跳轉到主要內容
版本: 1.0-draft | 框架: MITRE ATLAS(AI 系統對抗性威脅態勢)+ 資料流程圖 此威脅模型記錄 OpenClaw AI 代理平台與 ClawHub 技能市集面臨的對抗性威脅。這是一份由 OpenClaw 社群維護的動態文件。請參閱為威脅模型做出貢獻,了解如何回報新威脅、提出攻擊鏈,或建議緩解措施。 主要 ATLAS 資源: 技術 | 戰術 | 案例研究 | ATLAS GitHub | 為 ATLAS 做出貢獻

1. 範圍

元件納入備註
OpenClaw 代理執行環境核心代理執行、工具呼叫、工作階段
閘道驗證、路由、通道整合
通道整合WhatsApp、Telegram、Discord、Signal、Slack 等
ClawHub 市集技能發布、審核、散發
MCP 伺服器外部工具提供者
使用者裝置部分行動應用程式、桌面用戶端
超出範圍的回報與誤判模式(公開網際網路暴露、沒有邊界繞過的純提示注入鏈、互不信任的操作員共用同一個閘道主機,以及其他情況)列舉於 SECURITY.md;該檔案是目前漏洞回報範圍的事實來源,而不是本頁。

2. 系統架構

2.1 信任邊界

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device pairing (1h DM pairing / 5m node pairing TTL)   │   │
│  │  • AllowFrom / allowlist validation                       │   │
│  │  • Token / password / Tailscale auth                      │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox (default) or host (exec approvals)      │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (random-boundary XML tags)   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Static pattern + AST-adjacent moderation scanning      │   │
│  │  • LLM-based agentic risk review + VirusTotal scanning    │   │
│  │  • GitHub account age verification (14 days)              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 資料流程

流程來源目的地資料保護措施
F1通道閘道使用者訊息TLS、AllowFrom
F2閘道代理路由訊息工作階段隔離
F3代理工具工具叫用政策強制執行
F4代理外部web_fetch requestsSSRF 封鎖
F5ClawHub代理技能程式碼審核、掃描
F6代理通道回應輸出過濾

3. 依 ATLAS 戰術進行威脅分析

3.1 偵察 (AML.TA0002)

T-RECON-001:代理端點探索

屬性
ATLAS IDAML.T0006 - 主動掃描
描述攻擊者掃描暴露的 OpenClaw 閘道端點
攻擊向量網路掃描、Shodan 查詢、DNS 列舉
受影響元件閘道、暴露的 API 端點
目前緩解措施Tailscale 驗證選項、預設繫結至 local loopback
殘餘風險中 - 公開閘道可被發現
建議記錄安全部署方式、在探索端點加入速率限制

T-RECON-002:通道整合探測

屬性
ATLAS IDAML.T0006 - 主動掃描
描述攻擊者探測訊息通道以識別由 AI 管理的帳號
攻擊向量傳送測試訊息、觀察回應模式
受影響元件所有通道整合
目前緩解措施無特定措施
殘餘風險低 - 單靠探索的價值有限
建議考慮將回應時間隨機化

3.2 初始存取 (AML.TA0004)

T-ACCESS-001:配對碼攔截

屬性
ATLAS IDAML.T0040 - AI 模型推論 API 存取
說明攻擊者在配對視窗期間攔截配對碼(1 小時 DM/一般配對、5 分鐘節點配對)
攻擊向量肩窺、網路嗅探、社交工程
受影響元件裝置配對系統
目前緩解措施1 小時 TTL(DM/一般配對)、5 分鐘 TTL(節點配對);代碼透過現有通道傳送
殘餘風險中 - 配對視窗可被利用
建議縮短配對視窗,新增確認步驟

T-ACCESS-002: AllowFrom 偽冒

屬性
ATLAS IDAML.T0040 - AI 模型推論 API 存取
說明攻擊者在通道上偽冒允許的寄件者身分
攻擊向量取決於通道 - 電話號碼偽冒、使用者名稱冒充
受影響元件每通道 AllowFrom 驗證
目前緩解措施通道特定的身分驗證
殘餘風險中 - 某些通道仍容易遭到偽冒
建議記錄通道特定風險,盡可能加入加密驗證

T-ACCESS-003: 權杖竊取

屬性
ATLAS IDAML.T0040 - AI 模型推論 API 存取
說明攻擊者從設定/憑證檔案竊取驗證權杖
攻擊向量惡意軟體、未授權的裝置存取、設定備份暴露
受影響元件通道/提供者憑證儲存、設定儲存
目前緩解措施檔案權限
殘餘風險高 - 權杖以明文儲存在磁碟上
建議實作靜態權杖加密,新增權杖輪換

3.3 執行 (AML.TA0005)

