--- read_when: - مراجعة الوضع الأمني أو سيناريوهات التهديد - العمل على ميزات الأمان أو ردود التدقيق summary: نموذج التهديدات الخاص بـ OpenClaw المواءم مع إطار عمل MITRE ATLAS title: نموذج التهديد (MITRE ATLAS) x-i18n: generated_at: "2026-05-06T18:03:18Z" model: gpt-5.5 provider: openai source_hash: e7371231e9795cd899d727b87dfba7a5cae963f1fd1e50226e3fbb7488ef7381 source_path: security/THREAT-MODEL-ATLAS.md workflow: 16 --- ## إطار عمل MITRE ATLAS **الإصدار:** 1.0-draft **آخر تحديث:** 2026-02-04 **المنهجية:** MITRE ATLAS + مخططات تدفق البيانات **إطار العمل:** [MITRE ATLAS](https://atlas.mitre.org/) (مشهد التهديدات العدائية لأنظمة الذكاء الاصطناعي) ### نسب إطار العمل بُني نموذج التهديد هذا على [MITRE ATLAS](https://atlas.mitre.org/)، وهو إطار العمل القياسي في الصناعة لتوثيق التهديدات العدائية لأنظمة الذكاء الاصطناعي/تعلّم الآلة. تتم صيانة ATLAS بواسطة [MITRE](https://www.mitre.org/) بالتعاون مع مجتمع أمن الذكاء الاصطناعي. **موارد ATLAS الرئيسية:** - [تقنيات ATLAS](https://atlas.mitre.org/techniques/) - [تكتيكات ATLAS](https://atlas.mitre.org/tactics/) - [دراسات حالة ATLAS](https://atlas.mitre.org/studies/) - [ATLAS GitHub](https://github.com/mitre-atlas/atlas-data) - [المساهمة في ATLAS](https://atlas.mitre.org/resources/contribute) ### المساهمة في نموذج التهديد هذا هذا مستند حيّ تتم صيانته بواسطة مجتمع OpenClaw. راجع [CONTRIBUTING-THREAT-MODEL.md](/ar/security/CONTRIBUTING-THREAT-MODEL) للاطلاع على إرشادات المساهمة: - الإبلاغ عن تهديدات جديدة - تحديث التهديدات الحالية - اقتراح سلاسل هجوم - اقتراح إجراءات تخفيف --- ## 1. المقدمة ### 1.1 الغرض يوثّق نموذج التهديد هذا التهديدات العدائية لمنصة وكلاء الذكاء الاصطناعي OpenClaw وسوق Skills في ClawHub، باستخدام إطار عمل MITRE ATLAS المصمم خصيصًا لأنظمة الذكاء الاصطناعي/تعلّم الآلة. ### 1.2 النطاق | المكوّن | مشمول | ملاحظات | | ---------------------- | -------- | ------------------------------------------------ | | بيئة تشغيل وكيل OpenClaw | نعم | تنفيذ الوكيل الأساسي، استدعاءات الأدوات، الجلسات | | Gateway | نعم | المصادقة، التوجيه، تكامل القنوات | | تكاملات القنوات | نعم | WhatsApp، Telegram، Discord، Signal، Slack، إلخ. | | سوق ClawHub | نعم | نشر Skills، الإشراف، التوزيع | | خوادم MCP | نعم | مزوّدو الأدوات الخارجيون | | أجهزة المستخدمين | جزئي | تطبيقات الأجهزة المحمولة، عملاء سطح المكتب | ### 1.3 خارج النطاق لا يوجد شيء خارج نطاق نموذج التهديد هذا صراحةً. --- ## 2. بنية النظام ### 2.1 حدود الثقة ``` ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ ``` ### 2.2 تدفقات البيانات | التدفق | المصدر | الوجهة | البيانات | الحماية | | ---- | ------- | ----------- | ------------------ | -------------------- | | F1 | القناة | Gateway | رسائل المستخدم | TLS، AllowFrom | | F2 | Gateway | الوكيل | الرسائل الموجّهة | عزل الجلسات | | F3 | الوكيل | الأدوات | استدعاءات الأدوات | فرض السياسة | | F4 | الوكيل | خارجي | طلبات web_fetch | حظر SSRF | | F5 | ClawHub | الوكيل | شيفرة Skill | الإشراف، الفحص | | F6 | الوكيل | القناة | الردود | تصفية المخرجات | --- ## 