> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Модель загроз (MITRE ATLAS)

## Фреймворк MITRE ATLAS

**Версія:** 1.0-draft
**Останнє оновлення:** 2026-02-04
**Методологія:** MITRE ATLAS + діаграми потоків даних
**Фреймворк:** [MITRE ATLAS](https://atlas.mitre.org/) (ландшафт змагальних загроз для AI-систем)

### Атрибуція фреймворку

Ця модель загроз побудована на [MITRE ATLAS](https://atlas.mitre.org/), галузевому стандартному фреймворку для документування змагальних загроз для AI/ML-систем. ATLAS підтримує [MITRE](https://www.mitre.org/) у співпраці зі спільнотою безпеки AI.

**Ключові ресурси ATLAS:**

* [Техніки ATLAS](https://atlas.mitre.org/techniques/)
* [Тактики ATLAS](https://atlas.mitre.org/tactics/)
* [Приклади ATLAS](https://atlas.mitre.org/studies/)
* [ATLAS GitHub](https://github.com/mitre-atlas/atlas-data)
* [Участь в ATLAS](https://atlas.mitre.org/resources/contribute)

### Участь у цій моделі загроз

Це живий документ, який підтримує спільнота OpenClaw. Перегляньте [CONTRIBUTING-THREAT-MODEL.md](/uk/security/CONTRIBUTING-THREAT-MODEL), щоб ознайомитися з настановами щодо участі:

* Повідомлення про нові загрози
* Оновлення наявних загроз
* Пропонування ланцюжків атак
* Пропонування заходів пом’якшення

***

## 1. Вступ

### 1.1 Призначення

Ця модель загроз документує змагальні загрози для платформи AI-агентів OpenClaw і маркетплейсу Skills ClawHub, використовуючи фреймворк MITRE ATLAS, спеціально розроблений для AI/ML-систем.

### 1.2 Обсяг

| Компонент                            | Включено | Примітки                                               |
| ------------------------------------ | -------- | ------------------------------------------------------ |
| Середовище виконання агента OpenClaw | Так      | Основне виконання агента, виклики інструментів, сеанси |
| Gateway                              | Так      | Автентифікація, маршрутизація, інтеграція каналів      |
| Інтеграції каналів                   | Так      | WhatsApp, Telegram, Discord, Signal, Slack тощо        |
| Маркетплейс ClawHub                  | Так      | Публікація Skills, модерація, розповсюдження           |
| MCP-сервери                          | Так      | Зовнішні постачальники інструментів                    |
| Пристрої користувачів                | Частково | Мобільні застосунки, настільні клієнти                 |

### 1.3 Поза обсягом

Нічого явно не виключено з обсягу цієї моделі загроз.

***

## 2. Архітектура системи

### 2.1 Межі довіри

```
┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
```

### 2.2 Потоки даних

| Потік | Джерело | Призначення      | Дані                        | Захист                |
| ----- | ------- | ---------------- | --------------------------- | --------------------- |
| F1    | Канал   | Gateway          | Повідомлення користувача    | TLS, AllowFrom        |
| F2    | Gateway | Агент            | Маршрутизовані повідомлення | Ізоляція сеансів      |
| F3    | Агент   | Інструменти      | Виклики інструментів        | Застосування політик  |
| F4    | Агент   | Зовнішній ресурс | запити web\_fetch           | Блокування SSRF       |
| F5    | ClawHub | Агент            | Код Skills                  | Модерація, сканування |
| F6    | Агент   | Канал            | Відповіді                   | Фільтрація виводу     |

