Modèle de menace (MITRE ATLAS)

Cadre MITRE ATLAS

Version : 1.0-brouillon Dernière mise à jour : 2026-02-04 Méthodologie : MITRE ATLAS + Diagrammes de flux de données Cadre : MITRE ATLAS (Paysage des menaces adverses pour les systèmes d’IA)

Attribution du cadre

Ce modèle de menace est basé sur MITRE ATLAS, le cadre standard de l’industrie pour documenter les menaces adverses pesant sur les systèmes d’IA/ML. ATLAS est maintenu par MITRE en collaboration avec la communauté de sécurité de l’IA.

Ressources clés ATLAS :

Contribuer à ce modèle de menace

Il s’agit d’un document vivant maintenu par la communauté OpenClaw. Consultez CONTRIBUTING-THREAT-MODEL.md pour les directives sur la contribution :

Signaler de nouvelles menaces
Mettre à jour les menaces existantes
Proposer des chaînes d’attaque
Suggérer des atténuations

1. Introduction

1.1 Objectif

Ce modèle de menace documente les menaces adverses pesant sur la plateforme d’agents IA OpenClaw et la place de marché de compétences ClawHub, en utilisant le cadre MITRE ATLAS conçu spécifiquement pour les systèmes d’IA/ML.

1.2 Portée

Composant	Inclus	Notes
Runtime de l’agent OpenClaw	Oui	Exécution de base de l’agent, appels d’outils, sessions
Gateway	Oui	Authentification, routage, intégration de canaux
Intégrations de canaux	Oui	WhatsApp, Telegram, Discord, Signal, Slack, etc.
Place de marché ClawHub	Oui	Publication de compétences, modération, distribution
Serveurs MCP	Oui	Fournisseurs d’outils externes
Appareils utilisateurs	Partiel	Applications mobiles, clients de bureau

1.3 Hors portée

Rien n’est explicitement hors de la portée de ce modèle de menace.

2. Architecture du système

2.1 Limites de confiance

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 Flux de données

Flux	Source	Destination	Données	Protection
F1	Canal	Gateway	Messages utilisateur	TLS, AllowFrom
F2	Gateway	Agent	Messages routés	Isolement de session
F3	Agent	Outils	Appels d’outils	Application des stratégies
F4	Agent	Externe	requêtes web_fetch	Blocage SSRF
F5	ClawHub	Agent	Code de compétence	Modération, analyse
F6	Agent	Channel	Réponses	Filtrage de la sortie

3. Analyse des menaces par tactique ATLAS

3.1 Reconnaissance (AML.TA0002)

T-RECON-001 : Découverte des points de terminaison de l’Agent

Attribut	Valeur
ID ATLAS	AML.T0006 - Analyse active
Description	L’attaquant analyse les points de terminaison de passerelle OpenClaw exposés
Vecteur d’attaque	Analyse réseau, requêtes Shodan, énumération DNS
Composants affectés	Gateway, points de terminaison API exposés
Atténuations actuelles	Option d’authentification Tailscale, liaison à l’interface de bouclage par défaut
Risque résiduel	Moyen - Passerelles publiques détectables
Recommandations	Documenter le déploiement sécurisé, ajouter une limitation de débit sur les points de terminaison de découverte

T-RECON-002 : Sonde d’intégration de canal

Attribut	Valeur
ID ATLAS	AML.T0006 - Analyse active
Description	L’attaquant sonde les canaux de messagerie pour identifier les comptes gérés par l’IA
Vecteur d’attaque	Envoi de messages test, observation des modèles de réponse
Composants affectés	Toutes les intégrations de canal
Atténuations actuelles	Aucune spécifique
Risque résiduel	Faible - Valeur limitée par la découverte seule
Recommandations	Envisager la randomisation du temps de réponse

3.2 Accès initial (AML.TA0004)

T-ACCESS-001 : Interception du code d’appariement

Attribut	Valeur
ID ATLAS	AML.T0040 - Accès à l’API d’inférence de modèle IA
Description	L’attaquant intercepte le code d’appariement pendant la période de grâce d’appariement (1h pour l’appariement de canal DM, 5m pour l’appariement de nœud)
Vecteur d’attaque	Shoulder surfing, reniflage de réseau, ingénierie sociale
Composants affectés	Système d’appariement d’appareils
Atténuations actuelles	Expiration 1h (appariement DM) / Expiration 5m (appariement de nœud), codes envoyés via le canal existant
Risque résiduel	Moyen - Période de grâce exploitable
Recommandations	Réduire la période de grâce, ajouter une étape de confirmation

