إطار عمل MITRE ATLAS
الإصدار: 1.0-draft
آخر تحديث: 2026-02-04
المنهجية: MITRE ATLAS + مخططات تدفق البيانات
إطار العمل: MITRE ATLAS (مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي)
نسب إطار العمل
بُني نموذج التهديد هذا على MITRE ATLAS ، وهو إطار العمل القياسي في الصناعة لتوثيق التهديدات العدائية لأنظمة الذكاء الاصطناعي/تعلّم الآلة. تتم صيانة ATLAS بواسطة MITRE بالتعاون مع مجتمع أمن الذكاء الاصطناعي.
موارد ATLAS الرئيسية:
المساهمة في نموذج التهديد هذا
هذا مستند حيّ تتم صيانته بواسطة مجتمع OpenClaw. راجع CONTRIBUTING-THREAT-MODEL.md للاطلاع على إرشادات المساهمة:
الإبلاغ عن تهديدات جديدة
تحديث التهديدات الحالية
اقتراح سلاسل هجوم
اقتراح إجراءات تخفيف
1. المقدمة
1.1 الغرض
يوثّق نموذج التهديد هذا التهديدات العدائية لمنصة وكلاء الذكاء الاصطناعي OpenClaw وسوق Skills في ClawHub، باستخدام إطار عمل MITRE ATLAS المصمم خصيصًا لأنظمة الذكاء الاصطناعي/تعلّم الآلة.
1.2 النطاق
المكوّن
مشمول
ملاحظات
بيئة تشغيل وكيل OpenClaw
نعم
تنفيذ الوكيل الأساسي، استدعاءات الأدوات، الجلسات
Gateway
نعم
المصادقة، التوجيه، تكامل القنوات
تكاملات القنوات
نعم
WhatsApp، Telegram، Discord، Signal، Slack، إلخ.
سوق ClawHub
نعم
نشر Skills، الإشراف، التوزيع
خوادم MCP
نعم
مزوّدو الأدوات الخارجيون
أجهزة المستخدمين
جزئي
تطبيقات الأجهزة المحمولة، عملاء سطح المكتب
1.3 خارج النطاق
لا يوجد شيء خارج نطاق نموذج التهديد هذا صراحةً.
2. بنية النظام
2.1 حدود الثقة
Code Copy code ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ 2.2 تدفقات البيانات
التدفق
المصدر
الوجهة
البيانات
الحماية
F1
القناة
Gateway
رسائل المستخدم
TLS، AllowFrom
F2
Gateway
الوكيل
الرسائل الموجّهة
عزل الجلسات
F3
الوكيل
الأدوات
استدعاءات الأدوات
فرض السياسة
F4
الوكيل
خارجي
طلبات web_fetch
حظر SSRF
F5
ClawHub
الوكيل
شيفرة Skill
الإشراف، الفحص
F6
الوكيل
القناة
الردود
تصفية المخرجات
3. تحليل التهديدات حسب تكتيك ATLAS
3.1 الاستطلاع (AML.TA0002)
T-RECON-001: اكتشاف نقطة نهاية الوكيل
السمة
القيمة
معرّف ATLAS AML.T0006 - الفحص النشط
الوصف يفحص المهاجم نقاط نهاية Gateway المكشوفة في OpenClaw
متجه الهجوم فحص الشبكة، استعلامات shodan، تعداد DNS
المكوّنات المتأثرة Gateway، نقاط نهاية API المكشوفة
إجراءات التخفيف الحالية خيار مصادقة Tailscale، الربط بـ local loopback افتراضيًا
الخطر المتبقي متوسط - يمكن اكتشاف البوابات العامة
التوصيات توثيق النشر الآمن، إضافة تحديد معدل على نقاط نهاية الاكتشاف
T-RECON-002: اختبار تكامل القنوات
السمة
القيمة
معرّف ATLAS AML.T0006 - الفحص النشط
الوصف يجسّ المهاجم قنوات المراسلة لتحديد الحسابات المُدارة بالذكاء الاصطناعي
متجه الهجوم إرسال رسائل اختبار، ومراقبة أنماط الاستجابة
المكونات المتأثرة جميع تكاملات القنوات
التخفيفات الحالية لا توجد إجراءات محددة
الخطر المتبقي منخفض - قيمة محدودة من الاكتشاف وحده
