> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Modelo de ameaças (MITRE ATLAS)

## Framework MITRE ATLAS

**Versão:** 1.0-draft
**Última atualização:** 2026-02-04
**Metodologia:** MITRE ATLAS + diagramas de fluxo de dados
**Framework:** [MITRE ATLAS](https://atlas.mitre.org/) (Cenário de ameaças adversariais para sistemas de IA)

### Atribuição do framework

Este modelo de ameaças é construído com base no [MITRE ATLAS](https://atlas.mitre.org/), o framework padrão do setor para documentar ameaças adversariais a sistemas de IA/ML. O ATLAS é mantido pela [MITRE](https://www.mitre.org/) em colaboração com a comunidade de segurança de IA.

**Principais recursos do ATLAS:**

* [Técnicas do ATLAS](https://atlas.mitre.org/techniques/)
* [Táticas do ATLAS](https://atlas.mitre.org/tactics/)
* [Estudos de caso do ATLAS](https://atlas.mitre.org/studies/)
* [GitHub do ATLAS](https://github.com/mitre-atlas/atlas-data)
* [Contribuindo para o ATLAS](https://atlas.mitre.org/resources/contribute)

### Contribuindo para este modelo de ameaças

Este é um documento vivo mantido pela comunidade OpenClaw. Consulte [CONTRIBUTING-THREAT-MODEL.md](/pt-BR/security/CONTRIBUTING-THREAT-MODEL) para diretrizes sobre como contribuir:

* Relatar novas ameaças
* Atualizar ameaças existentes
* Propor cadeias de ataque
* Sugerir mitigações

***

## 1. Introdução

### 1.1 Finalidade

Este modelo de ameaças documenta ameaças adversariais à plataforma de agentes de IA OpenClaw e ao marketplace de Skills ClawHub, usando o framework MITRE ATLAS projetado especificamente para sistemas de IA/ML.

### 1.2 Escopo

| Componente                 | Incluído | Observações                                                    |
| -------------------------- | -------- | -------------------------------------------------------------- |
| Runtime do agente OpenClaw | Sim      | Execução principal do agente, chamadas de ferramentas, sessões |
| Gateway                    | Sim      | Autenticação, roteamento, integração de canais                 |
| Integrações de canais      | Sim      | WhatsApp, Telegram, Discord, Signal, Slack, etc.               |
| Marketplace ClawHub        | Sim      | Publicação, moderação, distribuição de Skills                  |
| Servidores MCP             | Sim      | Provedores de ferramentas externas                             |
| Dispositivos de usuário    | Parcial  | Aplicativos móveis, clientes desktop                           |

### 1.3 Fora do escopo

Nada está explicitamente fora do escopo deste modelo de ameaças.

***

## 2. Arquitetura do sistema

### 2.1 Limites de confiança

```
┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
```

### 2.2 Fluxos de dados

| Fluxo | Origem  | Destino     | Dados                     | Proteção               |
| ----- | ------- | ----------- | ------------------------- | ---------------------- |
| F1    | Canal   | Gateway     | Mensagens de usuário      | TLS, AllowFrom         |
| F2    | Gateway | Agente      | Mensagens roteadas        | Isolamento de sessão   |
| F3    | Agente  | Ferramentas | Invocações de ferramentas | Aplicação de políticas |
| F4    | Agente  | Externo     | Solicitações web\_fetch   | Bloqueio de SSRF       |
| F5    | ClawHub | Agente      | Código de Skills          | Moderação, varredura   |
| F6    | Agente  | Canal       | Respostas                 | Filtragem de saída     |

***

## 3. Análise de ameaças por tática do ATLAS

### 3.1 Reconhecimento (AML.TA0002)

#### T-RECON-001: Descoberta de endpoint de agente

| Atributo                 | Valor                                                                                 |
| ------------------------ | ------------------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0006 - Varredura ativa                                                           |
| **Descrição**            | O invasor procura endpoints expostos do Gateway OpenClaw                              |
| **Vetor de ataque**      | Varredura de rede, consultas no Shodan, enumeração de DNS                             |
| **Componentes afetados** | Gateway, endpoints de API expostos                                                    |
| **Mitigações atuais**    | Opção de autenticação Tailscale, vinculação a loopback por padrão                     |
| **Risco residual**       | Médio - Gateways públicos podem ser descobertos                                       |
| **Recomendações**        | Documentar implantação segura, adicionar limitação de taxa em endpoints de descoberta |

