威脅模型 (MITRE ATLAS)

OpenClaw 威脅模型 v1.0

MITRE ATLAS 架構

版本： 1.0-draft 最後更新： 2026-02-04 方法論： MITRE ATLAS + 資料流程圖 框架： MITRE ATLAS (Adversarial Threat Landscape for AI Systems)

架構歸屬

此威脅模型基於 MITRE ATLAS 構建，這是記錄 AI/ML 系統對抗性威脅的業界標準框架。ATLAS 由 MITRE 與 AI 安全社群共同維護。

主要 ATLAS 資源：

貢獻此威脅模型

這是由 OpenClaw 社群維護的持續更新文件。請參閱 CONTRIBUTING-THREAT-MODEL.md 以了解貢獻指南：

回報新威脅
更新現有威脅
提議攻擊鏈
建議緩解措施

1. 簡介

1.1 目的

本威脅模型使用專為 AI/ML 系統設計的 MITRE ATLAS 架構，記錄了 OpenClaw AI 代理平台和 ClawHub 技能市集的對抗性威脅。

1.2 範圍

組件	包含	備註
OpenClaw Agent Runtime	是	核心代理執行、工具呼叫、會話
閘道	是	驗證、路由、管道整合
管道整合	是	WhatsApp、Telegram、Discord、Signal、Slack 等
ClawHub 市集	是	技能發佈、審核、散佈
MCP 伺服器	是	外部工具提供者
使用者裝置	部分	行動應用程式、桌面客戶端

1.3 範圍之外

此威脅模型並未明確排除任何項目。

2. 系統架構

2.1 信任邊界

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (1h DM / 5m node grace period)           │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 資料流

流	來源	目的地	資料	保護
F1	管道	閘道	使用者訊息	TLS、AllowFrom
F2	閘道	代理	路由訊息	會話隔離
F3	代理程式	工具	工具呼叫	政策執行
F4	代理程式	外部	web_fetch 請求	SSRF 阻擋
F5	ClawHub	代理程式	技能程式碼	內容審查、掃描
F6	代理程式	頻道	回應	輸出過濾

3. 依 ATLAS 戰術進行威脅分析

3.1 偵查 (AML.TA0002)

T-RECON-001：代理程式端點探索

屬性	數值
ATLAS ID	AML.T0006 - 主動掃描
描述	攻擊者掃描曝露的 OpenClaw 閘道端點
攻擊向量	網路掃描、Shodan 查詢、DNS 列舉
受影響元件	閘道、曝露的 API 端點
現有緩解措施	Tailscale 驗證選項、預設綁定至 loopback
剩餘風險	中等 - 公共閘道可被探索
建議	記錄安全部署方式，在探索端點上新增速率限制

T-RECON-002：頻道整合偵測

屬性	數值
ATLAS ID	AML.T0006 - 主動掃描
描述	攻擊者偵測訊息頻道以識別 AI 管理的帳號
攻擊向量	傳送測試訊息、觀察回應模式
受影響元件	所有頻道整合
現有緩解措施	無特定措施
剩餘風險	低 - 僅探索的價值有限
建議	考慮隨機化回應時間

3.2 初始存取 (AML.TA0004)

T-ACCESS-001：配對碼攔截

屬性	數值
ATLAS ID	AML.T0040 - AI 模型推論 API 存取
描述	攻擊者在配對寬限期內攔截配對碼 (DM 通道配對為 1 小時，節點配對為 5 分鐘)
攻擊向量	窺視 (Shoulder surfing)、網路嗅探、社交工程
受影響元件	裝置配對系統
現有緩解措施	1 小時過期 (DM 配對) / 5 分鐘過期 (節點配對)，透過既有通道傳送代碼
剩餘風險	中等 - 寬限期可被利用
建議	縮短寬限期、新增確認步驟

T-ACCESS-002：AllowFrom 詐騙

屬性	數值
ATLAS ID	AML.T0040 - AI 模型推論 API 存取
描述	攻擊者在頻道中詐騙允許的傳送者身分
攻擊向量	取決於頻道 - 電話號碼詐騙、使用者名稱冒充
受影響元件	各頻道的 AllowFrom 驗證
現有緩解措施	特定管道的身分驗證
剩餘風險	中等 - 部分管道易受偽造攻擊
建議	記錄特定管道的風險，並在可能的情況下新增密碼學驗證

T-ACCESS-003: Token 盜竊

屬性	數值
ATLAS ID	AML.T0040 - AI 模型推理 API 存取
描述	攻擊者從設定檔中竊取驗證 token
攻擊向量	惡意軟體、未經授權的裝置存取、設定備份外洩
受影響元件	~/.openclaw/credentials/、設定儲存
目前緩解措施	檔案權限
剩餘風險	高 - Token 以明文儲存
建議	實施靜態 token 加密，新增 token 輪換