التوصيات النظر في عشوائية توقيت الاستجابة
3.2 الوصول الأولي (AML.TA0004)
T-ACCESS-001: اعتراض رمز الاقتران
السمة
القيمة
معرّف ATLAS AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف يعترض المهاجم رمز الاقتران أثناء فترة سماح الاقتران (1h لاقتران قناة DM، و5m لاقتران Node)
متجه الهجوم التطفل البصري، والتنصت على الشبكة، والهندسة الاجتماعية
المكونات المتأثرة نظام اقتران الأجهزة
التخفيفات الحالية انتهاء الصلاحية بعد 1h (اقتران DM) / انتهاء الصلاحية بعد 5m (اقتران Node)، وتُرسل الرموز عبر القناة الحالية
الخطر المتبقي متوسط - فترة السماح قابلة للاستغلال
التوصيات تقليل فترة السماح، وإضافة خطوة تأكيد
T-ACCESS-002: انتحال AllowFrom
السمة
القيمة
معرّف ATLAS AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف ينتحل المهاجم هوية المرسل المسموح بها في القناة
متجه الهجوم يعتمد على القناة - انتحال رقم الهاتف، وانتحال اسم المستخدم
المكونات المتأثرة التحقق من AllowFrom لكل قناة
التخفيفات الحالية التحقق من الهوية حسب القناة
الخطر المتبقي متوسط - بعض القنوات عرضة للانتحال
التوصيات توثيق المخاطر الخاصة بكل قناة، وإضافة تحقق تشفيري حيثما أمكن
T-ACCESS-003: سرقة الرمز المميز
السمة
القيمة
معرّف ATLAS AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف يسرق المهاجم رموز المصادقة من ملفات التكوين
متجه الهجوم برمجيات خبيثة، وصول غير مصرح به إلى الجهاز، انكشاف نسخ التكوين الاحتياطية
المكونات المتأثرة ~/.openclaw/credentials/، تخزين التكوين
التخفيفات الحالية أذونات الملفات
الخطر المتبقي مرتفع - الرموز المميزة مخزنة بنص صريح
التوصيات تنفيذ تشفير الرموز المميزة أثناء السكون، وإضافة تدوير للرموز
3.3 التنفيذ (AML.TA0005)
T-EXEC-001: حقن موجه مباشر
السمة
القيمة
معرّف ATLAS AML.T0051.000 - حقن موجه LLM: مباشر
الوصف يرسل المهاجم موجهات مصممة للتلاعب بسلوك الوكيل
متجه الهجوم رسائل القنوات التي تحتوي على تعليمات عدائية
المكونات المتأثرة LLM الخاص بالوكيل، وجميع أسطح الإدخال
التخفيفات الحالية اكتشاف الأنماط، وتغليف المحتوى الخارجي
الخطر المتبقي حرج - اكتشاف فقط، بلا حظر؛ الهجمات المتقدمة تتجاوزه
التوصيات تنفيذ دفاع متعدد الطبقات، والتحقق من المخرجات، وتأكيد المستخدم للإجراءات الحساسة
T-EXEC-002: حقن موجه غير مباشر
السمة
القيمة
معرّف ATLAS AML.T0051.001 - حقن موجه LLM: غير مباشر
الوصف يضمّن المهاجم تعليمات خبيثة في المحتوى المُجلَب
متجه الهجوم عناوين URL خبيثة، ورسائل بريد إلكتروني مسمومة، وWebhooks مخترقة
المكونات المتأثرة web_fetch، واستيعاب البريد الإلكتروني، ومصادر البيانات الخارجية
التخفيفات الحالية تغليف المحتوى بوسوم XML وإشعار أمني
الخطر المتبقي مرتفع - قد يتجاهل LLM تعليمات التغليف
التوصيات تنفيذ تنقية المحتوى، وفصل سياقات التنفيذ
T-EXEC-003: حقن وسيطات الأداة
السمة
القيمة
معرّف ATLAS AML.T0051.000 - حقن موجه LLM: مباشر
الوصف يتلاعب المهاجم بوسيطات الأداة من خلال حقن الموجه
