Skip to main content

Documentation Index

Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

MITRE ATLAS 框架

版本: 1.0-draft 最后更新: 2026-02-04 方法论: MITRE ATLAS + 数据流图 框架: MITRE ATLAS(AI 系统对抗性威胁态势)

框架归属说明

本威胁模型基于 MITRE ATLAS 构建,这是用于记录 AI/ML 系统对抗性威胁的行业标准框架。ATLAS 由 MITRE 与 AI 安全社区协作维护。 主要 ATLAS 资源:

为本威胁模型贡献

这是一份由 OpenClaw 社区维护的活文档。请参阅 CONTRIBUTING-THREAT-MODEL.md,了解贡献指南:
  • 报告新威胁
  • 更新现有威胁
  • 提议攻击链
  • 建议缓解措施

1. 简介

1.1 目的

本威胁模型使用专为 AI/ML 系统设计的 MITRE ATLAS 框架,记录 OpenClaw AI 智能体平台和 ClawHub skill 市场面临的对抗性威胁。

1.2 范围

组件包含说明
OpenClaw Agent Runtime核心智能体执行、工具调用、会话
Gateway 网关身份验证、路由、渠道集成
渠道集成WhatsApp、Telegram、Discord、Signal、Slack 等。
ClawHub 市场Skill 发布、审核、分发
MCP 服务器外部工具提供商
用户设备部分移动应用、桌面客户端

1.3 范围外

本威胁模型没有明确排除任何内容。

2. 系统架构

2.1 信任边界

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 数据流

流程来源目标数据保护措施
F1渠道Gateway 网关用户消息TLS、AllowFrom
F2Gateway 网关智能体路由后的消息会话隔离
F3智能体工具工具调用策略强制执行
F4智能体外部web_fetch 请求SSRF 阻断
F5ClawHub智能体Skill 代码审核、扫描
F6智能体渠道响应输出过滤

3. 按 ATLAS 战术进行威胁分析

3.1 侦察(AML.TA0002)

T-RECON-001:智能体端点发现

属性
ATLAS IDAML.T0006 - 主动扫描
描述攻击者扫描暴露的 OpenClaw gateway 端点
攻击向量网络扫描、Shodan 查询、DNS 枚举
受影响组件Gateway 网关、暴露的 API 端点
当前缓解措施Tailscale 身份验证选项,默认绑定到 loopback
剩余风险中等 - 公开 gateway 可被发现
建议记录安全部署方式,在发现端点上添加速率限制

T-RECON-002:渠道集成探测

属性
ATLAS IDAML.T0006 - 主动扫描
描述攻击者探测消息渠道以识别由 AI 管理的账号
攻击向量发送测试消息,观察响应模式
受影响组件所有渠道集成
当前缓解措施无特定措施
残余风险低 - 单独发现目标的价值有限
建议考虑响应时间随机化

3.2 初始访问 (AML.TA0004)

T-ACCESS-001:配对码拦截

属性
ATLAS IDAML.T0040 - AI 模型推理 API 访问
描述攻击者在配对宽限期内拦截配对码(私信渠道配对为 1 小时,节点配对为 5 分钟)
攻击向量肩窥、网络嗅探、社会工程
受影响组件设备配对系统
当前缓解措施1 小时过期(私信配对)/ 5 分钟过期(节点配对),代码通过现有渠道发送
残余风险中 - 宽限期可被利用
建议缩短宽限期,添加确认步骤

T-ACCESS-002:AllowFrom 欺骗

属性
ATLAS IDAML.T0040 - AI 模型推理 API 访问
描述攻击者在渠道中伪造被允许的发送者身份
攻击向量取决于渠道 - 电话号码欺骗、用户名冒充
受影响组件每个渠道的 AllowFrom 验证
当前缓解措施特定于渠道的身份验证
残余风险中 - 一些渠道容易受到欺骗
建议记录特定渠道的风险,并在可能时添加加密验证