T-ACCESS-002 : Usurpation AllowFrom

Attribut	Valeur
ID ATLAS	AML.T0040 - Accès à l’API d’inférence de modèle IA API
Description	L’attaquant usurpe l’identité de l’expéditeur autorisé dans le channel
Vecteur d’attaque	Dépend du channel - usurpation de numéro de téléphone, impersonnalisation de nom d’utilisateur
Composants affectés	Validation AllowFrom par channel
Mesures d’atténuation actuelles	Vérification d’identité spécifique au channel
Risque résiduel	Moyen - Certains channels sont vulnérables à l’usurpation
Recommandations	Documenter les risques spécifiques aux channels, ajouter une vérification cryptographique lorsque cela est possible

T-ACCESS-003 : Vol de jeton

Attribut	Valeur
ID ATLAS	AML.T0040 - Accès à l’API d’inférence de modèle IA API
Description	L’attaquant vole des jetons d’authentification à partir de fichiers de configuration
Vecteur d’attaque	Logiciels malveillants, accès non autorisé à l’appareil, exposition des sauvegardes de configuration
Composants affectés	~/.openclaw/credentials/, stockage de configuration
Mesures d’atténuation actuelles	Autorisations de fichiers
Risque résiduel	Élevé - Jetons stockés en texte brut
Recommandations	Mettre en œuvre le chiffrement des jetons au repos, ajouter la rotation des jetons

3.3 Exécution (AML.TA0005)

T-EXEC-001 : Injection directe de prompt

Attribut	Valeur
ID ATLAS	AML.T0051.000 - Injection de prompt LLM : Direct
Description	L’attaquant envoie des prompts conçus pour manipuler le comportement de l’agent
Vecteur d’attaque	Messages du channel contenant des instructions adverses
Composants affectés	Agent LLM, toutes les surfaces d’entrée
Mesures d’atténuation actuelles	Détection de modèles, enveloppement du contenu externe
Risque résiduel	Critique - Détection uniquement, pas de blocage ; les attaques sophistiquées contournent
Recommandations	Mettre en œuvre une défense multicouche, la validation des sorties, la confirmation de l’utilisateur pour les actions sensibles

T-EXEC-002 : Injection indirecte de prompt

Attribut	Valeur
ID ATLAS	AML.T0051.001 - Injection de prompt LLM : Indirect
Description	L’attaquine intègre des instructions malveillantes dans le contenu récupéré
Vecteur d’attaque	URL malveillantes, e-mails empoisonnés, webhooks compromis
Composants affectés	web_fetch, ingestion d’e-mails, sources de données externes
Mesures d’atténuation actuelles	Enveloppement de contenu avec balises XML et avis de sécurité
Risque résiduel	Élevé - LLM peut ignorer les instructions de l’enveloppe
Recommandations	Mettre en œuvre la désinfection du contenu, séparer les contextes d’exécution

T-EXEC-003 : Injection d’argument d’outil

Attribut	Valeur
ID ATLAS	AML.T0051.000 - Injection de prompt LLM : Directe
Description	L’attaquant manipule les arguments de l’outil par le biais d’une injection de prompt
Vecteur d’attaque	Prompts conçus qui influencent les valeurs des paramètres de l’outil
Composants affectés	Tous les appels d’outils
Atténuations actuelles	Approbations d’exécution pour les commandes dangereuses
Risque résiduel	Élevé - Dépend du jugement de l’utilisateur
Recommandations	Mettre en œuvre la validation des arguments, les appels d’outils paramétrés

T-EXEC-004 : Contournement de l’approbation d’exécution

Attribut	Valeur
ID ATLAS	AML.T0043 - Créer des données adverses
Description	L’attaquant crée des commandes qui contournent la liste d’autorisation d’approbation
Vecteur d’attaque	Obscuration de commandes, exploitation d’alias, manipulation de chemins
Composants affectés	exec-approvals.ts, liste d’autorisation de commandes
Atténuations actuelles	Liste d’autorisation + mode demande
Risque résiduel	Élevé - Aucune désinfection des commandes
Recommandations	Mettre en œuvre la normalisation des commandes, étendre la liste de blocage

3.4 Persistance (AML.TA0006)

T-PERSIST-001 : Installation de compétences malveillantes

Attribut	Valeur
ID ATLAS	AML.T0010.001 - Compromission de la chaîne d’approvisionnement : Logiciel IA
Description	L’attaquant publie une compétence malveillante sur ClawHub
Vecteur d’attaque	Créer un compte, publier une compétence avec du code malveillant caché
Composants affectés	ClawHub, chargement de compétences, exécution de l’agent
Atténuations actuelles	Vérification de l’ancienneté du compte GitHub, indicateurs de modération basés sur des modèles
Risque résiduel	Critique - Aucun bac à sable, examen limité
Recommandations	Intégration de VirusTotal (en cours), bac à sable pour les compétences, examen communautaire