متجه الهجوم موجهات مصممة تؤثر في قيم معلمات الأداة
المكونات المتأثرة جميع استدعاءات الأدوات
التخفيفات الحالية موافقات Exec للأوامر الخطرة
الخطر المتبقي مرتفع - يعتمد على تقدير المستخدم
التوصيات تنفيذ التحقق من الوسيطات، واستدعاءات أدوات ذات معلمات
T-EXEC-004: تجاوز موافقة Exec
السمة
القيمة
معرّف ATLAS AML.T0043 - صياغة بيانات عدائية
الوصف يصوغ المهاجم أوامر تتجاوز قائمة السماح للموافقات
متجه الهجوم تعمية الأوامر، واستغلال الأسماء المستعارة، والتلاعب بالمسارات
المكونات المتأثرة exec-approvals.ts، قائمة السماح للأوامر
التخفيفات الحالية قائمة السماح + وضع السؤال
الخطر المتبقي مرتفع - لا توجد تنقية للأوامر
التوصيات تنفيذ تطبيع الأوامر، وتوسيع قائمة الحظر
3.4 الاستمرارية (AML.TA0006)
T-PERSIST-001: تثبيت Skill خبيثة
السمة
القيمة
معرّف ATLAS AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي
الوصف ينشر المهاجم Skill خبيثة إلى ClawHub
متجه الهجوم إنشاء حساب، ونشر Skill تحتوي على شيفرة خبيثة مخفية
المكونات المتأثرة ClawHub، وتحميل Skill، وتنفيذ الوكيل
التخفيفات الحالية التحقق من عمر حساب GitHub، وأعلام الإشراف القائمة على الأنماط
الخطر المتبقي حرج - لا توجد بيئة عزل، ومراجعة محدودة
التوصيات تكامل VirusTotal (قيد التنفيذ)، وعزل Skill، ومراجعة المجتمع
T-PERSIST-002: تسميم تحديث Skill
السمة
القيمة
معرّف ATLAS AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي
الوصف يخترق المهاجم Skill شائعة ويدفع تحديثًا خبيثًا
متجه الهجوم اختراق الحساب، والهندسة الاجتماعية لمالك Skill
المكونات المتأثرة إدارة إصدارات ClawHub، وتدفقات التحديث التلقائي
التخفيفات الحالية بصمة الإصدار
الخطر المتبقي مرتفع - قد تسحب التحديثات التلقائية إصدارات خبيثة
التوصيات تنفيذ توقيع التحديثات، وإمكانية التراجع، وتثبيت الإصدارات
T-PERSIST-003: العبث بتكوين الوكيل
السمة
القيمة
معرّف ATLAS AML.T0010.002 - اختراق سلسلة التوريد: البيانات
الوصف يعدّل المهاجم تكوين الوكيل لاستدامة الوصول
متجه الهجوم تعديل ملف التكوين، وحقن الإعدادات
المكونات المتأثرة تكوين الوكيل، وسياسات الأدوات
التخفيفات الحالية أذونات الملفات
الخطر المتبقي متوسط - يتطلب وصولًا محليًا
التوصيات التحقق من سلامة التكوين، وتسجيل تدقيق لتغييرات التكوين
3.5 التهرب الدفاعي (AML.TA0007)
T-EVADE-001: تجاوز أنماط الإشراف
السمة
القيمة
معرّف ATLAS AML.T0043 - صياغة بيانات عدائية
الوصف يصوغ المهاجم محتوى Skill للتهرب من أنماط الإشراف
متجه الهجوم محارف Unicode متشابهة الشكل، وحيل الترميز، والتحميل الديناميكي
المكونات المتأثرة moderation.ts في ClawHub
التخفيفات الحالية FLAG_RULES القائمة على الأنماط
الخطر المتبقي مرتفع - يمكن تجاوز regex بسيط بسهولة
التوصيات إضافة تحليل سلوكي (VirusTotal Code Insight)، واكتشاف قائم على AST
T-EVADE-002: الهروب من غلاف المحتوى
السمة
القيمة
معرّف ATLAS AML.T0043 - صياغة بيانات عدائية