T-ACCESS-003:令牌窃取

属性
ATLAS IDAML.T0040 - AI 模型推理 API 访问
描述攻击者从配置文件窃取身份验证令牌
攻击向量恶意软件、未经授权的设备访问、配置备份暴露
受影响组件~/.openclaw/credentials/、配置存储
当前缓解措施文件权限
残余风险高 - 令牌以明文存储
建议实现静态令牌加密,添加令牌轮换

3.3 执行 (AML.TA0005)

T-EXEC-001:直接提示注入

属性
ATLAS IDAML.T0051.000 - LLM 提示注入:直接
描述攻击者发送精心构造的提示来操纵智能体行为
攻击向量包含对抗性指令的渠道消息
受影响组件智能体 LLM、所有输入表面
当前缓解措施模式检测、外部内容包装
残余风险严重 - 仅检测,不阻止;复杂攻击可绕过
建议实现多层防御、输出验证,并对敏感操作要求用户确认

T-EXEC-002:间接提示注入

属性
ATLAS IDAML.T0051.001 - LLM 提示注入:间接
描述攻击者在获取的内容中嵌入恶意指令
攻击向量恶意 URL、被投毒的邮件、被攻陷的 webhook
受影响组件web_fetch、邮件摄取、外部数据源
当前缓解措施使用 XML 标签和安全通知进行内容包装
残余风险高 - LLM 可能忽略包装指令
建议实现内容清理,分离执行上下文

T-EXEC-003:工具参数注入

属性
ATLAS IDAML.T0051.000 - LLM 提示注入:直接
描述攻击者通过提示注入操纵工具参数
攻击向量会影响工具参数值的精心构造提示
受影响组件所有工具调用
当前缓解措施对危险命令进行 exec 审批
残余风险高 - 依赖用户判断
建议实现参数验证、参数化工具调用

T-EXEC-004:绕过 Exec 审批

属性
ATLAS IDAML.T0043 - 构造对抗性数据
描述攻击者构造可绕过审批允许列表的命令
攻击向量命令混淆、别名利用、路径操纵
受影响组件exec-approvals.ts、命令允许列表
当前缓解措施允许列表 + 询问模式
残余风险高 - 无命令清理
建议实现命令规范化,扩展阻止列表

3.4 持久化 (AML.TA0006)

T-PERSIST-001:恶意 Skill 安装

属性
ATLAS IDAML.T0010.001 - 供应链攻陷:AI 软件
描述攻击者向 ClawHub 发布恶意 skill
攻击向量创建账号,发布带有隐藏恶意代码的 skill
受影响组件ClawHub、skill 加载、智能体执行
当前缓解措施GitHub 账号年龄验证、基于模式的审核标记
残余风险严重 - 无沙箱隔离,审查有限
建议VirusTotal 集成(进行中)、skill 沙箱隔离、社区审查

T-PERSIST-002:Skill 更新投毒

属性
ATLAS IDAML.T0010.001 - 供应链攻陷:AI 软件
描述攻击者攻陷热门 skill 并推送恶意更新
攻击向量账号被攻陷、对 skill 所有者进行社会工程
受影响组件ClawHub 版本管理、自动更新流程
当前缓解措施版本指纹
残余风险高 - 自动更新可能拉取恶意版本
建议实现更新签名、回滚能力、版本固定

T-PERSIST-003:智能体配置篡改

属性
ATLAS IDAML.T0010.002 - 供应链攻陷:数据
描述攻击者修改智能体配置以持久化访问权限
攻击向量配置文件修改、设置注入
受影响组件智能体配置、工具策略
当前缓解措施文件权限
残余风险中 - 需要本地访问
建议配置完整性验证、配置更改审计日志

3.5 防御规避 (AML.TA0007)

T-EVADE-001:绕过审核模式

属性
ATLAS IDAML.T0043 - 构造对抗性数据
描述攻击者构造 skill 内容以规避审核模式
攻击向量Unicode 同形异义字符、编码技巧、动态加载
受影响组件ClawHub moderation.ts
当前缓解措施基于模式的 FLAG_RULES
残余风险高 - 简单正则很容易被绕过
建议添加行为分析(VirusTotal Code Insight)、基于 AST 的检测