#### T-RECON-002: Sondagem de integração de canal

| Atributo                 | Valor                                                                         |
| ------------------------ | ----------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0006 - Varredura ativa                                                   |
| **Descrição**            | Atacante sonda canais de mensagens para identificar contas gerenciadas por IA |
| **Vetor de ataque**      | Envio de mensagens de teste, observação de padrões de resposta                |
| **Componentes afetados** | Todas as integrações de canais                                                |
| **Mitigações atuais**    | Nenhuma específica                                                            |
| **Risco residual**       | Baixo - Valor limitado apenas pela descoberta                                 |
| **Recomendações**        | Considerar randomização do tempo de resposta                                  |

***

### 3.2 Acesso inicial (AML.TA0004)

#### T-ACCESS-001: Interceptação de código de pareamento

| Atributo                 | Valor                                                                                                                                                    |
| ------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0040 - Acesso à API de inferência do modelo de IA                                                                                                   |
| **Descrição**            | Atacante intercepta o código de pareamento durante o período de carência de pareamento (1h para pareamento de canal de DM, 5min para pareamento de Node) |
| **Vetor de ataque**      | Observação por cima do ombro, sniffing de rede, engenharia social                                                                                        |
| **Componentes afetados** | Sistema de pareamento de dispositivos                                                                                                                    |
| **Mitigações atuais**    | Expiração em 1h (pareamento de DM) / expiração em 5min (pareamento de Node), códigos enviados pelo canal existente                                       |
| **Risco residual**       | Médio - Período de carência explorável                                                                                                                   |
| **Recomendações**        | Reduzir o período de carência, adicionar etapa de confirmação                                                                                            |

#### T-ACCESS-002: Falsificação de AllowFrom

| Atributo                 | Valor                                                                                       |
| ------------------------ | ------------------------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0040 - Acesso à API de inferência do modelo de IA                                      |
| **Descrição**            | Atacante falsifica a identidade de remetente permitido no canal                             |
| **Vetor de ataque**      | Depende do canal - falsificação de número de telefone, personificação de nome de usuário    |
| **Componentes afetados** | Validação de AllowFrom por canal                                                            |
| **Mitigações atuais**    | Verificação de identidade específica do canal                                               |
| **Risco residual**       | Médio - Alguns canais são vulneráveis à falsificação                                        |
| **Recomendações**        | Documentar riscos específicos do canal, adicionar verificação criptográfica quando possível |

#### T-ACCESS-003: Roubo de tokens

| Atributo                 | Valor                                                                              |
| ------------------------ | ---------------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0040 - Acesso à API de inferência do modelo de IA                             |
| **Descrição**            | Atacante rouba tokens de autenticação de arquivos de configuração                  |
| **Vetor de ataque**      | Malware, acesso não autorizado ao dispositivo, exposição de backup de configuração |
| **Componentes afetados** | \~/.openclaw/credentials/, armazenamento de configuração                           |
| **Mitigações atuais**    | Permissões de arquivo                                                              |
| **Risco residual**       | Alto - Tokens armazenados em texto simples                                         |
| **Recomendações**        | Implementar criptografia de tokens em repouso, adicionar rotação de tokens         |

***

### 3.3 Execução (AML.TA0005)

#### T-EXEC-001: Injeção direta de prompt

| Atributo                 | Valor                                                                                                    |
| ------------------------ | -------------------------------------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0051.000 - Injeção de prompt em LLM: direta                                                         |
| **Descrição**            | Atacante envia prompts elaborados para manipular o comportamento do agente                               |
| **Vetor de ataque**      | Mensagens de canal contendo instruções adversariais                                                      |
| **Componentes afetados** | LLM do agente, todas as superfícies de entrada                                                           |
| **Mitigações atuais**    | Detecção de padrões, encapsulamento de conteúdo externo                                                  |
| **Risco residual**       | Crítico - Apenas detecção, sem bloqueio; ataques sofisticados contornam                                  |
| **Recomendações**        | Implementar defesa em múltiplas camadas, validação de saída, confirmação do usuário para ações sensíveis |