3.3 執行 (AML.TA0005)

T-EXEC-001: 直接提示詞注入

屬性	數值
ATLAS ID	AML.T0051.000 - LLM 提示詞注入：直接
描述	攻擊者發送精心製作的提示詞以操控代理程式的行為
攻擊向量	包含對抗性指令的管道訊息
受影響元件	代理程式 LLM、所有輸入介面
目前緩解措施	模式偵測、外部內容包裝
剩餘風險	嚴重 - 僅偵測，無封鎖；複雜的攻擊可繞過
建議	實施多層防禦、輸出驗證、敏感操作的使用者確認

T-EXEC-002: 間接提示詞注入

屬性	數值
ATLAS ID	AML.T0051.001 - LLM 提示詞注入：間接
描述	攻擊者在擷取的內容中嵌入惡意指令
攻擊向量	惡意 URL、遭投毒的電子郵件、遭入侵的 Webhook
受影響元件	web_fetch、電子郵件擷取、外部資料來源
目前緩解措施	使用 XML 標籤和安全通知包裝內容
剩餘風險	高 - LLM 可能會忽略包裝指令
建議	實施內容清理、隔離執行環境

T-EXEC-003: 工具引數注入

屬性	數值
ATLAS ID	AML.T0051.000 - LLM 提示詞注入：直接
描述	攻擊者透過提示詞注入操控工具引數
攻擊向量	影響工具參數值的精心製作提示詞
受影響元件	所有工具叫用
目前緩解措施	針對危險指令的執行核對
剩餘風險	高 - 依賴使用者判斷
建議	實施參數驗證、參數化工具呼叫

T-EXEC-004: 執行核對繞過

屬性	值
ATLAS ID	AML.T0043 - 製作對抗性資料
描述	攻擊者精心製作指令以繞過核准允許清單
攻擊向量	指令混淆、別名利用、路徑操作
受影響元件	exec-approvals.ts、指令允許清單
目前緩解措施	允許清單 + 詢問模式
剩餘風險	高 - 無指令清理
建議	實施指令正規化、擴充封鎖清單

3.4 持續性 (AML.TA0006)

T-PERSIST-001: 惡意技能安裝

屬性	值
ATLAS ID	AML.T0010.001 - 供應鏈入侵：AI 軟體
描述	攻擊者將惡意技能發布至 ClawHub
攻擊向量	建立帳戶、發布含有隱藏惡意程式碼的技能
受影響元件	ClawHub、技能載入、代理程式執行
目前緩解措施	GitHub 帳號年齡驗證、基於模式的審核標記
剩餘風險	嚴重 - 無沙箱機制、審核有限
建議	VirusTotal 整合 (進行中)、技能沙箱機制、社群審核

T-PERSIST-002: 技能更新投毒

屬性	值
ATLAS ID	AML.T0010.001 - 供應鏈入侵：AI 軟體
描述	攻擊者入侵熱門技能並推送惡意更新
攻擊向量	帳號入侵、對擁有者的社交工程
受影響元件	ClawHub 版本控制、自動更新流程
目前緩解措施	版本指紋辨識
剩餘風險	高 - 自動更新可能會拉取惡意版本
建議	實施更新簽章、復原能力、版本鎖定

T-PERSIST-003: 代理程式配置篡改

屬性	值
ATLAS ID	AML.T0010.002 - 供應鏈入侵：資料
描述	攻擊者修改代理程式配置以維持存取
攻擊向量	配置檔修改、設定注入
受影響元件	代理程式配置、工具政策
目前緩解措施	檔案權限
剩餘風險	中等 - 需要本機存取
建議	設定完整性驗證，設定變更的稽核日誌

3.5 防禦規避 (AML.TA0007)

T-EVADE-001: 內容審查模式繞過

屬性	值
ATLAS ID	AML.T0043 - 製作對抗性數據
描述	攻擊者製作技能內容以規避審查模式
攻擊向量	Unicode 同形異義字、編碼技巧、動態載入
受影響組件	ClawHub moderation.ts
目前緩解措施	基於模式的 FLAG_RULES
剩餘風險	高 - 簡單的正則表達式容易被繞過
建議	增加行為分析 (VirusTotal Code Insight)、基於 AST 的偵測

T-EVADE-002: 內容包裝器逃逸

屬性	值
ATLAS ID	AML.T0043 - 製作對抗性數據
描述	攻擊者製作逃逸 XML 包裝器上下文的內容
攻擊向量	標籤操作、上下文混淆、指令覆蓋
受影響組件	外部內容包裝
目前緩解措施	XML 標籤 + 安全提示
剩餘風險	中等 - 經常發現新穎的逃逸方式
建議	多層包裝器、輸出端驗證