T-EVADE-002:内容包装器逃逸

属性
ATLAS IDAML.T0043 - 构造对抗性数据
描述攻击者构造会逃逸 XML 包装器上下文的内容
攻击向量标签操纵、上下文混淆、指令覆盖
受影响组件外部内容包装
当前缓解措施XML 标签 + 安全提示
残余风险中等 - 新型逃逸方式经常被发现
建议多层包装器、输出侧验证

3.6 设备发现 (AML.TA0008)

T-DISC-001:工具枚举

属性
ATLAS IDAML.T0040 - AI 模型推理 API 访问
描述攻击者通过提示词枚举可用工具
攻击向量“你有哪些工具?”风格的查询
受影响组件Agent 工具注册表
当前缓解措施无特定措施
残余风险低 - 工具通常已有文档说明
建议考虑工具可见性控制

T-DISC-002:会话数据提取

属性
ATLAS IDAML.T0040 - AI 模型推理 API 访问
描述攻击者从会话上下文中提取敏感数据
攻击向量“我们讨论过什么?”查询、上下文探测
受影响组件会话转录记录、上下文窗口
当前缓解措施按发送者进行会话隔离
残余风险中等 - 会话内数据可访问
建议在上下文中实现敏感数据脱敏

3.7 收集与外泄 (AML.TA0009, AML.TA0010)

T-EXFIL-001:通过 web_fetch 窃取数据

属性
ATLAS IDAML.T0009 - 收集
描述攻击者通过指示智能体发送到外部 URL 来外泄数据
攻击向量提示词注入导致智能体将数据 POST 到攻击者服务器
受影响组件web_fetch 工具
当前缓解措施针对内部网络的 SSRF 阻断
残余风险高 - 允许外部 URL
建议实现 URL 允许列表、数据分类感知

T-EXFIL-002:未经授权发送消息

属性
ATLAS IDAML.T0009 - 收集
描述攻击者导致智能体发送包含敏感数据的消息
攻击向量提示词注入导致智能体向攻击者发送消息
受影响组件消息工具、渠道集成
当前缓解措施外发消息门控
残余风险中等 - 门控可能被绕过
建议对新接收者要求显式确认

T-EXFIL-003:凭证收集

属性
ATLAS IDAML.T0009 - 收集
描述恶意技能从智能体上下文中收集凭证
攻击向量技能代码读取环境变量、配置文件
受影响组件技能执行环境
当前缓解措施没有针对技能的特定措施
残余风险严重 - Skills 以智能体权限运行
建议技能沙箱隔离、凭证隔离

3.8 影响 (AML.TA0011)

T-IMPACT-001:未经授权的命令执行

属性
ATLAS IDAML.T0031 - 侵蚀 AI 模型完整性
描述攻击者在用户系统上执行任意命令
攻击向量提示词注入结合执行审批绕过
受影响组件Bash 工具、命令执行
当前缓解措施执行审批、Docker 沙箱选项
残余风险严重 - 无沙箱的主机执行
建议默认启用沙箱,改进审批用户体验

T-IMPACT-002:资源耗尽 (DoS)

属性
ATLAS IDAML.T0031 - 侵蚀 AI 模型完整性
描述攻击者耗尽 API 点数或计算资源
攻击向量自动化消息洪泛、高成本工具调用
受影响组件Gateway 网关、智能体会话、API 提供商
当前缓解措施
残余风险高 - 无速率限制
建议实现按发送者的速率限制、成本预算

T-IMPACT-003:声誉损害

属性
ATLAS IDAML.T0031 - 侵蚀 AI 模型完整性
描述攻击者导致智能体发送有害或冒犯性内容
攻击向量提示词注入导致不当响应
受影响组件输出生成、渠道消息
当前缓解措施LLM 提供商内容策略
残余风险中等 - 提供商过滤器并不完善
建议输出过滤层、用户控制