#### T-EXEC-002: Injeção indireta de prompt

| Atributo                 | Valor                                                              |
| ------------------------ | ------------------------------------------------------------------ |
| **ID ATLAS**             | AML.T0051.001 - Injeção de prompt em LLM: indireta                 |
| **Descrição**            | Atacante incorpora instruções maliciosas em conteúdo buscado       |
| **Vetor de ataque**      | URLs maliciosas, e-mails envenenados, Webhooks comprometidos       |
| **Componentes afetados** | web\_fetch, ingestão de e-mail, fontes de dados externas           |
| **Mitigações atuais**    | Encapsulamento de conteúdo com tags XML e aviso de segurança       |
| **Risco residual**       | Alto - O LLM pode ignorar as instruções do encapsulamento          |
| **Recomendações**        | Implementar sanitização de conteúdo, separar contextos de execução |

#### T-EXEC-003: Injeção de argumentos de ferramenta

| Atributo                 | Valor                                                                      |
| ------------------------ | -------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0051.000 - Injeção de prompt em LLM: direta                           |
| **Descrição**            | Atacante manipula argumentos de ferramenta por meio de injeção de prompt   |
| **Vetor de ataque**      | Prompts elaborados que influenciam valores de parâmetros de ferramenta     |
| **Componentes afetados** | Todas as invocações de ferramentas                                         |
| **Mitigações atuais**    | Aprovações de execução para comandos perigosos                             |
| **Risco residual**       | Alto - Depende do julgamento do usuário                                    |
| **Recomendações**        | Implementar validação de argumentos, chamadas de ferramenta parametrizadas |

#### T-EXEC-004: Desvio de aprovação de execução

| Atributo                 | Valor                                                                   |
| ------------------------ | ----------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0043 - Criar dados adversariais                                    |
| **Descrição**            | Atacante cria comandos que contornam a lista de permissões de aprovação |
| **Vetor de ataque**      | Ofuscação de comandos, exploração de alias, manipulação de caminho      |
| **Componentes afetados** | exec-approvals.ts, lista de permissões de comandos                      |
| **Mitigações atuais**    | Lista de permissões + modo de solicitação                               |
| **Risco residual**       | Alto - Sem sanitização de comandos                                      |
| **Recomendações**        | Implementar normalização de comandos, expandir lista de bloqueio        |

***

### 3.4 Persistência (AML.TA0006)

#### T-PERSIST-001: Instalação de Skill maliciosa

| Atributo                 | Valor                                                                                  |
| ------------------------ | -------------------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0010.001 - Comprometimento da cadeia de suprimentos: software de IA               |
| **Descrição**            | Atacante publica Skill maliciosa no ClawHub                                            |
| **Vetor de ataque**      | Criar conta, publicar Skill com código malicioso oculto                                |
| **Componentes afetados** | ClawHub, carregamento de Skill, execução do agente                                     |
| **Mitigações atuais**    | Verificação de idade da conta do GitHub, sinalizações de moderação baseadas em padrões |
| **Risco residual**       | Crítico - Sem sandboxing, revisão limitada                                             |
| **Recomendações**        | Integração com VirusTotal (em andamento), sandboxing de Skill, revisão da comunidade   |

#### T-PERSIST-002: Envenenamento de atualização de Skill

| Atributo                 | Valor                                                                            |
| ------------------------ | -------------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0010.001 - Comprometimento da cadeia de suprimentos: software de IA         |
| **Descrição**            | Atacante compromete Skill popular e envia atualização maliciosa                  |
| **Vetor de ataque**      | Comprometimento de conta, engenharia social do proprietário da Skill             |
| **Componentes afetados** | Versionamento do ClawHub, fluxos de atualização automática                       |
| **Mitigações atuais**    | Impressão digital de versão                                                      |
| **Risco residual**       | Alto - Atualizações automáticas podem obter versões maliciosas                   |
| **Recomendações**        | Implementar assinatura de atualização, capacidade de rollback, fixação de versão |