3. تحليل التهديدات حسب تكتيك ATLAS ### 3.1 الاستطلاع (AML.TA0002) #### T-RECON-001: اكتشاف نقطة نهاية الوكيل | السمة | القيمة | | ----------------------- | -------------------------------------------------------------------- | | **معرّف ATLAS** | AML.T0006 - الفحص النشط | | **الوصف** | يفحص المهاجم نقاط نهاية Gateway المكشوفة في OpenClaw | | **متجه الهجوم** | فحص الشبكة، استعلامات shodan، تعداد DNS | | **المكوّنات المتأثرة** | Gateway، نقاط نهاية API المكشوفة | | **إجراءات التخفيف الحالية** | خيار مصادقة Tailscale، الربط بـ local loopback افتراضيًا | | **الخطر المتبقي** | متوسط - يمكن اكتشاف البوابات العامة | | **التوصيات** | توثيق النشر الآمن، إضافة تحديد معدل على نقاط نهاية الاكتشاف | #### T-RECON-002: اختبار تكامل القنوات | السمة | القيمة | | ----------------------- | ------------------------------------------------------------------ | | **معرّف ATLAS** | AML.T0006 - الفحص النشط | | **الوصف** | يجسّ المهاجم قنوات المراسلة لتحديد الحسابات المُدارة بالذكاء الاصطناعي | | **متجه الهجوم** | إرسال رسائل اختبار، ومراقبة أنماط الاستجابة | | **المكونات المتأثرة** | جميع تكاملات القنوات | | **التخفيفات الحالية** | لا توجد إجراءات محددة | | **الخطر المتبقي** | منخفض - قيمة محدودة من الاكتشاف وحده | | **التوصيات** | النظر في عشوائية توقيت الاستجابة | --- ### 3.2 الوصول الأولي (AML.TA0004) #### T-ACCESS-001: اعتراض رمز الاقتران | السمة | القيمة | | ----------------------- | ------------------------------------------------------------------------------------------------------------- | | **معرّف ATLAS** | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي | | **الوصف** | يعترض المهاجم رمز الاقتران أثناء فترة سماح الاقتران (1h لاقتران قناة DM، و5m لاقتران Node) | | **متجه الهجوم** | التطفل البصري، والتنصت على الشبكة، والهندسة الاجتماعية | | **المكونات المتأثرة** | نظام اقتران الأجهزة | | **التخفيفات الحالية** | انتهاء الصلاحية بعد 1h (اقتران DM) / انتهاء الصلاحية بعد 5m (اقتران Node)، وتُرسل الرموز عبر القناة الحالية | | **الخطر المتبقي** | متوسط - فترة السماح قابلة للاستغلال | | **التوصيات** | تقليل فترة السماح، وإضافة خطوة تأكيد | #### T-ACCESS-002: انتحال AllowFrom | السمة | القيمة | | ----------------------- | ------------------------------------------------------------------------------ | | **معرّف ATLAS** | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي | | **الوصف** | ينتحل المهاجم هوية المرسل المسموح بها في القناة | | **متجه الهجوم** | يعتمد على القناة - انتحال رقم الهاتف، وانتحال اسم المستخدم | | **المكونات المتأثرة** | التحقق من AllowFrom لكل قناة | | **التخفيفات الحالية** | التحقق من الهوية حسب القناة | | **الخطر المتبقي** | متوسط - بعض القنوات عرضة للانتحال | | **التوصيات** | توثيق المخاطر الخاصة بكل قناة، وإضافة تحقق تشفيري حيثما أمكن | #### T-ACCESS-003: سرقة الرمز المميز | السمة | القيمة | | ----------------------- | ----------------------------------------------------------- | | **معرّف ATLAS** | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي | | **الوصف** | يسرق المهاجم