネントGateway、エージェントセッション、API プロバイダー
現在の緩和策なし
残存リスク高 - 送信者ごとのレート制限がない
推奨事項送信者ごとのレート制限、コスト予算

T-IMPACT-003: 評判への損害

属性
ATLAS IDAML.T0031 - AI モデルの整合性低下
説明攻撃者がエージェントに有害または攻撃的なコンテンツを送信させる
攻撃ベクトルプロンプトインジェクションにより不適切な応答を引き起こす
影響を受けるコンポーネント出力生成、チャネルメッセージング
現在の緩和策LLM プロバイダーのコンテンツポリシー
残存リスク中 - プロバイダーのフィルターは完全ではない
推奨事項出力フィルタリング層、ユーザー制御

4. ClawHub サプライチェーン分析

4.1 現在のセキュリティ制御

制御実装有効性
GitHub アカウント年齢requireGitHubAccountAge() (14 日以上)中 - 新規攻撃者へのハードルを上げる
パスのサニタイズsanitizePath()高 - パストラバーサルを防ぐ
ファイル種別の検証isTextFile()中 - テキストファイルのみをスキャンするが、それでも悪用可能
サイズ制限合計 50MB のバンドル (MAX_PUBLISH_TOTAL_BYTES)高 - リソース枯渇を防ぐ
必須の SKILL.md公開時に readme が必須セキュリティ価値は低い - 情報提供のみ
静的 + AST 隣接スキャンexec、流出、認証情報収集、難読化などを対象にするパターンエンジン中-高 - 多くの既知の悪用パターンをカバーするが、依然としてパターンベース
LLM ベースのエージェント型リスクレビュー公開時にセキュリティプロンプト駆動の判定を行う中-高 - 静的パターンでは見逃す挙動を検出する
VirusTotal スキャンskill とパッケージリリースの公開/再スキャンフローに接続され、運用者の API キーで制御有効時は高 - 静的エンジンによる検出
モデレーション状態moderationStatus フィールド中 - 手動レビューが可能

4.2 モデレーションの制限

ClawHub の静的スキャンは、skill のコード内容を直接検査し (slug/メタデータ/frontmatter だけではない)、危険な exec 呼び出し、動的コード実行、認証情報の収集、流出パターン、難読化されたペイロードなどを対象にする。既知のギャップ:
  • パターンベースの検出は、十分に新しい難読化によって依然として回避される可能性がある。
  • LLM ベースのレビューと VirusTotal スキャンは、運用者側の API キー/config が有効化されていることに依存する。
  • インストール後、skill をエージェント自身の権限から分離するランタイム実行サンドボックスはない。

4.3 バッジ

Skills とパッケージには、モデレーターが割り当てるバッジ highlightedofficialdeprecatedredactionApproved (skills のみ) が付く。コミュニティ報告 (skillReports) と監査ログ (auditLogs) がモデレーションワークフローを支える。

5. リスクマトリクス

5.1 発生可能性と影響

脅威 ID発生可能性影響リスクレベル優先度
T-EXEC-001重大重大P0
T-PERSIST-001重大重大P0
T-EXFIL-003重大重大P0
T-IMPACT-001重大P1
T-EXEC-002P1
T-EXEC-004P1
T-ACCESS-003P1
T-EXFIL-001P1
T-IMPACT-002P1
T-EVADE-001P2
T-ACCESS-001P2
T-ACCESS-002P2
T-PERSIST-002P2

5.2 クリティカルパス攻撃チェーン

チェーン 1: skill ベースのデータ窃取
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
チェーン 2: プロンプトインジェクションから RCE へ
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
チェーン 3: 取得コンテンツ経由の間接インジェクション
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. 推奨事項の概要

6.1 即時 (P0)

ID推奨事項対応
R-002skill 実行サンドボックスを実装するT-PERSIST-001, T-EXFIL-003
R-003機密性の高いアクションに出力検証を追加するT-EXEC-001, T-EXEC-002

6.2 短期 (P1)

ID推奨事項対応
R-004送信者ごとのレート制限を実装するT-IMPACT-002
R-005保存時のトークン暗号化を追加するT-ACCESS-003
R-006exec 承認 UX を改善し、コマンド正規化の拡張を継続するT-EXEC-004
R-007web_fetch に URL 許可リストを実装するT-EXFIL-001

6.3 中期 (P2)

ID推奨事項対応
R-008可能な場合は暗号学的なチャンネル検証を追加するT-ACCESS-002
R-009config 整合性検証を実装するT-PERSIST-003
R-010更新の署名とバージョン固定を追加するT-PERSIST-002

7. 付録

7.1 ATLAS 技法マッピング

ATLAS ID技法名OpenClaw の脅威
AML.T0006アクティブスキャンT-RECON-001, T-RECON-002
AML.T0009収集T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001サプライチェーン: AI ソフトウェアT-PERSIST-001, T-PERSIST-002
AML.T0010.002サプライチェーン: データT-PERSIST-003
AML.T0031AI モデル整合性の侵食T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040AI モデル推論 API アクセスT-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043敵対的データの作成T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000LLM プロンプトインジェクション: 直接T-EXEC-001, T-EXEC-003
AML.T0051.001LLM プロンプトインジェクション: 間接T-EXEC-002

7.2 主要なセキュリティファイル

パス目的リスクレベル
src/infra/exec-approvals.tsコマンド承認ロジック重大
src/gateway/auth.tsGateway 認証重大
src/infra/net/ssrf.tsSSRF 保護重大
src/security/external-content.tsプロンプトインジェクション緩和重大
src/agents/sandbox/tool-policy.tsサンドボックスツール許可/拒否ポリシー重大
src/routing/resolve-route.tsセッション分離 / ルーティング

7.3 用語集

用語定義
ATLASMITRE の AI システム向け敵対的脅威ランドスケープ
ClawHubOpenClaw の skill マーケットプレイス
GatewayOpenClaw のメッセージルーティングおよび認証レイヤー
MCPModel Context Protocol - ツールプロバイダーインターフェイス
Prompt injection悪意ある指示が入力に埋め込まれる攻撃
SkillOpenClaw エージェント向けのダウンロード可能な拡張
SSRFServer-Side Request Forgery

この脅威モデルは生きたドキュメントである。セキュリティ問題は security@openclaw.ai に報告するか、Trust ページ を参照する。

関連