Перейти к основному содержанию

Фреймворк MITRE ATLAS

Версия: 1.0-draft Последнее обновление: 2026-02-04 Методология: MITRE ATLAS + диаграммы потоков данных Фреймворк: MITRE ATLAS (ландшафт состязательных угроз для ИИ-систем)

Атрибуция фреймворка

Эта модель угроз построена на основе MITRE ATLAS, отраслевого стандартного фреймворка для документирования состязательных угроз ИИ/ML-системам. ATLAS поддерживается MITRE совместно с сообществом безопасности ИИ. Ключевые ресурсы ATLAS:

Участие в этой модели угроз

Это живой документ, поддерживаемый сообществом OpenClaw. Рекомендации по участию см. в CONTRIBUTING-THREAT-MODEL.md:
  • Сообщение о новых угрозах
  • Обновление существующих угроз
  • Предложение цепочек атак
  • Предложение мер снижения риска

1. Введение

1.1 Назначение

Эта модель угроз документирует состязательные угрозы платформе ИИ-агентов OpenClaw и маркетплейсу навыков ClawHub с использованием фреймворка MITRE ATLAS, специально разработанного для ИИ/ML-систем.

1.2 Область охвата

КомпонентВключеноПримечания
Среда выполнения агентов OpenClawДаОсновное выполнение агентов, вызовы инструментов, сеансы
GatewayДаАутентификация, маршрутизация, интеграция каналов
Интеграции каналовДаWhatsApp, Telegram, Discord, Signal, Slack и т. д.
Маркетплейс ClawHubДаПубликация навыков, модерация, распространение
Серверы MCPДаВнешние поставщики инструментов
Устройства пользователейЧастичноМобильные приложения, настольные клиенты

1.3 Вне области охвата

Для этой модели угроз ничто явно не исключено из области охвата.

2. Архитектура системы

2.1 Границы доверия

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Потоки данных

ПотокИсточникНазначениеДанныеЗащита
F1КаналGatewayСообщения пользователяTLS, AllowFrom
F2GatewayАгентМаршрутизированные сообщенияИзоляция сеансов
F3АгентИнструментыВызовы инструментовПрименение политик
F4АгентВнешние системызапросы web_fetchБлокировка SSRF
F5ClawHubАгентКод навыкаМодерация, сканирование
F6АгентКаналОтветыФильтрация вывода

3. Анализ угроз по тактикам ATLAS

3.1 Разведка (AML.TA0002)

T-RECON-001: Обнаружение конечных точек агента

АтрибутЗначение
ID ATLASAML.T0006 - активное сканирование
ОписаниеАтакующий сканирует открытые конечные точки Gateway OpenClaw
Вектор атакиСетевое сканирование, запросы Shodan, перечисление DNS
Затронутые компонентыGateway, открытые конечные точки API
Текущие меры снижения рискаВариант аутентификации Tailscale, привязка к loopback по умолчанию
Остаточный рискСредний - публичные Gateway можно обнаружить
РекомендацииЗадокументировать безопасное развертывание, добавить ограничение частоты запросов на конечных точках обнаружения

T-RECON-002: Зондирование интеграции каналов

АтрибутЗначение
ATLAS IDAML.T0006 - Активное сканирование
ОписаниеЗлоумышленник зондирует каналы обмена сообщениями, чтобы выявить аккаунты, управляемые ИИ
Вектор атакиОтправка тестовых сообщений, наблюдение за шаблонами ответов
Затронутые компонентыВсе интеграции каналов
Текущие меры снижения рискаСпециальные отсутствуют
Остаточный рискНизкий - Обнаружение само по себе имеет ограниченную ценность
РекомендацииРассмотреть рандомизацию времени ответа

3.2 Первоначальный доступ (AML.TA0004)

T-ACCESS-001: Перехват кода сопряжения

АтрибутЗначение
ATLAS IDAML.T0040 - Доступ к API инференса модели ИИ
ОписаниеЗлоумышленник перехватывает код сопряжения во время льготного периода сопряжения (1 ч для сопряжения канала DM, 5 мин для сопряжения node)
Вектор атакиПодглядывание через плечо, перехват сетевого трафика, социальная инженерия
Затронутые компонентыСистема сопряжения устройств
Текущие меры снижения рискаИстечение срока через 1 ч (сопряжение DM) / через 5 мин (сопряжение node), коды отправляются через существующий канал
Остаточный рискСредний - Льготный период можно эксплуатировать
РекомендацииСократить льготный период, добавить шаг подтверждения