رموز المصادقة من ملفات التكوين | | **متجه الهجوم** | برمجيات خبيثة، وصول غير مصرح به إلى الجهاز، انكشاف نسخ التكوين الاحتياطية | | **المكونات المتأثرة** | ~/.openclaw/credentials/، تخزين التكوين | | **التخفيفات الحالية** | أذونات الملفات | | **الخطر المتبقي** | مرتفع - الرموز المميزة مخزنة بنص صريح | | **التوصيات** | تنفيذ تشفير الرموز المميزة أثناء السكون، وإضافة تدوير للرموز | --- ### 3.3 التنفيذ (AML.TA0005) #### T-EXEC-001: حقن موجه مباشر | السمة | القيمة | | ----------------------- | ----------------------------------------------------------------------------------------- | | **معرّف ATLAS** | AML.T0051.000 - حقن موجه LLM: مباشر | | **الوصف** | يرسل المهاجم موجهات مصممة للتلاعب بسلوك الوكيل | | **متجه الهجوم** | رسائل القنوات التي تحتوي على تعليمات عدائية | | **المكونات المتأثرة** | LLM الخاص بالوكيل، وجميع أسطح الإدخال | | **التخفيفات الحالية** | اكتشاف الأنماط، وتغليف المحتوى الخارجي | | **الخطر المتبقي** | حرج - اكتشاف فقط، بلا حظر؛ الهجمات المتقدمة تتجاوزه | | **التوصيات** | تنفيذ دفاع متعدد الطبقات، والتحقق من المخرجات، وتأكيد المستخدم للإجراءات الحساسة | #### T-EXEC-002: حقن موجه غير مباشر | السمة | القيمة | | ----------------------- | ----------------------------------------------------------- | | **معرّف ATLAS** | AML.T0051.001 - حقن موجه LLM: غير مباشر | | **الوصف** | يضمّن المهاجم تعليمات خبيثة في المحتوى المُجلَب | | **متجه الهجوم** | عناوين URL خبيثة، ورسائل بريد إلكتروني مسمومة، وWebhooks مخترقة | | **المكونات المتأثرة** | web_fetch، واستيعاب البريد الإلكتروني، ومصادر البيانات الخارجية | | **التخفيفات الحالية** | تغليف المحتوى بوسوم XML وإشعار أمني | | **الخطر المتبقي** | مرتفع - قد يتجاهل LLM تعليمات التغليف | | **التوصيات** | تنفيذ تنقية المحتوى، وفصل سياقات التنفيذ | #### T-EXEC-003: حقن وسيطات الأداة | السمة | القيمة | | ----------------------- | ------------------------------------------------------------ | | **معرّف ATLAS** | AML.T0051.000 - حقن موجه LLM: مباشر | | **الوصف** | يتلاعب المهاجم بوسيطات الأداة من خلال حقن الموجه | | **متجه الهجوم** | موجهات مصممة تؤثر في قيم معلمات الأداة | | **المكونات المتأثرة** | جميع استدعاءات الأدوات | | **التخفيفات الحالية** | موافقات Exec للأوامر الخطرة | | **الخطر المتبقي** | مرتفع - يعتمد على تقدير المستخدم | | **التوصيات** | تنفيذ التحقق من الوسيطات، واستدعاءات أدوات ذات معلمات | #### T-EXEC-004: تجاوز موافقة Exec | السمة | القيمة | | ----------------------- | ---------------------------------------------------------- | | **معرّف ATLAS** | AML.T0043 - صياغة بيانات عدائية | | **الوصف** | يصوغ المهاجم أوامر تتجاوز قائمة السماح للموافقات | | **متجه الهجوم** | تعمية الأوامر، واستغلال الأسماء المستعارة، والتلاعب بالمسارات | | **المكونات المتأثرة** | exec-approvals.ts، قائمة السماح للأوامر | | **التخفيفات الحالية** | قائمة السماح + وضع السؤال | | **الخطر المتبقي** | مرتفع - لا توجد تنقية للأوامر | | **التوصيات** | تنفيذ تطبيع الأوامر، وتوسيع قائمة الحظر | --- ### 3.4 الاستمرارية (AML.TA0006) #### T-PERSIST-001: تثبيت Skill خبيثة | السمة | القيمة | | ----------------------- | ------------------------------------------------------------------------ | | **معرّف ATLAS** | AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي | | **الوصف** | ينشر المهاجم Skill خبيثة إلى ClawHub | | **متجه الهجوم** | إنشاء حساب، ونشر Skill تحتوي على شيفرة خبيثة مخفية | | **المكونات المتأثرة** | ClawHub، وتحميل Skill، وتنفيذ الوكيل | | **التخفيفات الحالية** | التحقق من عمر حساب GitHub، وأعلام الإشراف القائمة على الأنماط | | **الخطر المتبقي** | حرج - لا توجد بيئة عزل، ومراجعة محدودة | | **التوصيات** | تكامل VirusTotal (قيد التنفيذ)، وعزل Skill، ومراجعة المجتمع | #### T-PERSIST-002: تسميم تحديث Skill | السمة | القيمة | | ----------------------- | -------------------------------------------------------------- | | **معرّف ATLAS** | AML.T0010.001 - اختراق سلسلة التوريد: برمجيات الذكاء الاصطناعي | | **الوصف** | يخترق المهاجم Skill شائعة ويدفع تحديثًا خبيثًا | | **متجه الهجوم** | اختراق الحساب، والهندسة الاجتماعية لمالك Skill | | **المكونات المتأثرة** | إدارة إصدارات ClawHub، وتدفقات التحديث التلقائي | | **التخفيفات الحالية** | بصمة الإصدار | | **الخطر المتبقي** | مرتفع - قد تسحب التحديثات التلقائية إصدارات خبيثة | | **التوصيات** | تنفيذ توقيع التحديثات، وإمكانية التراجع، وتثبيت الإصدارات | #### T-PERSIST-003: العبث بتكوين الوكيل | السمة | القيمة | | ----------------------- | --------------------------------------------------------------- | | **معرّف ATLAS** | AML.T0010.002 - اختراق سلسلة التوريد: البيانات | | **الوصف** | يعدّل المهاجم تكوين الوكيل لاستدامة الوصول | | **متجه الهجوم** | تعديل ملف التكوين، وحقن الإعدادات | | **المكونات المتأثرة** | تكوين الوكيل، وسياسات الأدوات | | **التخفيفات الحالية** | أذونات الملفات | | **الخطر المتبقي** | متوسط - يتطلب وصولًا محليًا | | **التوصيات** | التحقق من سلامة التكوين، وتسجيل تدقيق لتغييرات التكوين | --- ### 3.5 التهرب الدفاعي (AML.TA0007) #### T-EVADE-001: تجاوز أنماط الإشراف | السمة | القيمة | | ----------------------- | ---------------------------------------------------------------------- | | **معرّف ATLAS** | AML.T0043 - صياغة بيانات عدائية | | **الوصف** | يصوغ المهاجم محتوى Skill للتهرب من أنماط الإشراف | | **متجه الهجوم** | محارف Unicode متشابهة الشكل، وحيل الترميز، والتحميل الديناميكي | | **المكونات المتأثرة** | moderation.ts في ClawHub | | **التخفيفات الحالية** | FLAG_RULES القائمة على الأنماط | | **الخطر المتبقي** | مرتفع - يمكن تجاوز regex بسيط بسهولة | | **التوصيات** | إضافة تحليل سلوكي (VirusTotal Code Insight)، واكتشاف قائم على AST | #### T-EVADE-002: الهروب من غلاف المحتوى | السمة | القيمة | | ---------------------- | --------------------------------------------------------- | | **معرّف ATLAS** | AML.T0043 - صياغة بيانات عدائية | | **الوصف** | يصوغ المهاجم محتوى يخرج من سياق غلاف XML | | **متجه الهجوم** | التلاعب بالوسوم، إرباك السياق، تجاوز التعليمات | | **المكونات المتأثرة** | تغليف المحتوى الخارجي | | **التخفيفات الحالية** | وسوم XML + إشعار أمني | | **الخطر المتبقي** | متوسط - تُكتشف