***

## 3. Аналіз загроз за тактикою ATLAS

### 3.1 Розвідка (AML.TA0002)

#### T-RECON-001: Виявлення кінцевих точок агента

| Атрибут                        | Значення                                                                                    |
| ------------------------------ | ------------------------------------------------------------------------------------------- |
| **ATLAS ID**                   | AML.T0006 - Активне сканування                                                              |
| **Опис**                       | Зловмисник сканує відкриті кінцеві точки OpenClaw Gateway                                   |
| **Вектор атаки**               | Мережеве сканування, запити shodan, перебирання DNS                                         |
| **Уражені компоненти**         | Gateway, відкриті кінцеві точки API                                                         |
| **Поточні заходи пом’якшення** | Опція автентифікації Tailscale, прив’язування до loopback за замовчуванням                  |
| **Залишковий ризик**           | Середній - публічні Gateway можна виявити                                                   |
| **Рекомендації**               | Задокументувати безпечне розгортання, додати обмеження частоти для кінцевих точок виявлення |

#### T-RECON-002: Зондування інтеграції каналів

| Атрибут                 | Значення                                                                                 |
| ----------------------- | ---------------------------------------------------------------------------------------- |
| **Ідентифікатор ATLAS** | AML.T0006 - Активне сканування                                                           |
| **Опис**                | Зловмисник зондує канали обміну повідомленнями, щоб виявити облікові записи, керовані ШІ |
| **Вектор атаки**        | Надсилання тестових повідомлень, спостереження за шаблонами відповідей                   |
| **Уражені компоненти**  | Усі інтеграції каналів                                                                   |
| **Поточні пом’якшення** | Немає специфічних                                                                        |
| **Залишковий ризик**    | Низький - обмежена цінність самого лише виявлення                                        |
| **Рекомендації**        | Розглянути рандомізацію часу відповіді                                                   |

***

### 3.2 Початковий доступ (AML.TA0004)

#### T-ACCESS-001: Перехоплення коду сполучення

| Атрибут                 | Значення                                                                                                                              |
| ----------------------- | ------------------------------------------------------------------------------------------------------------------------------------- |
| **Ідентифікатор ATLAS** | AML.T0040 - Доступ до API інференсу моделі ШІ                                                                                         |
| **Опис**                | Зловмисник перехоплює код сполучення під час пільгового періоду сполучення (1 год для сполучення каналу DM, 5 хв для сполучення Node) |
| **Вектор атаки**        | Підглядання через плече, перехоплення мережевого трафіку, соціальна інженерія                                                         |
| **Уражені компоненти**  | Система сполучення пристроїв                                                                                                          |
| **Поточні пом’якшення** | Закінчення строку дії через 1 год (сполучення DM) / 5 хв (сполучення Node), коди надсилаються через наявний канал                     |
| **Залишковий ризик**    | Середній - пільговий період можна використати                                                                                         |
| **Рекомендації**        | Скоротити пільговий період, додати крок підтвердження                                                                                 |

#### T-ACCESS-002: Підміна AllowFrom

| Атрибут                 | Значення                                                                                      |
| ----------------------- | --------------------------------------------------------------------------------------------- |
| **Ідентифікатор ATLAS** | AML.T0040 - Доступ до API інференсу моделі ШІ                                                 |
| **Опис**                | Зловмисник підміняє ідентичність дозволеного відправника в каналі                             |
| **Вектор атаки**        | Залежить від каналу - підміна номера телефону, видавання себе за користувача                  |
| **Уражені компоненти**  | Перевірка AllowFrom для кожного каналу                                                        |
| **Поточні пом’якшення** | Специфічна для каналу перевірка ідентичності                                                  |
| **Залишковий ризик**    | Середній - деякі канали вразливі до підміни                                                   |
| **Рекомендації**        | Задокументувати специфічні для каналів ризики, додати криптографічну перевірку, де це можливо |

#### T-ACCESS-003: Викрадення токенів

| Атрибут                 | Значення                                                                                 |
| ----------------------- | ---------------------------------------------------------------------------------------- |
| **Ідентифікатор ATLAS** | AML.T0040 - Доступ до API інференсу моделі ШІ                                            |
| **Опис**                | Зловмисник викрадає токени автентифікації з файлів конфігурації                          |
| **Вектор атаки**        | Шкідливе ПЗ, несанкціонований доступ до пристрою, розкриття резервної копії конфігурації |
| **Уражені компоненти**  | \~/.openclaw/credentials/, сховище конфігурації                                          |
| **Поточні пом’якшення** | Дозволи файлів                                                                           |
| **Залишковий ризик**    | Високий - токени зберігаються у відкритому тексті                                        |
| **Рекомендації**        | Реалізувати шифрування токенів у стані спокою, додати ротацію токенів                    |