#### T-PERSIST-003: Adulteração da configuração do agente

| Atributo                 | Valor                                                                                             |
| ------------------------ | ------------------------------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0010.002 - Comprometimento da cadeia de suprimentos: dados                                   |
| **Descrição**            | Atacante modifica a configuração do agente para persistir acesso                                  |
| **Vetor de ataque**      | Modificação de arquivo de configuração, injeção de configurações                                  |
| **Componentes afetados** | Configuração do agente, políticas de ferramentas                                                  |
| **Mitigações atuais**    | Permissões de arquivo                                                                             |
| **Risco residual**       | Médio - Requer acesso local                                                                       |
| **Recomendações**        | Verificação de integridade da configuração, registro de auditoria para alterações de configuração |

***

### 3.5 Evasão de defesa (AML.TA0007)

#### T-EVADE-001: Desvio de padrões de moderação

| Atributo                 | Valor                                                                               |
| ------------------------ | ----------------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0043 - Criar dados adversariais                                                |
| **Descrição**            | Atacante cria conteúdo de Skill para evadir padrões de moderação                    |
| **Vetor de ataque**      | Homóglifos Unicode, truques de codificação, carregamento dinâmico                   |
| **Componentes afetados** | ClawHub moderation.ts                                                               |
| **Mitigações atuais**    | FLAG\_RULES baseadas em padrões                                                     |
| **Risco residual**       | Alto - Regex simples facilmente contornadas                                         |
| **Recomendações**        | Adicionar análise comportamental (VirusTotal Code Insight), detecção baseada em AST |

#### T-EVADE-002: Escape do encapsulamento de conteúdo

| Atributo                 | Valor                                                                 |
| ------------------------ | --------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0043 - Criar dados adversariais                                  |
| **Descrição**            | O atacante cria conteúdo que escapa do contexto do wrapper XML        |
| **Vetor de ataque**      | Manipulação de tags, confusão de contexto, substituição de instruções |
| **Componentes afetados** | Encapsulamento de conteúdo externo                                    |
| **Mitigações atuais**    | Tags XML + aviso de segurança                                         |
| **Risco residual**       | Médio - Novas formas de escape são descobertas regularmente           |
| **Recomendações**        | Múltiplas camadas de wrapper, validação no lado da saída              |

***

### 3.6 Descoberta (AML.TA0008)

#### T-DISC-001: Enumeração de ferramentas

| Atributo                 | Valor                                                          |
| ------------------------ | -------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0040 - Acesso à API de inferência de modelo de IA         |
| **Descrição**            | O atacante enumera ferramentas disponíveis por meio de prompts |
| **Vetor de ataque**      | Consultas no estilo "Quais ferramentas você tem?"              |
| **Componentes afetados** | Registro de ferramentas do agente                              |
| **Mitigações atuais**    | Nenhuma específica                                             |
| **Risco residual**       | Baixo - As ferramentas geralmente são documentadas             |
| **Recomendações**        | Considerar controles de visibilidade de ferramentas            |

#### T-DISC-002: Extração de dados da sessão

| Atributo                 | Valor                                                       |
| ------------------------ | ----------------------------------------------------------- |
| **ID ATLAS**             | AML.T0040 - Acesso à API de inferência de modelo de IA      |
| **Descrição**            | O atacante extrai dados confidenciais do contexto da sessão |
| **Vetor de ataque**      | Consultas "O que discutimos?", sondagem de contexto         |
| **Componentes afetados** | Transcrições de sessão, janela de contexto                  |
| **Mitigações atuais**    | Isolamento de sessão por remetente                          |
| **Risco residual**       | Médio - Dados dentro da sessão são acessíveis               |
| **Recomendações**        | Implementar redação de dados confidenciais no contexto      |