T-EXEC-001: 直接提示注入

屬性
ATLAS IDAML.T0051.000 - LLM 提示注入:直接
說明攻擊者傳送特製提示以操控代理程式行為
攻擊向量包含對抗性指令的通道訊息
受影響元件代理程式 LLM、所有輸入介面
目前緩解措施模式偵測、外部內容包裝;若未繞過邊界,會視為漏洞回報範圍外(請參閱 SECURITY.md
殘餘風險嚴重 - 僅偵測、不封鎖;精密攻擊可繞過
建議對敏感操作進行輸出驗證與使用者確認,並疊加於現有偵測之上

T-EXEC-002: 間接提示注入

屬性
ATLAS IDAML.T0051.001 - LLM 提示注入:間接
說明攻擊者在擷取內容中嵌入惡意指令
攻擊向量惡意 URL、遭汙染的電子郵件、遭入侵的網路鉤子
受影響元件web_fetch、電子郵件擷取、外部資料來源
目前緩解措施使用隨機邊界 XML 風格標記進行內容包裝、同形異義字/特殊權杖正規化,以及安全通知
殘餘風險高 - LLM 仍可能忽略包裝指令
建議為包裝內容分離執行內容脈絡

T-EXEC-003: 工具引數注入

屬性
ATLAS IDAML.T0051.000 - LLM 提示注入:直接
說明攻擊者透過提示注入操控工具引數
攻擊向量影響工具參數值的特製提示
受影響元件所有工具叫用
目前緩解措施危險命令的執行核准
殘餘風險高 - 仰賴使用者判斷
建議引數驗證、參數化工具呼叫

T-EXEC-004: 執行核准繞過

屬性
ATLAS IDAML.T0043 - 製作對抗性資料
說明攻擊者製作可繞過核准允許清單的命令
攻擊向量命令混淆、別名利用、路徑操控
受影響元件src/infra/exec-approvals*.ts、命令允許清單
目前緩解措施允許清單 + 詢問模式,加上命令正規化(dispatch-wrapper 解除包裝、inline-eval 偵測、shell-chain 分析)
殘餘風險高 - 正規化可縮小但無法消除混淆繞過;執行路徑之間僅涉及一致性的發現會視為強化,而非漏洞(請參閱 SECURITY.md
建議持續擴展命令正規化涵蓋範圍,以對抗新的混淆技術

3.4 持久化 (AML.TA0006)

T-PERSIST-001: 惡意技能安裝

屬性
ATLAS IDAML.T0010.001 - 供應鏈入侵:AI 軟體
說明攻擊者將惡意技能發布到 ClawHub
攻擊向量建立帳號、發布含有隱藏惡意程式碼的技能
受影響元件ClawHub、技能載入、代理程式執行
目前緩解措施GitHub 帳號年齡驗證、靜態模式/AST 鄰近掃描、LLM 型代理式風險審查、VirusTotal 掃描
殘餘風險高 - 偵測層存在,但技能仍以代理程式權限執行,且沒有執行沙盒
建議技能執行沙盒、擴大社群審查

T-PERSIST-002: 技能更新投毒

屬性
ATLAS IDAML.T0010.001 - 供應鏈入侵:AI 軟體
說明攻擊者入侵熱門技能並推送惡意更新
攻擊向量帳號入侵、對技能擁有者進行社交工程
受影響元件ClawHub 版本管理、自動更新流程
目前緩解措施版本指紋、新版本重新執行審核/掃描
殘餘風險高 - 自動更新可能在審查完成前拉取惡意版本
建議更新簽章、回復能力、版本釘選

T-PERSIST-003: 代理程式設定竄改

屬性
ATLAS IDAML.T0010.002 - 供應鏈入侵:資料
描述攻擊者修改代理設定以持續保有存取權
攻擊向量設定檔修改、設定注入
受影響元件代理設定、工具政策
目前緩解措施檔案權限
殘餘風險中 - 需要本機存取權
建議設定完整性驗證、設定變更的稽核記錄

3.5 防禦規避 (AML.TA0007)

T-EVADE-001:審核模式繞過

屬性
ATLAS IDAML.T0043 - 製作對抗性資料
描述攻擊者製作技能內容以規避 ClawHub 審核檢查
攻擊向量Unicode 同形異義字、編碼技巧、動態載入
受影響元件ClawHub 審核/掃描管線
目前緩解措施靜態模式規則、AST 鄰近程式碼掃描、LLM 代理式風險審查、VirusTotal
殘餘風險中 - 新型混淆仍可能穿過分層啟發式檢查
建議隨著發現新的規避手法,持續擴充模式/行為語料庫