***

### 3.3 Виконання (AML.TA0005)

#### T-EXEC-001: Пряма ін’єкція промпта

| Атрибут                 | Значення                                                                                        |
| ----------------------- | ----------------------------------------------------------------------------------------------- |
| **Ідентифікатор ATLAS** | AML.T0051.000 - Ін’єкція промпта LLM: пряма                                                     |
| **Опис**                | Зловмисник надсилає спеціально сформовані промпти, щоб маніпулювати поведінкою агента           |
| **Вектор атаки**        | Повідомлення каналів, що містять ворожі інструкції                                              |
| **Уражені компоненти**  | LLM агента, усі поверхні введення                                                               |
| **Поточні пом’якшення** | Виявлення шаблонів, обгортання зовнішнього вмісту                                               |
| **Залишковий ризик**    | Критичний - лише виявлення, без блокування; складні атаки обходять захист                       |
| **Рекомендації**        | Реалізувати багаторівневий захист, валідацію виводу, підтвердження користувача для чутливих дій |

#### T-EXEC-002: Непряма ін’єкція промпта

| Атрибут                 | Значення                                                               |
| ----------------------- | ---------------------------------------------------------------------- |
| **Ідентифікатор ATLAS** | AML.T0051.001 - Ін’єкція промпта LLM: непряма                          |
| **Опис**                | Зловмисник вбудовує шкідливі інструкції в отриманий вміст              |
| **Вектор атаки**        | Шкідливі URL-адреси, отруєні електронні листи, скомпрометовані Webhook |
| **Уражені компоненти**  | web\_fetch, поглинання електронної пошти, зовнішні джерела даних       |
| **Поточні пом’якшення** | Обгортання вмісту XML-тегами та повідомленням про безпеку              |
| **Залишковий ризик**    | Високий - LLM може ігнорувати інструкції обгортки                      |
| **Рекомендації**        | Реалізувати санітизацію вмісту, окремі контексти виконання             |

#### T-EXEC-003: Ін’єкція аргументів інструмента

| Атрибут                 | Значення                                                                       |
| ----------------------- | ------------------------------------------------------------------------------ |
| **Ідентифікатор ATLAS** | AML.T0051.000 - Ін’єкція промпта LLM: пряма                                    |
| **Опис**                | Зловмисник маніпулює аргументами інструмента через ін’єкцію промпта            |
| **Вектор атаки**        | Спеціально сформовані промпти, що впливають на значення параметрів інструмента |
| **Уражені компоненти**  | Усі виклики інструментів                                                       |
| **Поточні пом’якшення** | Схвалення exec для небезпечних команд                                          |
| **Залишковий ризик**    | Високий - покладається на судження користувача                                 |
| **Рекомендації**        | Реалізувати валідацію аргументів, параметризовані виклики інструментів         |

#### T-EXEC-004: Обхід схвалення Exec

| Атрибут                 | Значення                                                         |
| ----------------------- | ---------------------------------------------------------------- |
| **Ідентифікатор ATLAS** | AML.T0043 - Створення ворожих даних                              |
| **Опис**                | Зловмисник створює команди, що обходять allowlist схвалень       |
| **Вектор атаки**        | Обфускація команд, експлуатація псевдонімів, маніпуляція шляхами |
| **Уражені компоненти**  | exec-approvals.ts, allowlist команд                              |
| **Поточні пом’якшення** | Allowlist + режим запиту                                         |
| **Залишковий ризик**    | Високий - немає санітизації команд                               |
| **Рекомендації**        | Реалізувати нормалізацію команд, розширити blocklist             |