***

### 3.7 Coleta e exfiltração (AML.TA0009, AML.TA0010)

#### T-EXFIL-001: Roubo de dados via web\_fetch

| Atributo                 | Valor                                                                            |
| ------------------------ | -------------------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0009 - Coleta                                                               |
| **Descrição**            | O atacante exfiltra dados instruindo o agente a enviar para uma URL externa      |
| **Vetor de ataque**      | Injeção de prompt que faz o agente enviar dados por POST ao servidor do atacante |
| **Componentes afetados** | Ferramenta web\_fetch                                                            |
| **Mitigações atuais**    | Bloqueio de SSRF para redes internas                                             |
| **Risco residual**       | Alto - URLs externas são permitidas                                              |
| **Recomendações**        | Implementar lista de URLs permitidas, conscientização de classificação de dados  |

#### T-EXFIL-002: Envio não autorizado de mensagens

| Atributo                 | Valor                                                                 |
| ------------------------ | --------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0009 - Coleta                                                    |
| **Descrição**            | O atacante faz o agente enviar mensagens contendo dados confidenciais |
| **Vetor de ataque**      | Injeção de prompt que faz o agente enviar mensagem ao atacante        |
| **Componentes afetados** | Ferramenta de mensagens, integrações de canais                        |
| **Mitigações atuais**    | Controle de mensagens de saída                                        |
| **Risco residual**       | Médio - O controle pode ser contornado                                |
| **Recomendações**        | Exigir confirmação explícita para novos destinatários                 |

#### T-EXFIL-003: Coleta de credenciais

| Atributo                 | Valor                                                                   |
| ------------------------ | ----------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0009 - Coleta                                                      |
| **Descrição**            | Habilidade maliciosa coleta credenciais do contexto do agente           |
| **Vetor de ataque**      | Código da habilidade lê variáveis de ambiente, arquivos de configuração |
| **Componentes afetados** | Ambiente de execução de habilidades                                     |
| **Mitigações atuais**    | Nada específico para habilidades                                        |
| **Risco residual**       | Crítico - Skills executam com privilégios de agente                     |
| **Recomendações**        | Isolamento em sandbox de habilidades, isolamento de credenciais         |

***

### 3.8 Impacto (AML.TA0011)

#### T-IMPACT-001: Execução não autorizada de comandos

| Atributo                 | Valor                                                           |
| ------------------------ | --------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0031 - Erosão da integridade de modelo de IA               |
| **Descrição**            | O atacante executa comandos arbitrários no sistema do usuário   |
| **Vetor de ataque**      | Injeção de prompt combinada com bypass de aprovação de execução |
| **Componentes afetados** | Ferramenta Bash, execução de comandos                           |
| **Mitigações atuais**    | Aprovações de execução, opção de sandbox Docker                 |
| **Risco residual**       | Crítico - Execução no host sem sandbox                          |
| **Recomendações**        | Usar sandbox por padrão, melhorar a UX de aprovação             |

#### T-IMPACT-002: Exaustão de recursos (DoS)

| Atributo                 | Valor                                                                   |
| ------------------------ | ----------------------------------------------------------------------- |
| **ID ATLAS**             | AML.T0031 - Erosão da integridade de modelo de IA                       |
| **Descrição**            | O atacante esgota créditos de API ou recursos computacionais            |
| **Vetor de ataque**      | Envio automatizado em massa de mensagens, chamadas de ferramentas caras |
| **Componentes afetados** | Gateway, sessões de agente, provedor de API                             |
| **Mitigações atuais**    | Nenhuma                                                                 |
| **Risco residual**       | Alto - Sem limitação de taxa                                            |
| **Recomendações**        | Implementar limites de taxa por remetente, orçamentos de custo          |

#### T-IMPACT-003: Dano à reputação

| Atributo                 | Valor                                                   |
| ------------------------ | ------------------------------------------------------- |
| **ID ATLAS**             | AML.T0031 - Erosão da integridade de modelo de IA       |
| **Descrição**            | O atacante faz o agente enviar conteúdo nocivo/ofensivo |
| **Vetor de ataque**      | Injeção de prompt que causa respostas inadequadas       |
| **Componentes afetados** | Geração de saída, envio de mensagens em canais          |
| **Mitigações atuais**    | Políticas de conteúdo do provedor de LLM                |
| **Risco residual**       | Médio - Filtros do provedor são imperfeitos             |
| **Recomendações**        | Camada de filtragem de saída, controles de usuário      |