T-ACCESS-002: Подмена AllowFrom

АтрибутЗначение
ATLAS IDAML.T0040 - Доступ к API инференса модели ИИ
ОписаниеЗлоумышленник подменяет разрешенную идентичность отправителя в канале
Вектор атакиЗависит от канала - подмена телефонного номера, имитация имени пользователя
Затронутые компонентыПроверка AllowFrom для каждого канала
Текущие меры снижения рискаПроверка идентичности с учетом особенностей канала
Остаточный рискСредний - Некоторые каналы уязвимы к подмене
РекомендацииДокументировать риски для отдельных каналов, добавить криптографическую проверку там, где возможно

T-ACCESS-003: Кража токенов

АтрибутЗначение
ATLAS IDAML.T0040 - Доступ к API инференса модели ИИ
ОписаниеЗлоумышленник крадет токены аутентификации из файлов конфигурации
Вектор атакиВредоносное ПО, несанкционированный доступ к устройству, раскрытие резервной копии конфигурации
Затронутые компоненты~/.openclaw/credentials/, хранилище конфигурации
Текущие меры снижения рискаПрава доступа к файлам
Остаточный рискВысокий - Токены хранятся в открытом виде
РекомендацииРеализовать шифрование токенов в состоянии покоя, добавить ротацию токенов

3.3 Выполнение (AML.TA0005)

T-EXEC-001: Прямая инъекция промпта

АтрибутЗначение
ATLAS IDAML.T0051.000 - Инъекция промпта LLM: прямая
ОписаниеЗлоумышленник отправляет специально составленные промпты для манипулирования поведением агента
Вектор атакиСообщения в каналах, содержащие состязательные инструкции
Затронутые компонентыLLM агента, все поверхности ввода
Текущие меры снижения рискаОбнаружение шаблонов, обертывание внешнего содержимого
Остаточный рискКритический - Только обнаружение, без блокировки; сложные атаки обходят его
РекомендацииРеализовать многоуровневую защиту, проверку вывода, подтверждение пользователем для чувствительных действий

T-EXEC-002: Непрямая инъекция промпта

АтрибутЗначение
ATLAS IDAML.T0051.001 - Инъекция промпта LLM: непрямая
ОписаниеЗлоумышленник встраивает вредоносные инструкции в получаемое содержимое
Вектор атакиВредоносные URL, отравленные электронные письма, скомпрометированные Webhook
Затронутые компонентыweb_fetch, прием электронной почты, внешние источники данных
Текущие меры снижения рискаОбертывание содержимого XML-тегами и уведомлением о безопасности
Остаточный рискВысокий - LLM может игнорировать инструкции обертки
РекомендацииРеализовать очистку содержимого, отдельные контексты выполнения

T-EXEC-003: Инъекция аргументов инструмента

АтрибутЗначение
ATLAS IDAML.T0051.000 - Инъекция промпта LLM: прямая
ОписаниеЗлоумышленник манипулирует аргументами инструмента через инъекцию промпта
Вектор атакиСпециально составленные промпты, влияющие на значения параметров инструмента
Затронутые компонентыВсе вызовы инструментов
Текущие меры снижения рискаУтверждения exec для опасных команд
Остаточный рискВысокий - Зависит от суждения пользователя
РекомендацииРеализовать проверку аргументов, параметризованные вызовы инструментов

T-EXEC-004: Обход утверждения Exec

АтрибутЗначение
ATLAS IDAML.T0043 - Создание состязательных данных
ОписаниеЗлоумышленник составляет команды, которые обходят список разрешений утверждения
Вектор атакиОбфускация команд, эксплуатация псевдонимов, манипуляция путями
Затронутые компонентыexec-approvals.ts, список разрешенных команд
Текущие меры снижения рискаСписок разрешений + режим запроса
Остаточный рискВысокий - Нет очистки команд
РекомендацииРеализовать нормализацию команд, расширить список блокировок

3.4 Закрепление (AML.TA0006)

T-PERSIST-001: Установка вредоносного Skill

АтрибутЗначение
ATLAS IDAML.T0010.001 - Компрометация цепочки поставок: ПО ИИ
ОписаниеЗлоумышленник публикует вредоносный skill в ClawHub
Вектор атакиСоздание аккаунта, публикация skill со скрытым вредоносным кодом
Затронутые компонентыClawHub, загрузка skill, выполнение агентом
Текущие меры снижения рискаПроверка возраста аккаунта GitHub, флаги модерации на основе шаблонов
Остаточный рискКритический - Нет песочницы, ограниченная проверка
РекомендацииИнтеграция VirusTotal (в процессе), песочница для skill, проверка сообществом