الوصف يصوغ المهاجم محتوى يخرج من سياق غلاف XML
متجه الهجوم التلاعب بالوسوم، إرباك السياق، تجاوز التعليمات
المكونات المتأثرة تغليف المحتوى الخارجي
التخفيفات الحالية وسوم XML + إشعار أمني
الخطر المتبقي متوسط - تُكتشف طرق خروج جديدة بانتظام
التوصيات طبقات تغليف متعددة، تحقق من جهة الإخراج
3.6 الاكتشاف (AML.TA0008)
T-DISC-001: تعداد الأدوات
السمة
القيمة
معرّف ATLAS AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف يعدّد المهاجم الأدوات المتاحة عبر التوجيهات
متجه الهجوم استعلامات بأسلوب "ما الأدوات التي لديك؟"
المكونات المتأثرة سجل أدوات الوكيل
التخفيفات الحالية لا يوجد شيء محدد
الخطر المتبقي منخفض - الأدوات موثقة عموما
التوصيات النظر في ضوابط إظهار الأدوات
T-DISC-002: استخراج بيانات الجلسة
السمة
القيمة
معرّف ATLAS AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي
الوصف يستخرج المهاجم بيانات حساسة من سياق الجلسة
متجه الهجوم استعلامات "ماذا ناقشنا؟"، استكشاف السياق
المكونات المتأثرة نصوص الجلسات، نافذة السياق
التخفيفات الحالية عزل الجلسة لكل مرسل
الخطر المتبقي متوسط - يمكن الوصول إلى بيانات داخل الجلسة
التوصيات تنفيذ تنقيح البيانات الحساسة في السياق
3.7 الجمع والإخراج غير المصرح به (AML.TA0009, AML.TA0010)
T-EXFIL-001: سرقة البيانات عبر web_fetch
السمة
القيمة
معرّف ATLAS AML.T0009 - الجمع
الوصف يخرج المهاجم البيانات بإصدار تعليمات للوكيل لإرسالها إلى URL خارجي
متجه الهجوم حقن توجيه يجعل الوكيل يرسل البيانات عبر POST إلى خادم المهاجم
المكونات المتأثرة أداة web_fetch
التخفيفات الحالية حظر SSRF للشبكات الداخلية
الخطر المتبقي عال - عناوين URL الخارجية مسموح بها
التوصيات تنفيذ قوائم السماح لعناوين URL، الوعي بتصنيف البيانات
T-EXFIL-002: إرسال رسائل غير مصرح به
السمة
القيمة
معرّف ATLAS AML.T0009 - الجمع
الوصف يجعل المهاجم الوكيل يرسل رسائل تحتوي على بيانات حساسة
متجه الهجوم حقن توجيه يجعل الوكيل يرسل رسالة إلى المهاجم
المكونات المتأثرة أداة الرسائل، تكاملات القنوات
التخفيفات الحالية ضبط الرسائل الصادرة
الخطر المتبقي متوسط - قد يتم تجاوز الضبط
التوصيات طلب تأكيد صريح للمستلمين الجدد
T-EXFIL-003: جمع بيانات الاعتماد
السمة
القيمة
معرّف ATLAS AML.T0009 - الجمع
الوصف Skill خبيثة تجمع بيانات الاعتماد من سياق الوكيل
متجه الهجوم تقرأ شيفرة Skill متغيرات البيئة وملفات الإعدادات
المكونات المتأثرة بيئة تنفيذ Skill
التخفيفات الحالية لا يوجد شيء محدد لـ Skills
الخطر المتبقي حرج - تعمل Skills بصلاحيات الوكيل
التوصيات عزل Skills، عزل بيانات الاعتماد
3.8 الأثر (AML.TA0011)
T-IMPACT-001: تنفيذ أوامر غير مصرح به
السمة
القيمة
معرّف ATLAS AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي
الوصف ينفذ المهاجم أوامر عشوائية على نظام المستخدم
متجه الهجوم حقن توجيه مع تجاوز موافقة exec
المكونات المتأثرة أداة Bash، تنفيذ الأوامر
التخفيفات الحالية موافقات exec، خيار عزل Docker