T-PERSIST-002 : Empoisonnement de la mise à jour de compétence

Attribut	Valeur
ID ATLAS	AML.T0010.001 - Compromission de la chaîne d’approvisionnement : Logiciel IA
Description	L’attaquant compromet une compétence populaire et envoie une mise à jour malveillante
Vecteur d’attaque	Compromission du compte, ingénierie sociale du propriétaire de la compétence
Composants affectés	ClawHub versioning, flux de mise à jour automatique
Atténuations actuelles	Empreinte de version
Risque résiduel	Élevé - Les mises à jour automatiques peuvent télécharger des versions malveillantes
Recommandations	Implémenter la signature des mises à jour, la capacité de retour en arrière (rollback), l’épinglage de version

T-PERSIST-003: Altération de la configuration de l’agent

Attribut	Valeur
ID ATLAS	AML.T0010.002 - Compromission de la chaîne d’approvisionnement: Données
Description	L’attaquant modifie la configuration de l’agent pour maintenir l’accès
Vecteur d’attaque	Modification du fichier de configuration, injection de paramètres
Composants affectés	Configuration de l’agent, stratégies d’outil
Atténuations actuelles	Permissions de fichiers
Risque résiduel	Moyen - Nécessite un accès local
Recommandations	Vérification de l’intégrité de la configuration, journalisation d’audit des modifications de configuration

3.5 Évasion des défenses (AML.TA0007)

T-EVADE-001: Contournement des modèles de modération

Attribut	Valeur
ID ATLAS	AML.T0043 - Fabriquer des données contradictoires
Description	L’attaquant fabrique du contenu de compétence pour contourner les modèles de modération
Vecteur d’attaque	Homoglyphes Unicode, astuces d’encodage, chargement dynamique
Composants affectés	ClawHub moderation.ts
Atténuations actuelles	FLAG_RULES basés sur des modèles
Risque résiduel	Élevé - Les regex simples sont facilement contournables
Recommandations	Ajouter une analyse comportementale (VirusTotal Code Insight), détection basée sur l’AST

T-EVADE-002: Échappement de l’enveloppe de contenu

Attribut	Valeur
ID ATLAS	AML.T0043 - Fabriquer des données contradictoires
Description	L’attaquant fabrique du contenu qui échappe au contexte de l’enveloppe XML
Vecteur d’attaque	Manipulation de balises, confusion de contexte, substitution d’instructions
Composants affectés	Enveloppement de contenu externe
Atténuations actuelles	Balises XML + avis de sécurité
Risque résiduel	Moyen - De nouvelles méthodes d’échappement sont découvertes régulièrement
Recommandations	Plusieurs couches d’enveloppement, validation côté sortie

3.6 Découverte (AML.TA0008)

T-DISC-001: Énumération des outils

Attribut	Valeur
ID ATLAS	AML.T0040 - Accès API d’inférence de modèle IA
Description	L’attaquant énumère les outils disponibles via des invites
Vecteur d’attaque	Requêtes de style “Quels outils avez-vous ?”
Composants affectés	Registre des outils de l’agent
Atténuations actuelles	Aucune spécifique
Risque résiduel	Faible - Outils généralement documentés
Recommandations	Envisager des contrôles de visibilité des outils

T-DISC-002: Extraction de données de session

Attribut	Valeur
ID ATLAS	AML.T0040 - Accès à l’API d’inférence de modèle IA
Description	L’attaquant extrait des données sensibles du contexte de session
Vecteur d’attaque	Requêtes « Qu’avons-nous discuté ? », sondage du contexte
Composants affectés	Transcriptions de session, fenêtre de contexte
Atténuations actuelles	Isolation de session par expéditeur
Risque résiduel	Moyen - Données intra-session accessibles
Recommandations	Mettre en œuvre la rédaction de données sensibles dans le contexte

3.7 Collecte et exfiltration (AML.TA0009, AML.TA0010)

T-EXFIL-001: Vol de données via web_fetch

Attribut	Valeur
ID ATLAS	AML.T0009 - Collecte
Description	L’attaquant exfiltre des données en instruisant l’agent de les envoyer à une URL externe
Vecteur d’attaque	Injection de prompt amenant l’agent à POSTER des données sur le serveur de l’attaquant
Composants affectés	Outil web_fetch
Atténuations actuelles	Blocage SSRF pour les réseaux internes
Risque résiduel	Élevé - URL externes autorisées
Recommandations	Mettre en œuvre une liste d’autorisation (allowlist) d’URL, sensibilisation à la classification des données