***

### 3.4 Закріплення (AML.TA0006)

#### T-PERSIST-001: Встановлення шкідливого Skill

| Атрибут                 | Значення                                                                       |
| ----------------------- | ------------------------------------------------------------------------------ |
| **Ідентифікатор ATLAS** | AML.T0010.001 - Компрометація ланцюга постачання: програмне забезпечення ШІ    |
| **Опис**                | Зловмисник публікує шкідливий Skill у ClawHub                                  |
| **Вектор атаки**        | Створення облікового запису, публікація Skill із прихованим шкідливим кодом    |
| **Уражені компоненти**  | ClawHub, завантаження Skill, виконання агента                                  |
| **Поточні пом’якшення** | Перевірка віку облікового запису GitHub, прапорці модерації на основі шаблонів |
| **Залишковий ризик**    | Критичний - немає ізоляції, обмежена перевірка                                 |
| **Рекомендації**        | Інтеграція VirusTotal (у процесі), ізоляція Skill, перевірка спільнотою        |

#### T-PERSIST-002: Отруєння оновлення Skill

| Атрибут                 | Значення                                                                    |
| ----------------------- | --------------------------------------------------------------------------- |
| **Ідентифікатор ATLAS** | AML.T0010.001 - Компрометація ланцюга постачання: програмне забезпечення ШІ |
| **Опис**                | Зловмисник компрометує популярний Skill і надсилає шкідливе оновлення       |
| **Вектор атаки**        | Компрометація облікового запису, соціальна інженерія власника Skill         |
| **Уражені компоненти**  | Версіонування ClawHub, потоки автооновлення                                 |
| **Поточні пом’якшення** | Фінгерпринтинг версій                                                       |
| **Залишковий ризик**    | Високий - автооновлення можуть підтягнути шкідливі версії                   |
| **Рекомендації**        | Реалізувати підписування оновлень, можливість відкату, закріплення версій   |

#### T-PERSIST-003: Підробка конфігурації агента

| Атрибут                 | Значення                                                                 |
| ----------------------- | ------------------------------------------------------------------------ |
| **Ідентифікатор ATLAS** | AML.T0010.002 - Компрометація ланцюга постачання: дані                   |
| **Опис**                | Зловмисник змінює конфігурацію агента, щоб зберегти доступ               |
| **Вектор атаки**        | Зміна файлу конфігурації, ін’єкція налаштувань                           |
| **Уражені компоненти**  | Конфігурація агента, політики інструментів                               |
| **Поточні пом’якшення** | Дозволи файлів                                                           |
| **Залишковий ризик**    | Середній - потребує локального доступу                                   |
| **Рекомендації**        | Перевірка цілісності конфігурації, журналювання аудиту змін конфігурації |

***

### 3.5 Ухилення від захисту (AML.TA0007)

#### T-EVADE-001: Обхід шаблонів модерації

| Атрибут                 | Значення                                                                      |
| ----------------------- | ----------------------------------------------------------------------------- |
| **Ідентифікатор ATLAS** | AML.T0043 - Створення ворожих даних                                           |
| **Опис**                | Зловмисник створює вміст Skill, щоб уникнути шаблонів модерації               |
| **Вектор атаки**        | Unicode-омогліфи, прийоми кодування, динамічне завантаження                   |
| **Уражені компоненти**  | moderation.ts ClawHub                                                         |
| **Поточні пом’якшення** | FLAG\_RULES на основі шаблонів                                                |
| **Залишковий ризик**    | Високий - простий regex легко обходиться                                      |
| **Рекомендації**        | Додати поведінковий аналіз (VirusTotal Code Insight), виявлення на основі AST |