T-PERSIST-002: Отравление обновления Skill

АтрибутЗначение
ATLAS IDAML.T0010.001 - Компрометация цепочки поставок: ПО ИИ
ОписаниеЗлоумышленник компрометирует популярный skill и отправляет вредоносное обновление
Вектор атакиКомпрометация аккаунта, социальная инженерия владельца skill
Затронутые компонентыВерсионирование ClawHub, потоки автоматического обновления
Текущие меры снижения рискаОтпечатки версий
Остаточный рискВысокий - Автообновления могут получить вредоносные версии
РекомендацииРеализовать подпись обновлений, возможность отката, закрепление версий

T-PERSIST-003: Подмена конфигурации агента

АтрибутЗначение
ATLAS IDAML.T0010.002 - Компрометация цепочки поставок: данные
ОписаниеЗлоумышленник изменяет конфигурацию агента, чтобы сохранить доступ
Вектор атакиИзменение файла конфигурации, инъекция настроек
Затронутые компонентыКонфигурация агента, политики инструментов
Текущие меры снижения рискаПрава доступа к файлам
Остаточный рискСредний - Требуется локальный доступ
РекомендацииПроверка целостности конфигурации, аудит изменений конфигурации

3.5 Обход защиты (AML.TA0007)

T-EVADE-001: Обход шаблонов модерации

АтрибутЗначение
ATLAS IDAML.T0043 - Создание состязательных данных
ОписаниеЗлоумышленник составляет содержимое skill так, чтобы обойти шаблоны модерации
Вектор атакиUnicode-омоглифы, приемы с кодировками, динамическая загрузка
Затронутые компонентыМодерация ClawHub moderation.ts
Текущие меры снижения рискаFLAG_RULES на основе шаблонов
Остаточный рискВысокий - Простое регулярное выражение легко обходится
РекомендацииДобавить поведенческий анализ (VirusTotal Code Insight), обнаружение на основе AST

T-EVADE-002: Выход из обертки содержимого

АтрибутЗначение
ATLAS IDAML.T0043 - Создание состязательных данных
ОписаниеЗлоумышленник создает содержимое, выходящее из контекста XML-обертки
Вектор атакиМанипуляция тегами, путаница контекста, переопределение инструкций
Затронутые компонентыОборачивание внешнего содержимого
Текущие меры защитыXML-теги + уведомление о безопасности
Остаточный рискСредний - Новые способы обхода обнаруживаются регулярно
РекомендацииНесколько слоев обертки, проверка на стороне вывода

3.6 Обнаружение (AML.TA0008)

T-DISC-001: Перечисление инструментов

АтрибутЗначение
ATLAS IDAML.T0040 - Доступ к API инференса ИИ-модели
ОписаниеЗлоумышленник перечисляет доступные инструменты через промптинг
Вектор атакиЗапросы в стиле “Какие инструменты у тебя есть?”
Затронутые компонентыРеестр инструментов агента
Текущие меры защитыНет специальных
Остаточный рискНизкий - Инструменты обычно задокументированы
РекомендацииРассмотреть средства управления видимостью инструментов

T-DISC-002: Извлечение данных сеанса

АтрибутЗначение
ATLAS IDAML.T0040 - Доступ к API инференса ИИ-модели
ОписаниеЗлоумышленник извлекает конфиденциальные данные из контекста сеанса
Вектор атакиЗапросы “Что мы обсуждали?”, зондирование контекста
Затронутые компонентыТранскрипты сеансов, окно контекста
Текущие меры защитыИзоляция сеанса для каждого отправителя
Остаточный рискСредний - Данные внутри сеанса доступны
РекомендацииРеализовать редактирование конфиденциальных данных в контексте

3.7 Сбор и эксфильтрация (AML.TA0009, AML.TA0010)

T-EXFIL-001: Кража данных через web_fetch

АтрибутЗначение
ATLAS IDAML.T0009 - Сбор
ОписаниеЗлоумышленник эксфильтрирует данные, инструктируя агента отправить их на внешний URL
Вектор атакиИнъекция промпта, из-за которой агент отправляет данные POST-запросом на сервер злоумышленника
Затронутые компонентыИнструмент web_fetch
Текущие меры защитыБлокировка SSRF для внутренних сетей
Остаточный рискВысокий - Внешние URL разрешены
РекомендацииРеализовать список разрешенных URL, учитывать классификацию данных