T-EXFIL-002: Envoi non autorisé de messages

Attribut	Valeur
ID ATLAS	AML.T0009 - Collecte
Description	L’attaquant amène l’agent à envoyer des messages contenant des données sensibles
Vecteur d’attaque	Injection de prompt amenant l’agent à envoyer un message à l’attaquant
Composants affectés	Outil de message, intégrations de canal
Atténuations actuelles	Filtrage de la messagerie sortante
Risque résiduel	Moyen - Le filtrage peut être contourné
Recommandations	Exiger une confirmation explicite pour les nouveaux destinataires

T-EXFIL-003: Récolte d’identifiants

Attribut	Valeur
ID ATLAS	AML.T0009 - Collecte
Description	Une compétence malveillante récolte des identifiants depuis le contexte de l’agent
Vecteur d’attaque	Le code de la compétence lit des variables d’environnement, des fichiers de configuration
Composants affectés	Environnement d’exécution des compétences
Atténuations actuelles	Aucune spécifique aux compétences
Risque résiduel	Critique - Les compétences s’exécutent avec les privilèges de l’agent
Recommandations	Bac à sable (sandboxing) des compétences, isolation des identifiants

3.8 Impact (AML.TA0011)

T-IMPACT-001: Exécution de commandes non autorisée

Attribut	Valeur
ID ATLAS	AML.T0031 - Éroder l’intégrité du modèle IA
Description	L’attaquant exécute des commandes arbitraires sur le système utilisateur
Vecteur d’attaque	Injection de prompt combinée à un contournement de l’approbation d’exécution
Composants affectés	Outil Bash, exécution de commandes
Atténuations actuelles	Approbations d’exécution, option de sandbox Docker
Risque résiduel	Critique - Exécution sur l’hôte sans sandbox
Recommandations	Sandbox par défaut, améliorer l’UX de l’approbation

T-IMPACT-002 : Épuisement des ressources (DoS)

Attribut	Valeur
ID ATLAS	AML.T0031 - Éroder l’intégrité du modèle IA
Description	L’attaquant épuise les crédits de l’API ou les ressources de calcul
Vecteur d’attaque	Inondation automatisée de messages, appels d’outils coûteux
Composants affectés	Gateway, sessions d’agent, fournisseur d’API
Atténuations actuelles	Aucune
Risque résiduel	Élevé - Aucune limitation de débit
Recommandations	Implémenter des limites de débit par expéditeur, des budgets de coûts

T-IMPACT-003 : Dommages à la réputation

Attribut	Valeur
ID ATLAS	AML.T0031 - Éroder l’intégrité du modèle IA
Description	L’attaquant amène l’agent à envoyer du contenu nuisible/offensif
Vecteur d’attaque	Injection de prompt provoquant des réponses inappropriées
Composants affectés	Génération de sortie, messagerie de channel
Atténuations actuelles	Politiques de contenu du fournisseur de LLM
Risque résiduel	Moyen - Les filtres des fournisseurs sont imparfaits
Recommandations	Couche de filtrage de sortie, contrôles utilisateur

4. Analyse de la chaîne d’approvisionnement ClawHub

4.1 Contrôles de sécurité actuels

Contrôle	Mise en œuvre	Efficacité
Âge du compte GitHub	`requireGitHubAccountAge()`	Moyen - Augmente la barre pour les nouveaux attaquants
Nettoyage des chemins	`sanitizePath()`	Élevé - Empêche le parcours de chemin
Validation du type de fichier	`isTextFile()`	Moyen - Uniquement les fichiers texte, mais peuvent toujours être malveillants
Limites de taille	Bundle total de 50 Mo	Élevé - Empêche l’épuisement des ressources
SKILL.md requis	Readme obligatoire	Faible valeur de sécurité - Uniquement informatif
Modération des modèles	FLAG_RULES dans moderation.ts	Faible - Facilement contourné
Statut de modération	Champ `moderationStatus`	Moyen - Révision manuelle possible

4.2 Modèles de drapeaux de modération

Modèles actuels dans moderation.ts :

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

Limitations :

Vérifie uniquement le slug, displayName, summary, frontmatter, metadata, chemins de fichiers
N’analyse pas le contenu réel du code de la compétence
Regex simple facilement contournable par obfuscation
Aucune analyse comportementale