#### T-EVADE-002: Вихід за межі обгортки вмісту

| Атрибут                        | Значення                                                           |
| ------------------------------ | ------------------------------------------------------------------ |
| **Ідентифікатор ATLAS**        | AML.T0043 - Створення змагальних даних                             |
| **Опис**                       | Зловмисник створює вміст, що виходить із контексту XML-обгортки    |
| **Вектор атаки**               | Маніпуляція тегами, плутанина контексту, перевизначення інструкцій |
| **Уражені компоненти**         | Обгортання зовнішнього вмісту                                      |
| **Поточні засоби пом'якшення** | XML-теги + повідомлення безпеки                                    |
| **Залишковий ризик**           | Середній - Нові способи виходу виявляють регулярно                 |
| **Рекомендації**               | Кілька шарів обгортки, перевірка на боці виводу                    |

***

### 3.6 Виявлення (AML.TA0008)

#### T-DISC-001: Перелічення інструментів

| Атрибут                        | Значення                                                |
| ------------------------------ | ------------------------------------------------------- |
| **Ідентифікатор ATLAS**        | AML.T0040 - Доступ до API інференсу моделі ШІ           |
| **Опис**                       | Зловмисник перелічує доступні інструменти через промпти |
| **Вектор атаки**               | Запити на кшталт "Які інструменти у вас є?"             |
| **Уражені компоненти**         | Реєстр інструментів агента                              |
| **Поточні засоби пом'якшення** | Немає специфічних                                       |
| **Залишковий ризик**           | Низький - Інструменти зазвичай задокументовані          |
| **Рекомендації**               | Розглянути засоби керування видимістю інструментів      |

#### T-DISC-002: Витягування даних сеансу

| Атрибут                        | Значення                                           |
| ------------------------------ | -------------------------------------------------- |
| **Ідентифікатор ATLAS**        | AML.T0040 - Доступ до API інференсу моделі ШІ      |
| **Опис**                       | Зловмисник витягує чутливі дані з контексту сеансу |
| **Вектор атаки**               | Запити "Що ми обговорювали?", зондування контексту |
| **Уражені компоненти**         | Транскрипти сеансів, контекстне вікно              |
| **Поточні засоби пом'якшення** | Ізоляція сеансу для кожного відправника            |
| **Залишковий ризик**           | Середній - Дані в межах сеансу доступні            |
| **Рекомендації**               | Реалізувати редагування чутливих даних у контексті |

***

### 3.7 Збирання та ексфільтрація (AML.TA0009, AML.TA0010)

#### T-EXFIL-001: Крадіжка даних через web\_fetch

| Атрибут                        | Значення                                                                             |
| ------------------------------ | ------------------------------------------------------------------------------------ |
| **Ідентифікатор ATLAS**        | AML.T0009 - Збирання                                                                 |
| **Опис**                       | Зловмисник ексфільтрує дані, інструктуючи агента надсилати їх на зовнішню URL-адресу |
| **Вектор атаки**               | Ін'єкція промпта, що змушує агента виконати POST даних на сервер зловмисника         |
| **Уражені компоненти**         | Інструмент web\_fetch                                                                |
| **Поточні засоби пом'якшення** | Блокування SSRF для внутрішніх мереж                                                 |
| **Залишковий ризик**           | Високий - Зовнішні URL-адреси дозволені                                              |
| **Рекомендації**               | Реалізувати список дозволених URL-адрес, обізнаність про класифікацію даних          |

#### T-EXFIL-002: Несанкціоноване надсилання повідомлень

| Атрибут                        | Значення                                                                 |
| ------------------------------ | ------------------------------------------------------------------------ |
| **Ідентифікатор ATLAS**        | AML.T0009 - Збирання                                                     |
| **Опис**                       | Зловмисник змушує агента надсилати повідомлення, що містять чутливі дані |
| **Вектор атаки**               | Ін'єкція промпта, що змушує агента надіслати повідомлення зловмиснику    |
| **Уражені компоненти**         | Інструмент повідомлень, інтеграції каналів                               |
| **Поточні засоби пом'якшення** | Контроль вихідних повідомлень                                            |
| **Залишковий ризик**           | Середній - Контроль може бути обійдений                                  |
| **Рекомендації**               | Вимагати явного підтвердження для нових отримувачів                      |