***

## 4. Análise da cadeia de suprimentos do ClawHub

### 4.1 Controles de segurança atuais

| Controle                     | Implementação                | Efetividade                                                      |
| ---------------------------- | ---------------------------- | ---------------------------------------------------------------- |
| Idade da conta do GitHub     | `requireGitHubAccountAge()`  | Média - Eleva a barreira para novos atacantes                    |
| Sanitização de caminho       | `sanitizePath()`             | Alta - Impede travessia de diretórios                            |
| Validação de tipo de arquivo | `isTextFile()`               | Média - Apenas arquivos de texto, mas ainda podem ser maliciosos |
| Limites de tamanho           | Pacote total de 50 MB        | Alta - Impede exaustão de recursos                               |
| SKILL.md obrigatório         | Readme obrigatório           | Baixo valor de segurança - Apenas informativo                    |
| Moderação por padrões        | FLAG\_RULES em moderation.ts | Baixa - Facilmente contornada                                    |
| Status de moderação          | Campo `moderationStatus`     | Média - Revisão manual possível                                  |

### 4.2 Padrões de sinalização de moderação

Padrões atuais em `moderation.ts`:

```javascript theme={"theme":{"light":"min-light","dark":"min-dark"}}
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
```

**Limitações:**

* Verifica apenas slug, displayName, resumo, frontmatter, metadados, caminhos de arquivo
* Não analisa o conteúdo real do código da habilidade
* Regex simples, facilmente contornada com ofuscação
* Sem análise comportamental

### 4.3 Melhorias planejadas

| Melhoria                  | Status                                 | Impacto                                                              |
| ------------------------- | -------------------------------------- | -------------------------------------------------------------------- |
| Integração com VirusTotal | Em andamento                           | Alto - Análise comportamental do Code Insight                        |
| Denúncias da comunidade   | Parcial (tabela `skillReports` existe) | Médio                                                                |
| Registro de auditoria     | Parcial (tabela `auditLogs` existe)    | Médio                                                                |
| Sistema de distintivos    | Implementado                           | Médio - `highlighted`, `official`, `deprecated`, `redactionApproved` |

***

## 5. Matriz de risco

### 5.1 Probabilidade vs. impacto

| ID da ameaça  | Probabilidade | Impacto | Nível de risco | Prioridade |
| ------------- | ------------- | ------- | -------------- | ---------- |
| T-EXEC-001    | Alta          | Crítico | **Crítico**    | P0         |
| T-PERSIST-001 | Alta          | Crítico | **Crítico**    | P0         |
| T-EXFIL-003   | Média         | Crítico | **Crítico**    | P0         |
| T-IMPACT-001  | Média         | Crítico | **Alto**       | P1         |
| T-EXEC-002    | Alta          | Alto    | **Alto**       | P1         |
| T-EXEC-004    | Média         | Alto    | **Alto**       | P1         |
| T-ACCESS-003  | Média         | Alto    | **Alto**       | P1         |
| T-EXFIL-001   | Média         | Alto    | **Alto**       | P1         |
| T-IMPACT-002  | Alta          | Médio   | **Alto**       | P1         |
| T-EVADE-001   | Alta          | Médio   | **Médio**      | P2         |
| T-ACCESS-001  | Baixa         | Alto    | **Médio**      | P2         |
| T-ACCESS-002  | Baixa         | Alto    | **Médio**      | P2         |
| T-PERSIST-002 | Baixa         | Alto    | **Médio**      | P2         |

### 5.2 Cadeias de ataque de caminho crítico

**Cadeia de ataque 1: roubo de dados baseado em habilidades**

```
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
```

**Cadeia de ataque 2: injeção de prompt para RCE**

```
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
```

**Cadeia de ataque 3: injeção indireta via conteúdo buscado**

```
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)
```

***

## 6. Resumo das recomendações

### 6.1 Imediato (P0)

| ID    | Recomendação                                      | Aborda                     |
| ----- | ------------------------------------------------- | -------------------------- |
| R-001 | Concluir a integração com o VirusTotal            | T-PERSIST-001, T-EVADE-001 |
| R-002 | Implementar sandboxing de Skill                   | T-PERSIST-001, T-EXFIL-003 |
| R-003 | Adicionar validação de saída para ações sensíveis | T-EXEC-001, T-EXEC-002     |