4. ClawHub 供应链分析

4.1 当前安全控制措施

控制措施实现有效性
GitHub 账号年限requireGitHubAccountAge()中等 - 提高新攻击者的门槛
路径清理sanitizePath()高 - 防止路径遍历
文件类型验证isTextFile()中等 - 仅限文本文件,但仍可能是恶意文件
大小限制总包 50MB高 - 防止资源耗尽
必需的 SKILL.md强制自述文件安全价值低 - 仅作信息说明
模式审核moderation.ts 中的 FLAG_RULES低 - 容易绕过
审核状态moderationStatus 字段中等 - 可进行人工审核

4.2 审核标记模式

moderation.ts 中的当前模式: 
// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
限制:
  • 仅检查 slug、displayName、summary、frontmatter、metadata、文件路径
  • 不分析实际技能代码内容
  • 简单正则表达式容易通过混淆绕过
  • 无行为分析

4.3 计划改进

改进状态影响
VirusTotal 集成进行中高 - Code Insight 行为分析
社区举报部分实现(skillReports 表已存在)中等
审计日志部分实现(auditLogs 表已存在)中等
徽章系统已实现中等 - highlightedofficialdeprecatedredactionApproved

5. 风险矩阵

5.1 可能性与影响

威胁 ID可能性影响风险等级优先级
T-EXEC-001严重严重P0
T-PERSIST-001严重严重P0
T-EXFIL-003中等严重严重P0
T-IMPACT-001中等严重P1
T-EXEC-002P1
T-EXEC-004中等P1
T-ACCESS-003中等P1
T-EXFIL-001中等P1
T-IMPACT-002中等P1
T-EVADE-001中等中等P2
T-ACCESS-001中等P2
T-ACCESS-002中等P2
T-PERSIST-002中等P2

5.2 关键路径攻击链

攻击链 1:基于技能的数据窃取 
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)
攻击链 2:从提示词注入到 RCE 
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)
攻击链 3:通过获取内容进行间接注入 
T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. 建议摘要

6.1 立即处理 (P0)

ID建议处理的问题
R-001完成 VirusTotal 集成T-PERSIST-001, T-EVADE-001
R-002实现技能沙箱隔离T-PERSIST-001, T-EXFIL-003
R-003为敏感操作添加输出验证T-EXEC-001, T-EXEC-002

6.2 短期(P1)

ID建议处理的问题
R-004实现速率限制T-IMPACT-002
R-005添加静态存储令牌加密T-ACCESS-003
R-006改进 exec 审批 UX 和验证T-EXEC-004
R-007为 web_fetch 实现 URL 允许列表T-EXFIL-001

6.3 中期(P2)

ID建议处理的问题
R-008在可行处添加加密频道验证T-ACCESS-002
R-009实现配置完整性验证T-PERSIST-003
R-010添加更新签名和版本固定T-PERSIST-002

7. 附录

7.1 ATLAS 技术映射

ATLAS ID技术名称OpenClaw 威胁
AML.T0006主动扫描T-RECON-001, T-RECON-002
AML.T0009收集T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001供应链:AI 软件T-PERSIST-001, T-PERSIST-002
AML.T0010.002供应链:数据T-PERSIST-003
AML.T0031侵蚀 AI 模型完整性T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040AI 模型推理 API 访问T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043构造对抗性数据T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000LLM 提示注入:直接T-EXEC-001, T-EXEC-003
AML.T0051.001LLM 提示注入:间接T-EXEC-002

7.2 关键安全文件

路径用途风险级别
src/infra/exec-approvals.ts命令审批逻辑严重
src/gateway/auth.tsGateway 网关身份验证严重
src/infra/net/ssrf.tsSSRF 防护严重
src/security/external-content.ts提示注入缓解严重
src/agents/sandbox/tool-policy.ts工具策略执行严重
src/routing/resolve-route.ts会话隔离中等

7.3 术语表

术语定义
ATLASMITRE 的 AI 系统对抗性威胁态势
ClawHubOpenClaw 的技能市场
Gateway 网关OpenClaw 的消息路由和身份验证层
MCPModel Context Protocol - 工具提供商接口
提示注入恶意指令嵌入输入中的攻击
SkillOpenClaw 智能体的可下载扩展
SSRF服务器端请求伪造
此威胁模型是一份持续更新的文档。请将安全问题报告至 security@openclaw.ai

相关内容