3.6 發現 (AML.TA0008)

T-DISC-001: 工具列舉

屬性	值
ATLAS ID	AML.T0040 - AI 模型推斷 API 存取
描述	攻擊者透過提示列舉可用工具
攻擊向量	「你有什麼工具？」之類的查詢
受影響組件	Agent 工具註冊表
目前緩解措施	無特定措施
剩餘風險	低 - 工具通常有文件記載
建議	考慮工具可見性控制

T-DISC-002: 會話數據提取

屬性	值
ATLAS ID	AML.T0040 - AI 模型推斷 API 存取
描述	攻擊者從會話上下文中提取敏感數據
攻擊向量	「我們討論了什麼？」之類的查詢、上下文探測
受影響組件	會話逐字稿、上下文視窗
目前緩解措施	每個發送者的會話隔離
剩餘風險	中等 - 會話內數據可存取
建議	在上下文中實施敏感數據編輯

3.7 收集與滲透 (AML.TA0009, AML.TA0010)

T-EXFIL-001: 透過 web_fetch 竊取數據

屬性	數值
ATLAS ID	AML.T0009 - 收集 (Collection)
描述	攻擊者指示代理程式將資料傳送到外部 URL 以進行資料外流
攻擊向量	提示詞注入導致代理程式將資料 POST 到攻擊者伺服器
受影響的元件	web_fetch 工具
目前緩解措施	針對內部網路的 SSRP 封鎖
剩餘風險	高 - 允許外部 URL
建議	實作 URL 白名單、資料分級感知

T-EXFIL-002: 未經授權傳送訊息

屬性	數值
ATLAS ID	AML.T0009 - 收集 (Collection)
描述	攻擊者導致代理程式傳送包含敏感資料的訊息
攻擊向量	提示詞注入導致代理程式傳送訊息給攻擊者
受影響的元件	訊息工具、管道整合
目前緩解措施	外寄訊息閘道
剩餘風險	中 - 閘道可能被繞過
建議	要求新的收件者必須經過明確確認

T-EXFIL-003: 憑證收集

屬性	數值
ATLAS ID	AML.T0009 - 收集 (Collection)
描述	惡意技能從代理程式上下文中收集憑證
攻擊向量	技能程式碼讀取環境變數、設定檔
受影響的元件	技能執行環境
目前緩解措施	無特定於技能的措施
剩餘風險	嚴重 - 技能以代理程式權限執行
建議	技能沙盒化、憑證隔離

3.8 影響 (AML.TA0011)

T-IMPACT-001: 未經授權的指令執行

屬性	數值
ATLAS ID	AML.T0031 - 侵蝕 AI 模型完整性
描述	攻擊者在使用者系統上執行任意指令
攻擊向量	提示詞注入結合執行核准繞過
受影響的元件	Bash 工具、指令執行
目前緩解措施	執行核准、Docker 沙盒選項
剩餘風險	嚴重 - 無沙盒的主機執行
建議	預設使用沙盒、改善核准使用者體驗

T-IMPACT-002: 資源耗盡 (DoS)

屬性	數值
ATLAS ID	AML.T0031 - 侵蝕 AI 模型完整性
描述	攻擊者耗盡 API 點數或運算資源
攻擊向量	自動化訊息洪水攻擊、昂貴的工具呼叫
受影響的元件	閘道、代理會話、API 提供商
目前緩解措施	無
剩餘風險	高 - 無速率限制
建議	實作針對每個發送者的速率限制、成本預算

T-IMPACT-003：聲譽損害

屬性	數值
ATLAS ID	AML.T0031 - 侵蝕 AI 模型完整性
描述	攻擊者導致代理發送有害/冒犯性內容
攻擊向量	導致不當回應的提示注入
受影響的組件	輸出生成、頻道訊息傳遞
目前緩解措施	LLM 提供商內容政策
剩餘風險	中等 - 提供商過濾器並不完美
建議	輸出過濾層、使用者控制項

4. ClawHub 供應鏈分析

4.1 目前安全控制

控制	實作	有效性
GitHub 帳號時間	`requireGitHubAccountAge()`	中等 - 提高新攻擊者的門檻
路徑清理	`sanitizePath()`	高 - 防止路徑遍歷
檔案類型驗證	`isTextFile()`	中等 - 僅限文字檔案，但仍可能具有惡意
大小限制	總套件 50MB	高 - 防止資源耗盡
必要的 SKILL.md	強制性說明檔案	安全價值低 - 僅供參考
模式審核	moderation.ts 中的 FLAG_RULES	低 - 容易被繞過
審核狀態	`moderationStatus` 欄位	中等 - 可進行人工審核