#### T-EXFIL-003: Збирання облікових даних

| Атрибут                        | Значення                                                 |
| ------------------------------ | -------------------------------------------------------- |
| **Ідентифікатор ATLAS**        | AML.T0009 - Збирання                                     |
| **Опис**                       | Шкідлива Skills збирає облікові дані з контексту агента  |
| **Вектор атаки**               | Код Skills читає змінні середовища, конфігураційні файли |
| **Уражені компоненти**         | Середовище виконання Skills                              |
| **Поточні засоби пом'якшення** | Немає специфічних для Skills                             |
| **Залишковий ризик**           | Критичний - Skills виконуються з привілеями агента       |
| **Рекомендації**               | Ізоляція Skills у пісочниці, ізоляція облікових даних    |

***

### 3.8 Вплив (AML.TA0011)

#### T-IMPACT-001: Несанкціоноване виконання команд

| Атрибут                        | Значення                                                               |
| ------------------------------ | ---------------------------------------------------------------------- |
| **Ідентифікатор ATLAS**        | AML.T0031 - Підрив цілісності моделі ШІ                                |
| **Опис**                       | Зловмисник виконує довільні команди в системі користувача              |
| **Вектор атаки**               | Ін'єкція промпта в поєднанні з обходом підтвердження exec              |
| **Уражені компоненти**         | Інструмент Bash, виконання команд                                      |
| **Поточні засоби пом'якшення** | Підтвердження exec, опція пісочниці Docker                             |
| **Залишковий ризик**           | Критичний - Виконання на хості без пісочниці                           |
| **Рекомендації**               | Використовувати пісочницю за замовчуванням, покращити UX підтвердження |

#### T-IMPACT-002: Вичерпання ресурсів (DoS)

| Атрибут                        | Значення                                                                             |
| ------------------------------ | ------------------------------------------------------------------------------------ |
| **Ідентифікатор ATLAS**        | AML.T0031 - Підрив цілісності моделі ШІ                                              |
| **Опис**                       | Зловмисник вичерпує API-кредити або обчислювальні ресурси                            |
| **Вектор атаки**               | Автоматизоване надсилання великої кількості повідомлень, дорогі виклики інструментів |
| **Уражені компоненти**         | Gateway, сеанси агента, постачальник API                                             |
| **Поточні засоби пом'якшення** | Немає                                                                                |
| **Залишковий ризик**           | Високий - Немає обмеження частоти                                                    |
| **Рекомендації**               | Реалізувати обмеження частоти для кожного відправника, бюджети витрат                |

#### T-IMPACT-003: Репутаційна шкода

| Атрибут                        | Значення                                                      |
| ------------------------------ | ------------------------------------------------------------- |
| **Ідентифікатор ATLAS**        | AML.T0031 - Підрив цілісності моделі ШІ                       |
| **Опис**                       | Зловмисник змушує агента надсилати шкідливий/образливий вміст |
| **Вектор атаки**               | Ін'єкція промпта, що спричиняє неприйнятні відповіді          |
| **Уражені компоненти**         | Генерація виводу, повідомлення в каналах                      |
| **Поточні засоби пом'якшення** | Політики вмісту постачальника LLM                             |
| **Залишковий ризик**           | Середній - Фільтри постачальника недосконалі                  |
| **Рекомендації**               | Шар фільтрації виводу, засоби керування для користувача       |