### 6.2 Curto prazo (P1)

| ID    | Recomendação                                           | Aborda       |
| ----- | ------------------------------------------------------ | ------------ |
| R-004 | Implementar limitação de taxa                          | T-IMPACT-002 |
| R-005 | Adicionar criptografia de tokens em repouso            | T-ACCESS-003 |
| R-006 | Melhorar a UX e a validação de aprovação exec          | T-EXEC-004   |
| R-007 | Implementar lista de permissões de URL para web\_fetch | T-EXFIL-001  |

### 6.3 Médio prazo (P2)

| ID    | Recomendação                                                  | Aborda        |
| ----- | ------------------------------------------------------------- | ------------- |
| R-008 | Adicionar verificação criptográfica de canais quando possível | T-ACCESS-002  |
| R-009 | Implementar verificação de integridade da configuração        | T-PERSIST-003 |
| R-010 | Adicionar assinatura de atualizações e fixação de versão      | T-PERSIST-002 |

***

## 7. Apêndices

### 7.1 Mapeamento de técnicas ATLAS

| ID ATLAS      | Nome da técnica                            | Ameaças ao OpenClaw                                              |
| ------------- | ------------------------------------------ | ---------------------------------------------------------------- |
| AML.T0006     | Varredura ativa                            | T-RECON-001, T-RECON-002                                         |
| AML.T0009     | Coleta                                     | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003                            |
| AML.T0010.001 | Cadeia de suprimentos: software de IA      | T-PERSIST-001, T-PERSIST-002                                     |
| AML.T0010.002 | Cadeia de suprimentos: dados               | T-PERSIST-003                                                    |
| AML.T0031     | Erodir a integridade do modelo de IA       | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003                         |
| AML.T0040     | Acesso à API de inferência do modelo de IA | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043     | Criar dados adversariais                   | T-EXEC-004, T-EVADE-001, T-EVADE-002                             |
| AML.T0051.000 | Injeção de prompt em LLM: direta           | T-EXEC-001, T-EXEC-003                                           |
| AML.T0051.001 | Injeção de prompt em LLM: indireta         | T-EXEC-002                                                       |

### 7.2 Arquivos de segurança principais

| Caminho                             | Finalidade                           | Nível de risco |
| ----------------------------------- | ------------------------------------ | -------------- |
| `src/infra/exec-approvals.ts`       | Lógica de aprovação de comandos      | **Crítico**    |
| `src/gateway/auth.ts`               | Autenticação do Gateway              | **Crítico**    |
| `src/infra/net/ssrf.ts`             | Proteção contra SSRF                 | **Crítico**    |
| `src/security/external-content.ts`  | Mitigação de injeção de prompt       | **Crítico**    |
| `src/agents/sandbox/tool-policy.ts` | Aplicação da política de ferramentas | **Crítico**    |
| `src/routing/resolve-route.ts`      | Isolamento de sessão                 | **Médio**      |

### 7.3 Glossário

| Termo                | Definição                                                       |
| -------------------- | --------------------------------------------------------------- |
| **ATLAS**            | Cenário de ameaças adversariais da MITRE para sistemas de IA    |
| **ClawHub**          | Marketplace de Skills do OpenClaw                               |
| **Gateway**          | Camada de roteamento de mensagens e autenticação do OpenClaw    |
| **MCP**              | Model Context Protocol - interface de provedor de ferramentas   |
| **Prompt Injection** | Ataque em que instruções maliciosas são incorporadas na entrada |
| **Skill**            | Extensão baixável para agentes do OpenClaw                      |
| **SSRF**             | Server-Side Request Forgery                                     |

***

*Este modelo de ameaças é um documento vivo. Relate problemas de segurança para [security@openclaw.ai](mailto:security@openclaw.ai)*

## Relacionados

* [Verificação formal](/pt-BR/security/formal-verification)
* [Contribuir para o modelo de ameaças](/pt-BR/security/CONTRIBUTING-THREAT-MODEL)