4.2 審核標記模式

moderation.ts 中的目前模式：

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

限制：

僅檢查 slug、displayName、summary、frontmatter、metadata、檔案路徑
不分析實際的技能程式碼內容
簡單的正規表示式容易被混淆手法繞過
無行為分析

4.3 計劃中的改進

改進	狀態	影響
VirusTotal 整合	進行中	高 - Code Insight 行為分析
社群舉報	部分（`skillReports` 資料表存在）	中等
審計記錄	部分（`auditLogs` 資料表存在）	中等
徽章系統	已實作	中等 - `highlighted`、`official`、`deprecated`、`redactionApproved`

5. 風險矩陣

5.1 可能性與影響

威脅 ID	可能性	影響	風險等級	優先級
T-EXEC-001	高	嚴重	嚴重	P0
T-PERSIST-001	高	嚴重	嚴重	P0
T-EXFIL-003	中	嚴重	嚴重	P0
T-IMPACT-001	中	嚴重	高	P1
T-EXEC-002	高	高	高	P1
T-EXEC-004	中	高	高	P1
T-ACCESS-003	中	高	高	P1
T-EXFIL-001	中	高	高	P1
T-IMPACT-002	高	中	高	P1
T-EVADE-001	高	中	中	P2
T-ACCESS-001	低	高	中	P2
T-ACCESS-002	低	高	中	P2
T-PERSIST-002	低	高	中	P2

5.2 Critical Path Attack Chains

Attack Chain 1: Skill-Based Data Theft

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(Publish malicious skill) → (Evade moderation) → (Harvest credentials)

Attack Chain 2: Prompt Injection to RCE

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(Inject prompt) → (Bypass exec approval) → (Execute commands)

Attack Chain 3: Indirect Injection via Fetched Content

T-EXEC-002 → T-EXFIL-001 → External exfiltration
(Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker)

6. Recommendations Summary

6.1 Immediate (P0)

ID	建議	解決問題
R-001	完成 VirusTotal 整合	T-PERSIST-001, T-EVADE-001
R-002	實作沙盒機制	T-PERSIST-001, T-EXFIL-003
R-003	針對敏感操作增加輸出驗證	T-EXEC-001, T-EXEC-002

6.2 Short-term (P1)

ID	建議	解決問題
R-004	實作速率限制	T-IMPACT-002
R-005	增加靜態 Token 加密	T-ACCESS-003
R-006	改善執行核批的使用者體驗與驗證	T-EXEC-004
R-007	為 web_fetch 實作 URL 白名單	T-EXFIL-001

6.3 Medium-term (P2)

ID	建議	解決問題
R-008	在可行之處增加加密通道驗證	T-ACCESS-002
R-009	實作設定完整性驗證	T-PERSIST-003
R-010	增加更新簽章與版本鎖定	T-PERSIST-002

7. Appendices

7.1 ATLAS Technique Mapping

ATLAS ID	Technique Name	OpenClaw Threats
AML.T0006	Active Scanning	T-RECON-001, T-RECON-002
AML.T0009	Collection	T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001	Supply Chain: AI Software	T-PERSIST-001, T-PERSIST-002
AML.T0010.002	Supply Chain: Data	T-PERSIST-003
AML.T0031	Erode AI Model Integrity	T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040	AI Model Inference API Access	T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043	Craft Adversarial Data	T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000	LLM 提示詞注入：直接	T-EXEC-001, T-EXEC-003
AML.T0051.001	LLM 提示詞注入：間接	T-EXEC-002

7.2 關鍵安全性檔案

路徑	用途	風險等級
`src/infra/exec-approvals.ts`	指令審核邏輯	嚴重
`src/gateway/auth.ts`	閘道驗證	嚴重
`src/infra/net/ssrf.ts`	SSRF 防護	嚴重
`src/security/external-content.ts`	提示注入緩解	嚴重
`src/agents/sandbox/tool-policy.ts`	工具政策執行	嚴重
`src/routing/resolve-route.ts`	會話隔離	中等

7.3 術語表

術語	定義
ATLAS	MITRE 的 Adversarial Threat Landscape for AI Systems
ClawHub	OpenClaw 的技能市集
Gateway	OpenClaw 的訊息路由與驗證層
MCP	Model Context Protocol - 工具提供者介面
Prompt Injection	在輸入中嵌入惡意指令的攻擊
Skill	OpenClaw 代理程式的可下載擴充功能
SSRF	Server-Side Request Forgery

此威脅模型為持續更新的文件。請將安全問題回報至 [email protected]