***

## 4. Аналіз ланцюга постачання ClawHub

### 4.1 Поточні засоби контролю безпеки

| Засіб контролю               | Реалізація                  | Ефективність                                                          |
| ---------------------------- | --------------------------- | --------------------------------------------------------------------- |
| Вік облікового запису GitHub | `requireGitHubAccountAge()` | Середня - Підвищує поріг для нових зловмисників                       |
| Санітизація шляху            | `sanitizePath()`            | Висока - Запобігає обходу шляху                                       |
| Перевірка типу файлу         | `isTextFile()`              | Середня - Лише текстові файли, але вони все ще можуть бути шкідливими |
| Обмеження розміру            | Загальний пакет 50 МБ       | Висока - Запобігає вичерпанню ресурсів                                |
| Обов'язковий SKILL.md        | Обов'язковий файл readme    | Низька цінність для безпеки - Лише інформаційно                       |
| Модерація за шаблонами       | FLAG\_RULES у moderation.ts | Низька - Легко обходиться                                             |
| Статус модерації             | Поле `moderationStatus`     | Середня - Можливий ручний перегляд                                    |

### 4.2 Шаблони прапорців модерації

Поточні шаблони в `moderation.ts`:

```javascript theme={"theme":{"light":"min-light","dark":"min-dark"}}
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
```

**Обмеження:**

* Перевіряє лише slug, displayName, summary, frontmatter, metadata, шляхи файлів
* Не аналізує фактичний вміст коду Skills
* Простий regex легко обходиться за допомогою обфускації
* Немає поведінкового аналізу

### 4.3 Заплановані покращення

| Покращення            | Статус                                  | Вплив                                                                   |
| --------------------- | --------------------------------------- | ----------------------------------------------------------------------- |
| Інтеграція VirusTotal | У роботі                                | Високий - Поведінковий аналіз Code Insight                              |
| Звітування спільноти  | Частково (таблиця `skillReports` існує) | Середній                                                                |
| Журналювання аудиту   | Частково (таблиця `auditLogs` існує)    | Середній                                                                |
| Система бейджів       | Реалізовано                             | Середній - `highlighted`, `official`, `deprecated`, `redactionApproved` |

***

## 5. Матриця ризиків

### 5.1 Ймовірність проти впливу

| Ідентифікатор загрози | Ймовірність | Вплив     | Рівень ризику | Пріоритет |
| --------------------- | ----------- | --------- | ------------- | --------- |
| T-EXEC-001            | Висока      | Критичний | **Критичний** | P0        |
| T-PERSIST-001         | Висока      | Критичний | **Критичний** | P0        |
| T-EXFIL-003           | Середня     | Критичний | **Критичний** | P0        |
| T-IMPACT-001          | Середня     | Критичний | **Високий**   | P1        |
| T-EXEC-002            | Висока      | Високий   | **Високий**   | P1        |
| T-EXEC-004            | Середня     | Високий   | **Високий**   | P1        |
| T-ACCESS-003          | Середня     | Високий   | **Високий**   | P1        |
| T-EXFIL-001           | Середня     | Високий   | **Високий**   | P1        |
| T-IMPACT-002          | Висока      | Середній  | **Високий**   | P1        |
| T-EVADE-001           | Висока      | Середній  | **Середній**  | P2        |
| T-ACCESS-001          | Низька      | Високий   | **Середній**  | P2        |
| T-ACCESS-002          | Низька      | Високий   | **Середній**  | P2        |
| T-PERSIST-002         | Низька      | Високий   | **Середній**  | P2        |

### 5.2 Критичні ланцюги атак

**Ланцюг атаки 1: Крадіжка даних на основі Skills**

```
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
```

**Ланцюг атаки 2: Ін'єкція промпта до RCE**

```
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
```

**Ланцюг атаки 3: Непряма ін'єкція через отриманий вміст**

```
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)
```

***

## 6. Підсумок рекомендацій

### 6.1 Негайні (P0)

| ID    | Рекомендація                             | Усуває                     |
| ----- | ---------------------------------------- | -------------------------- |
| R-001 | Завершити інтеграцію VirusTotal          | T-PERSIST-001, T-EVADE-001 |
| R-002 | Реалізувати ізоляцію навичок             | T-PERSIST-001, T-EXFIL-003 |
| R-003 | Додати перевірку виводу для чутливих дій | T-EXEC-001, T-EXEC-002     |