T-EXFIL-002: Несанкционированная отправка сообщений

АтрибутЗначение
ATLAS IDAML.T0009 - Сбор
ОписаниеЗлоумышленник заставляет агента отправлять сообщения с конфиденциальными данными
Вектор атакиИнъекция промпта, из-за которой агент отправляет сообщение злоумышленнику
Затронутые компонентыИнструмент сообщений, интеграции каналов
Текущие меры защитыКонтроль исходящих сообщений
Остаточный рискСредний - Контроль может быть обойден
РекомендацииТребовать явное подтверждение для новых получателей

T-EXFIL-003: Сбор учетных данных

АтрибутЗначение
ATLAS IDAML.T0009 - Сбор
ОписаниеВредоносный навык собирает учетные данные из контекста агента
Вектор атакиКод навыка читает переменные окружения, файлы конфигурации
Затронутые компонентыСреда выполнения навыков
Текущие меры защитыНет специальных для навыков
Остаточный рискКритический - Skills выполняются с привилегиями агента
РекомендацииПесочница для Skills, изоляция учетных данных

3.8 Воздействие (AML.TA0011)

T-IMPACT-001: Несанкционированное выполнение команд

АтрибутЗначение
ATLAS IDAML.T0031 - Подрыв целостности ИИ-модели
ОписаниеЗлоумышленник выполняет произвольные команды в системе пользователя
Вектор атакиИнъекция промпта в сочетании с обходом подтверждения exec
Затронутые компонентыИнструмент Bash, выполнение команд
Текущие меры защитыПодтверждения exec, опция песочницы Docker
Остаточный рискКритический - Выполнение на хосте без песочницы
РекомендацииИспользовать песочницу по умолчанию, улучшить UX подтверждений

T-IMPACT-002: Исчерпание ресурсов (DoS)

АтрибутЗначение
ATLAS IDAML.T0031 - Подрыв целостности ИИ-модели
ОписаниеЗлоумышленник исчерпывает кредиты API или вычислительные ресурсы
Вектор атакиАвтоматизированная лавина сообщений, дорогостоящие вызовы инструментов
Затронутые компонентыGateway, сеансы агента, API-провайдер
Текущие меры защитыНет
Остаточный рискВысокий - Нет ограничения частоты
РекомендацииРеализовать ограничения частоты для каждого отправителя, бюджеты затрат

T-IMPACT-003: Репутационный ущерб

АтрибутЗначение
ATLAS IDAML.T0031 - Подрыв целостности ИИ-модели
ОписаниеЗлоумышленник заставляет агента отправлять вредоносный/оскорбительный контент
Вектор атакиИнъекция промпта, вызывающая неуместные ответы
Затронутые компонентыГенерация вывода, обмен сообщениями в каналах
Текущие меры защитыПолитики контента провайдера LLM
Остаточный рискСредний - Фильтры провайдера несовершенны
РекомендацииСлой фильтрации вывода, пользовательские элементы управления

4. Анализ цепочки поставок ClawHub

4.1 Текущие средства контроля безопасности

Средство контроляРеализацияЭффективность
Возраст аккаунта GitHubrequireGitHubAccountAge()Средняя - Повышает порог для новых злоумышленников
Санитизация путиsanitizePath()Высокая - Предотвращает обход пути
Проверка типа файлаisTextFile()Средняя - Только текстовые файлы, но они все равно могут быть вредоносными
Ограничения размераОбщий размер пакета 50 МБВысокая - Предотвращает исчерпание ресурсов
Обязательный SKILL.mdОбязательный readmeНизкая ценность для безопасности - Только информационная
Модерация по шаблонамFLAG_RULES в moderation.tsНизкая - Легко обходится
Статус модерацииПоле moderationStatusСредняя - Возможна ручная проверка

4.2 Шаблоны флагов модерации

Текущие шаблоны в moderation.ts: 
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
Ограничения:
  • Проверяет только slug, displayName, summary, frontmatter, metadata, пути файлов
  • Не анализирует фактическое содержимое кода навыка
  • Простые регулярные выражения легко обходятся с помощью обфускации
  • Нет поведенческого анализа