الخطر المتبقي حرج - تنفيذ على المضيف دون عزل
التوصيات جعل العزل هو الافتراضي، تحسين تجربة الموافقة
T-IMPACT-002: استنزاف الموارد (DoS)
السمة
القيمة
معرّف ATLAS AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي
الوصف يستنزف المهاجم أرصدة API أو موارد الحوسبة
متجه الهجوم إغراق آلي بالرسائل، استدعاءات أدوات مكلفة
المكونات المتأثرة Gateway، جلسات الوكيل، مزود API
التخفيفات الحالية لا يوجد
الخطر المتبقي عال - لا توجد حدود للمعدل
التوصيات تنفيذ حدود معدل لكل مرسل، ميزانيات تكلفة
T-IMPACT-003: الإضرار بالسمعة
السمة
القيمة
معرّف ATLAS AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي
الوصف يجعل المهاجم الوكيل يرسل محتوى ضارا/مسيئا
متجه الهجوم حقن توجيه يسبب ردودا غير ملائمة
المكونات المتأثرة توليد المخرجات، رسائل القنوات
التخفيفات الحالية سياسات محتوى مزود LLM
الخطر المتبقي متوسط - مرشحات المزود غير مثالية
التوصيات طبقة ترشيح للمخرجات، ضوابط للمستخدم
4. تحليل سلسلة توريد ClawHub
4.1 ضوابط الأمان الحالية
الضابط
التنفيذ
الفاعلية
عمر حساب GitHub
requireGitHubAccountAge()متوسط - يرفع العائق أمام المهاجمين الجدد
تطهير المسار
sanitizePath()عال - يمنع اجتياز المسارات
التحقق من نوع الملف
isTextFile()متوسط - ملفات نصية فقط، لكنها قد تبقى خبيثة
حدود الحجم
إجمالي الحزمة 50MB
عال - يمنع استنزاف الموارد
SKILL.md مطلوب
ملف تمهيدي إلزامي
قيمة أمنية منخفضة - معلومات فقط
ضبط الأنماط
FLAG_RULES في moderation.ts
منخفض - يسهل تجاوزه
حالة الضبط
حقل moderationStatus
متوسط - المراجعة اليدوية ممكنة
4.2 أنماط إشارات الضبط
الأنماط الحالية في moderation.ts:
javascript Copy code /(keepcold131\/ClawdAuthenticatorTool |ClawdAuthenticatorTool )/i /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg |webhook|hooks\.slack )/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly |tinyurl\.com |t\.co |goo\.gl |is\.gd )/i القيود:
يفحص فقط slug وdisplayName والملخص وfrontmatter والبيانات الوصفية ومسارات الملفات
لا يحلل محتوى شيفرة Skill الفعلي
تعبيرات regex بسيطة يسهل تجاوزها بالإخفاء
لا يوجد تحليل سلوكي
4.3 التحسينات المخطط لها
التحسين
الحالة
الأثر
تكامل VirusTotal
قيد التنفيذ
عال - تحليل سلوكي عبر Code Insight
الإبلاغ المجتمعي
جزئي (جدول skillReports موجود)
متوسط
تسجيل التدقيق
جزئي (جدول auditLogs موجود)
متوسط
نظام الشارات
منفذ
متوسط - highlighted, official, deprecated, redactionApproved
5. مصفوفة المخاطر
5.1 الاحتمالية مقابل الأثر
معرّف التهديد
الاحتمالية
الأثر
مستوى الخطر
الأولوية
T-EXEC-001
عالية
حرج
حرج P0
T-PERSIST-001
عالية
حرج
حرج P0
T-EXFIL-003
متوسطة
حرج
حرج P0
T-IMPACT-001
متوسطة
حرج
عال P1
T-EXEC-002
عالية
عال
عال P1
T-EXEC-004
متوسطة
عال
عال P1
T-ACCESS-003
متوسطة
عال
عال P1
T-EXFIL-001
متوسطة
عال
عال P1
T-IMPACT-002
عالية
متوسط
عال P1
T-EVADE-001
عالية
متوسط
متوسط P2
T-ACCESS-001