### 6.2 Короткостроково (P1)

| ID    | Рекомендація                                     | Усуває       |
| ----- | ------------------------------------------------ | ------------ |
| R-004 | Реалізувати обмеження частоти                    | T-IMPACT-002 |
| R-005 | Додати шифрування токенів у стані спокою         | T-ACCESS-003 |
| R-006 | Покращити UX схвалення exec і перевірку          | T-EXEC-004   |
| R-007 | Реалізувати список дозволених URL для web\_fetch | T-EXFIL-001  |

### 6.3 Середньостроково (P2)

| ID    | Рекомендація                                        | Усуває        |
| ----- | --------------------------------------------------- | ------------- |
| R-008 | Додати криптографічну перевірку каналів, де можливо | T-ACCESS-002  |
| R-009 | Реалізувати перевірку цілісності конфігурації       | T-PERSIST-003 |
| R-010 | Додати підписування оновлень і закріплення версій   | T-PERSIST-002 |

***

## 7. Додатки

### 7.1 Зіставлення технік ATLAS

| ID ATLAS      | Назва техніки                     | Загрози OpenClaw                                                 |
| ------------- | --------------------------------- | ---------------------------------------------------------------- |
| AML.T0006     | Активне сканування                | T-RECON-001, T-RECON-002                                         |
| AML.T0009     | Збирання                          | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003                            |
| AML.T0010.001 | Ланцюг постачання: ПЗ AI          | T-PERSIST-001, T-PERSIST-002                                     |
| AML.T0010.002 | Ланцюг постачання: дані           | T-PERSIST-003                                                    |
| AML.T0031     | Порушення цілісності моделі AI    | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003                         |
| AML.T0040     | Доступ до API виведення моделі AI | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043     | Створення змагальних даних        | T-EXEC-004, T-EVADE-001, T-EVADE-002                             |
| AML.T0051.000 | Ін’єкція підказки LLM: пряма      | T-EXEC-001, T-EXEC-003                                           |
| AML.T0051.001 | Ін’єкція підказки LLM: непряма    | T-EXEC-002                                                       |

### 7.2 Ключові файли безпеки

| Шлях                                | Призначення                        | Рівень ризику |
| ----------------------------------- | ---------------------------------- | ------------- |
| `src/infra/exec-approvals.ts`       | Логіка схвалення команд            | **Критичний** |
| `src/gateway/auth.ts`               | Автентифікація Gateway             | **Критичний** |
| `src/infra/net/ssrf.ts`             | Захист від SSRF                    | **Критичний** |
| `src/security/external-content.ts`  | Пом’якшення ін’єкцій підказок      | **Критичний** |
| `src/agents/sandbox/tool-policy.ts` | Застосування політики інструментів | **Критичний** |
| `src/routing/resolve-route.ts`      | Ізоляція сеансів                   | **Середній**  |

### 7.3 Глосарій

| Термін                | Визначення                                                         |
| --------------------- | ------------------------------------------------------------------ |
| **ATLAS**             | Ландшафт змагальних загроз MITRE для систем AI                     |
| **ClawHub**           | Маркетплейс навичок OpenClaw                                       |
| **Gateway**           | Шар маршрутизації повідомлень і автентифікації OpenClaw            |
| **MCP**               | Model Context Protocol - інтерфейс постачальника інструментів      |
| **Ін’єкція підказки** | Атака, під час якої шкідливі інструкції вбудовуються у вхідні дані |
| **Skill**             | Завантажуване розширення для агентів OpenClaw                      |
| **SSRF**              | Server-Side Request Forgery                                        |

***

*Ця модель загроз є живим документом. Повідомляйте про проблеми безпеки на [security@openclaw.ai](mailto:security@openclaw.ai)*

## Пов’язане

* [Формальна верифікація](/uk/security/formal-verification)
* [Участь у розробці моделі загроз](/uk/security/CONTRIBUTING-THREAT-MODEL)