T-EVADE-002:內容包裝器逃逸

屬性
ATLAS IDAML.T0043 - 製作對抗性資料
描述攻擊者製作會逃逸外部內容包裝器脈絡的內容
攻擊向量標籤操控、脈絡混淆、指令覆寫
受影響元件外部內容包裝
目前緩解措施隨機邊界 XML 風格標記 + 安全通知,加上同形異義字/空白變體標記偽造偵測
殘餘風險中 - 新型逃逸手法定期被發現
建議除輸入端包裝外,另加輸出端驗證

3.6 探索 (AML.TA0008)

T-DISC-001:工具列舉

屬性
ATLAS IDAML.T0040 - AI 模型推論 API 存取
描述攻擊者透過提示列舉可用工具
攻擊向量「你有哪些工具?」風格的查詢
受影響元件代理工具登錄檔
目前緩解措施無特定措施
殘餘風險低 - 工具通常已有文件記載
建議考慮工具可見性控制

T-DISC-002:工作階段資料擷取

屬性
ATLAS IDAML.T0040 - AI 模型推論 API 存取
描述攻擊者從工作階段脈絡中擷取敏感資料
攻擊向量「我們討論了什麼?」查詢、脈絡探測
受影響元件工作階段轉錄、脈絡視窗
目前緩解措施每個傳送者的工作階段隔離(agent:channel:peer key)
殘餘風險中 - 工作階段內資料按設計可存取
建議脈絡中的敏感資料修訂

3.7 收集與外洩 (AML.TA0009, AML.TA0010)

T-EXFIL-001:透過 web_fetch 竊取資料

屬性
ATLAS IDAML.T0009 - 收集
描述攻擊者透過指示代理將資料傳送到外部 URL 來外洩資料
攻擊向量提示注入導致代理將資料 POST 到攻擊者伺服器
受影響元件web_fetch 工具
目前緩解措施針對內部/私有網路的 SSRF 封鎖(DNS 釘選 + IP 封鎖)
殘餘風險高 - 仍允許任意外部 URL
建議URL 允許清單、資料分類意識

T-EXFIL-002:未授權訊息傳送

屬性
ATLAS IDAML.T0009 - 收集
描述攻擊者使代理傳送包含敏感資料的訊息
攻擊向量提示注入導致代理傳訊給攻擊者
受影響元件訊息工具、頻道整合
目前緩解措施外送訊息閘控
殘餘風險中 - 閘控可能被繞過
建議對新收件者進行明確確認

T-EXFIL-003:憑證收集

屬性
ATLAS IDAML.T0009 - 收集
描述惡意技能從代理脈絡收集憑證
攻擊向量技能程式碼讀取環境變數、設定檔
受影響元件技能執行環境
目前緩解措施ClawHub 憑證模式掃描(硬編碼祕密、憑證環境存取搭配網路傳送);執行階段沒有技能執行沙箱
殘餘風險嚴重 - 技能以代理權限執行
建議技能執行沙箱、憑證隔離

3.8 影響 (AML.TA0011)

T-IMPACT-001:未授權命令執行

屬性
ATLAS IDAML.T0031 - 侵蝕 AI 模型完整性
描述攻擊者在使用者系統上執行任意命令
攻擊向量提示注入結合執行核准繞過
受影響元件Bash 工具、命令執行
目前緩解措施執行核准、Docker 沙箱選項(預設執行階段後端)
殘餘風險嚴重 - 停用沙箱時可能執行主機命令
建議改善核准使用者體驗;關閉沙箱部署仍是操作員的刻意選擇,並如此記錄於文件

T-IMPACT-002:資源耗盡 (DoS)

屬性
ATLAS IDAML.T0031 - 侵蝕 AI 模型完整性
描述攻擊者耗盡 API 點數或運算資源
攻擊向量自動化訊息灌流、昂貴的工具呼叫
受影響元件閘道、代理工作階段、API 供應商
目前緩解措施
殘餘風險高 - 沒有依傳送者的速率限制
建議依傳送者速率限制、成本預算

T-IMPACT-003:聲譽損害

屬性
ATLAS IDAML.T0031 - 侵蝕 AI 模型完整性
描述攻擊者使代理傳送有害/冒犯性內容
攻擊向量提示注入導致不當回應
受影響元件輸出產生、頻道訊息
目前緩解措施LLM 供應商內容政策
殘餘風險中 - 供應商過濾器並不完美
建議輸出過濾層、使用者控制

4. ClawHub 供應鏈分析

4.1 目前安全控制

控制措施實作有效性
GitHub 帳號年齡requireGitHubAccountAge()(至少 14 天)中 - 提高新攻擊者的門檻
路徑清理sanitizePath()高 - 防止路徑穿越
檔案類型驗證isTextFile()中 - 僅掃描文字檔,但仍可被利用
大小限制總套件組合 50MB(MAX_PUBLISH_TOTAL_BYTES高 - 防止資源耗盡
必要的 SKILL.md發佈時強制要求 readme低安全價值 - 僅供資訊用途
靜態 + AST 鄰近掃描覆蓋 exec、外洩、憑證收集、混淆等的模式引擎中高 - 涵蓋許多已知濫用模式,但仍以模式為基礎
基於 LLM 的代理式風險審查發佈時由安全提示驅動的判定中高 - 可捕捉靜態模式漏掉的行為
VirusTotal 掃描接入 skill 與套件發佈/重新掃描流程,並由操作者 API 金鑰控管啟用時為高 - 靜態引擎偵測
審核狀態moderationStatus 欄位中 - 可進行人工審查