4.3 Améliorations prévues

Amélioration	Statut	Impact
Intégration VirusTotal	En cours	Élevé - Analyse comportementale Code Insight
Signalement communautaire	Partiel (table `skillReports` existant)	Moyen
Journalisation d’audit	Partiel (table `auditLogs` existant)	Moyen
Système de badges	Implémenté	Moyen - `highlighted`, `official`, `deprecated`, `redactionApproved`

5. Matrice de Matrix

5.1 Probabilité vs Impact

ID de menace	Probabilité	Impact	Niveau de risque	Priorité
T-EXEC-001	Élevé	Critique	Critique	P0
T-PERSIST-001	Élevé	Critique	Critique	P0
T-EXFIL-003	Moyen	Critique	Critique	P0
T-IMPACT-001	Moyen	Critique	Élevé	P1
T-EXEC-002	Élevé	Élevé	Élevé	P1
T-EXEC-004	Moyen	Élevé	Élevé	P1
T-ACCESS-003	Moyen	Élevé	Élevé	P1
T-EXFIL-001	Moyen	Élevé	Élevé	P1
T-IMPACT-002	Élevé	Moyen	Élevé	P1
T-EVADE-001	Élevé	Moyen	Moyen	P2
T-ACCESS-001	Faible	Élevé	Moyen	P2
T-ACCESS-002	Faible	Élevé	Moyen	P2
T-PERSIST-002	Faible	Élevé	Moyen	P2

5.2 Chaînes d’attaque de chemin critique

Chaîne d’attaque 1 : Vol de données basé sur les compétences

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Chaîne d’attaque 2 : Injection de prompt vers RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Chaîne d’attaque 3 : Injection indirecte via le contenu récupéré

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Résumé des recommandations

6.1 Immédiat (P0)

ID	Recommandation	Traite
R-001	Terminer l’intégration VirusTotal	T-PERSIST-001, T-EVADE-001
R-002	Implémenter le sandboxing des compétences	T-PERSIST-001, T-EXFIL-003
R-003	Ajouter une validation de sortie pour les actions sensibles	T-EXEC-001, T-EXEC-002

6.2 Court terme (P1)

ID	Recommandation	Traite
R-004	Implémenter la limitation de débit	T-IMPACT-002
R-005	Ajouter le chiffrement des jetons au repos	T-ACCESS-003
R-006	Améliorer l’UX de l’approbation exec et la validation	T-EXEC-004
R-007	Implémenter la liste d’autorisation d’URL pour web_fetch	T-EXFIL-001

6.3 Moyen terme (P2)

ID	Recommandation	Adresse
R-008	Ajouter une vérification cryptographique du channel lorsque cela est possible	T-ACCESS-002
R-009	Implémenter la vérification de l’intégrité de la configuration	T-PERSIST-003
R-010	Ajouter la signature des mises à jour et l’épinglage des versions	T-PERSIST-002

7. Annexes

7.1 Correspondance des techniques ATLAS

ID ATLAS	Nom de la technique	OpenClaw Threats
AML.T0006	Active Scanning	T-RECON-001, T-RECON-002
AML.T0009	Collection	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	Supply Chain: AI Software	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	Supply Chain: Data	T-PERSIST-003
AML.T0031	Erode AI Model Integrity	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	AI Model Inference API Access	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	Craft Adversarial Data	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	LLM Prompt Injection: Direct	T-EXEC-001, T-EXEC-003
AML.T0051.001	LLM Prompt Injection: Indirect	T-EXEC-002

7.2 Fichiers de sécurité clés

Chemin	Objectif	Niveau de risque
`src/infra/exec-approvals.ts`	Logique d’approbation des commandes	Critique
`src/gateway/auth.ts`	Gateway authentication	Critique
`src/infra/net/ssrf.ts`	Protection SSRF	Critique
`src/security/external-content.ts`	Atténuation de l’injection de prompt	Critique
`src/agents/sandbox/tool-policy.ts`	Application de la politique d’outil	Critique
`src/routing/resolve-route.ts`	Isolement de session	Moyen

7.3 Glossaire

Terme	Définition
ATLAS	MITRE’s Adversarial Threat Landscape for AI Systems
ClawHub	OpenClaw’s skill marketplace
Gateway	OpenClaw’s message routing and authentication layer
MCP	Model Context Protocol - tool provider interface
Prompt Injection	Attack where malicious instructions are embedded in input
Skill	Downloadable extension for OpenClaw agents
SSRF	Server-Side Request Forgery

Ce modèle de menace est un document vivant. Signalez les problèmes de sécurité à [email protected]