منخفضة
عال
متوسط P2
T-ACCESS-002
منخفضة
عال
متوسط P2
T-PERSIST-002
منخفضة
عال
متوسط P2
5.2 سلاسل الهجوم ذات المسار الحرج
سلسلة الهجوم 1: سرقة بيانات قائمة على Skill
Code Copy code T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) سلسلة الهجوم 2: حقن توجيه إلى RCE
Code Copy code T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) سلسلة الهجوم 3: حقن غير مباشر عبر محتوى مجلوب
Code Copy code T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) 6. ملخص التوصيات
6.1 فوري (P0)
المعرّف
التوصية
يعالج
R-001
إكمال تكامل VirusTotal
T-PERSIST-001, T-EVADE-001
R-002
تنفيذ عزل المهارات
T-PERSIST-001, T-EXFIL-003
R-003
إضافة تحقق من المخرجات للإجراءات الحساسة
T-EXEC-001, T-EXEC-002
6.2 المدى القصير (P1)
المعرّف
التوصية
يعالج
R-004
تنفيذ تحديد معدل الطلبات
T-IMPACT-002
R-005
إضافة تشفير الرموز المميزة عند التخزين
T-ACCESS-003
R-006
تحسين تجربة موافقة exec والتحقق منها
T-EXEC-004
R-007
تنفيذ قائمة سماح لعناوين URL لـ web_fetch
T-EXFIL-001
6.3 المدى المتوسط (P2)
المعرّف
التوصية
يعالج
R-008
إضافة تحقق تشفيري من القناة حيثما أمكن
T-ACCESS-002
R-009
تنفيذ تحقق من سلامة الإعدادات
T-PERSIST-003
R-010
إضافة توقيع التحديثات وتثبيت الإصدارات
T-PERSIST-002
7. الملاحق
7.1 ربط تقنيات ATLAS
معرّف ATLAS
اسم التقنية
تهديدات OpenClaw
AML.T0006
الفحص النشط
T-RECON-001, T-RECON-002
AML.T0009
الجمع
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001
سلسلة التوريد: برمجيات الذكاء الاصطناعي
T-PERSIST-001, T-PERSIST-002
AML.T0010.002
سلسلة التوريد: البيانات
T-PERSIST-003
AML.T0031
إضعاف سلامة نموذج الذكاء الاصطناعي
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040
الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043
صياغة بيانات خصومية
T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000
حقن مطالبة LLM: مباشر
T-EXEC-001, T-EXEC-003
AML.T0051.001
حقن مطالبة LLM: غير مباشر
T-EXEC-002
7.2 ملفات الأمان الرئيسية
المسار
الغرض
مستوى الخطر
src/infra/exec-approvals.tsمنطق الموافقة على الأوامر
حرج
src/gateway/auth.tsمصادقة Gateway
حرج
src/infra/net/ssrf.tsحماية SSRF
حرج
src/security/external-content.tsتخفيف حقن المطالبات
حرج
src/agents/sandbox/tool-policy.tsإنفاذ سياسة الأدوات
حرج
src/routing/resolve-route.tsعزل الجلسات
متوسط
7.3 مسرد المصطلحات
المصطلح
التعريف
ATLAS مشهد MITRE للتهديدات الخصومية لأنظمة الذكاء الاصطناعي
ClawHub سوق المهارات في OpenClaw
Gateway طبقة توجيه الرسائل والمصادقة في OpenClaw
MCP Model Context Protocol - واجهة موفر الأدوات
Prompt Injection هجوم تُضمَّن فيه تعليمات ضارة في الإدخال
Skill امتداد قابل للتنزيل لوكلاء OpenClaw
SSRF تزوير الطلبات من جانب الخادم
نموذج التهديدات هذا مستند حي. أبلغ عن مشكلات الأمان عبر [email protected]
ذو صلة