4.3 Запланированные улучшения

УлучшениеСтатусВлияние
Интеграция VirusTotalВ процессеВысокое - Поведенческий анализ Code Insight
Сообщения сообществаЧастично (таблица skillReports существует)Среднее
Журналирование аудитаЧастично (таблица auditLogs существует)Среднее
Система бейджейРеализованоСреднее - highlighted, official, deprecated, redactionApproved

5. Матрица рисков

5.1 Вероятность и воздействие

ID угрозыВероятностьВоздействиеУровень рискаПриоритет
T-EXEC-001ВысокаяКритическоеКритическийP0
T-PERSIST-001ВысокаяКритическоеКритическийP0
T-EXFIL-003СредняяКритическоеКритическийP0
T-IMPACT-001СредняяКритическоеВысокийP1
T-EXEC-002ВысокаяВысокоеВысокийP1
T-EXEC-004СредняяВысокоеВысокийP1
T-ACCESS-003СредняяВысокоеВысокийP1
T-EXFIL-001СредняяВысокоеВысокийP1
T-IMPACT-002ВысокаяСреднееВысокийP1
T-EVADE-001ВысокаяСреднееСреднийP2
T-ACCESS-001НизкаяВысокоеСреднийP2
T-ACCESS-002НизкаяВысокоеСреднийP2
T-PERSIST-002НизкаяВысокоеСреднийP2

5.2 Критические цепочки атак

Цепочка атаки 1: Кража данных через Skills 
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
Цепочка атаки 2: Инъекция промпта до RCE 
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
Цепочка атаки 3: Косвенная инъекция через полученное содержимое 
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Сводка рекомендаций

6.1 Немедленно (P0)

IDРекомендацияУстраняет
R-001Завершить интеграцию VirusTotalT-PERSIST-001, T-EVADE-001
R-002Реализовать изоляцию навыковT-PERSIST-001, T-EXFIL-003
R-003Добавить проверку вывода для чувствительных действийT-EXEC-001, T-EXEC-002

6.2 Краткосрочные (P1)

IDРекомендацияУстраняет
R-004Реализовать ограничение частоты запросовT-IMPACT-002
R-005Добавить шифрование токенов при храненииT-ACCESS-003
R-006Улучшить UX подтверждения exec и проверкуT-EXEC-004
R-007Реализовать список разрешенных URL для web_fetchT-EXFIL-001

6.3 Среднесрочные (P2)

IDРекомендацияУстраняет
R-008Добавить криптографическую проверку каналов там, где это возможноT-ACCESS-002
R-009Реализовать проверку целостности конфигурацииT-PERSIST-003
R-010Добавить подпись обновлений и фиксацию версийT-PERSIST-002

7. Приложения

7.1 Сопоставление техник ATLAS

ID ATLASНазвание техникиУгрозы OpenClaw
AML.T0006Активное сканированиеT-RECON-001, T-RECON-002
AML.T0009Сбор данныхT-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001Цепочка поставок: ПО для ИИT-PERSIST-001, T-PERSIST-002
AML.T0010.002Цепочка поставок: данныеT-PERSIST-003
AML.T0031Подрыв целостности модели ИИT-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040Доступ к API вывода модели ИИT-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043Создание состязательных данныхT-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000Prompt Injection LLM: прямойT-EXEC-001, T-EXEC-003
AML.T0051.001Prompt Injection LLM: непрямойT-EXEC-002

7.2 Ключевые файлы безопасности

ПутьНазначениеУровень риска
src/infra/exec-approvals.tsЛогика подтверждения командКритический
src/gateway/auth.tsАутентификация GatewayКритический
src/infra/net/ssrf.tsЗащита от SSRFКритический
src/security/external-content.tsСнижение риска prompt injectionКритический
src/agents/sandbox/tool-policy.tsПрименение политики инструментовКритический
src/routing/resolve-route.tsИзоляция сеансовСредний

7.3 Глоссарий

ТерминОпределение
ATLASMITRE Adversarial Threat Landscape for AI Systems
ClawHubМаркетплейс навыков OpenClaw
GatewayУровень маршрутизации сообщений и аутентификации OpenClaw
MCPModel Context Protocol - интерфейс поставщика инструментов
Prompt InjectionАтака, при которой вредоносные инструкции встраиваются во входные данные
SkillЗагружаемое расширение для агентов OpenClaw
SSRFServer-Side Request Forgery
Эта модель угроз является живым документом. Сообщайте о проблемах безопасности на security@openclaw.ai

Связанные материалы