4.2 審核限制

ClawHub 的靜態掃描會直接檢查 skill 程式碼內容(不只是 slug/中繼資料/frontmatter),涵蓋危險的 exec 呼叫、動態程式碼執行、憑證收集、外洩模式、混淆酬載等。已知缺口:
  • 基於模式的偵測仍可能被足夠新穎的混淆方式繞過。
  • 基於 LLM 的審查與 VirusTotal 掃描取決於操作者端 API 金鑰/設定是否啟用。
  • skill 安裝後,沒有執行階段沙箱能將其與代理自身權限隔離。

4.3 徽章

Skills 與套件帶有審核者指派的徽章:highlightedofficialdeprecatedredactionApproved(僅限 skills)。社群回報(skillReports)與稽核記錄(auditLogs)支援審核工作流程。

5. 風險矩陣

5.1 可能性與影響

威脅 ID可能性影響風險等級優先順序
T-EXEC-001關鍵關鍵P0
T-PERSIST-001關鍵關鍵P0
T-EXFIL-003關鍵關鍵P0
T-IMPACT-001關鍵P1
T-EXEC-002P1
T-EXEC-004P1
T-ACCESS-003P1
T-EXFIL-001P1
T-IMPACT-002P1
T-EVADE-001P2
T-ACCESS-001P2
T-ACCESS-002P2
T-PERSIST-002P2

5.2 關鍵路徑攻擊鏈

鏈 1:基於 skill 的資料竊取
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(發佈惡意 skill) → (規避審核) → (收集憑證)
鏈 2:提示注入到 RCE
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(注入提示) → (繞過 exec 核准) → (執行命令)
鏈 3:透過擷取內容進行間接注入
T-EXEC-002 → T-EXFIL-001 → 外部外洩
(污染 URL 內容) → (代理擷取並遵循指令) → (資料傳送給攻擊者)

6. 建議摘要

6.1 立即(P0)

ID建議對應
R-002實作 skill 執行沙箱T-PERSIST-001, T-EXFIL-003
R-003為敏感動作新增輸出驗證T-EXEC-001, T-EXEC-002

6.2 短期(P1)

ID建議對應
R-004實作每個寄件者的速率限制T-IMPACT-002
R-005新增權杖靜態加密T-ACCESS-003
R-006改善 exec 核准使用者體驗,並持續擴充命令正規化T-EXEC-004
R-007web_fetch 實作 URL 允許清單T-EXFIL-001

6.3 中期(P2)

ID建議對應
R-008在可行處新增加密通道驗證T-ACCESS-002
R-009實作設定完整性驗證T-PERSIST-003
R-010新增更新簽署與版本釘選T-PERSIST-002

7. 附錄

7.1 ATLAS 技術對應

ATLAS ID技術名稱OpenClaw 威脅
AML.T0006主動掃描T-RECON-001, T-RECON-002
AML.T0009收集T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001供應鏈:AI 軟體T-PERSIST-001, T-PERSIST-002
AML.T0010.002供應鏈:資料T-PERSIST-003
AML.T0031削弱 AI 模型完整性T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040AI 模型推論 API 存取T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043製作對抗性資料T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000LLM 提示注入:直接T-EXEC-001, T-EXEC-003
AML.T0051.001LLM 提示注入:間接T-EXEC-002

7.2 關鍵安全檔案

路徑目的風險等級
src/infra/exec-approvals.ts命令核准邏輯關鍵
src/gateway/auth.ts閘道驗證關鍵
src/infra/net/ssrf.tsSSRF 防護關鍵
src/security/external-content.ts提示注入緩解關鍵
src/agents/sandbox/tool-policy.ts沙箱工具允許/拒絕政策關鍵
src/routing/resolve-route.ts工作階段隔離 / 路由

7.3 詞彙表

術語定義
ATLASMITRE 的 AI 系統對抗性威脅版圖
ClawHubOpenClaw 的 skill 市集
GatewayOpenClaw 的訊息路由與驗證層
MCPModel Context Protocol - 工具提供者介面
提示注入將惡意指令嵌入輸入中的攻擊
Skill可下載的 OpenClaw 代理擴充功能
SSRF伺服器端請求偽造

此威脅模型是一份持續演進的文件。請將安全問題回報至 security@openclaw.ai,或參閱信任頁面

相關