طرق خروج جديدة بانتظام | | **التوصيات** | طبقات تغليف متعددة، تحقق من جهة الإخراج | --- ### 3.6 الاكتشاف (AML.TA0008) #### T-DISC-001: تعداد الأدوات | السمة | القيمة | | ---------------------- | ----------------------------------------------------- | | **معرّف ATLAS** | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي | | **الوصف** | يعدّد المهاجم الأدوات المتاحة عبر التوجيهات | | **متجه الهجوم** | استعلامات بأسلوب "ما الأدوات التي لديك؟" | | **المكونات المتأثرة** | سجل أدوات الوكيل | | **التخفيفات الحالية** | لا يوجد شيء محدد | | **الخطر المتبقي** | منخفض - الأدوات موثقة عموما | | **التوصيات** | النظر في ضوابط إظهار الأدوات | #### T-DISC-002: استخراج بيانات الجلسة | السمة | القيمة | | ---------------------- | ----------------------------------------------------- | | **معرّف ATLAS** | AML.T0040 - الوصول إلى API استدلال نموذج الذكاء الاصطناعي | | **الوصف** | يستخرج المهاجم بيانات حساسة من سياق الجلسة | | **متجه الهجوم** | استعلامات "ماذا ناقشنا؟"، استكشاف السياق | | **المكونات المتأثرة** | نصوص الجلسات، نافذة السياق | | **التخفيفات الحالية** | عزل الجلسة لكل مرسل | | **الخطر المتبقي** | متوسط - يمكن الوصول إلى بيانات داخل الجلسة | | **التوصيات** | تنفيذ تنقيح البيانات الحساسة في السياق | --- ### 3.7 الجمع والإخراج غير المصرح به (AML.TA0009, AML.TA0010) #### T-EXFIL-001: سرقة البيانات عبر web_fetch | السمة | القيمة | | ---------------------- | ----------------------------------------------------------------------- | | **معرّف ATLAS** | AML.T0009 - الجمع | | **الوصف** | يخرج المهاجم البيانات بإصدار تعليمات للوكيل لإرسالها إلى URL خارجي | | **متجه الهجوم** | حقن توجيه يجعل الوكيل يرسل البيانات عبر POST إلى خادم المهاجم | | **المكونات المتأثرة** | أداة web_fetch | | **التخفيفات الحالية** | حظر SSRF للشبكات الداخلية | | **الخطر المتبقي** | عال - عناوين URL الخارجية مسموح بها | | **التوصيات** | تنفيذ قوائم السماح لعناوين URL، الوعي بتصنيف البيانات | #### T-EXFIL-002: إرسال رسائل غير مصرح به | السمة | القيمة | | ---------------------- | ----------------------------------------------------------------- | | **معرّف ATLAS** | AML.T0009 - الجمع | | **الوصف** | يجعل المهاجم الوكيل يرسل رسائل تحتوي على بيانات حساسة | | **متجه الهجوم** | حقن توجيه يجعل الوكيل يرسل رسالة إلى المهاجم | | **المكونات المتأثرة** | أداة الرسائل، تكاملات القنوات | | **التخفيفات الحالية** | ضبط الرسائل الصادرة | | **الخطر المتبقي** | متوسط - قد يتم تجاوز الضبط | | **التوصيات** | طلب تأكيد صريح للمستلمين الجدد | #### T-EXFIL-003: جمع بيانات الاعتماد | السمة | القيمة | | ---------------------- | -------------------------------------------------------- | | **معرّف ATLAS** | AML.T0009 - الجمع | | **الوصف** | Skill خبيثة تجمع بيانات الاعتماد من سياق الوكيل | | **متجه الهجوم** | تقرأ شيفرة Skill متغيرات البيئة وملفات الإعدادات | | **المكونات المتأثرة** | بيئة تنفيذ Skill | | **التخفيفات الحالية** | لا يوجد شيء محدد لـ Skills | | **الخطر المتبقي** | حرج - تعمل Skills بصلاحيات الوكيل | | **التوصيات** | عزل Skills، عزل بيانات الاعتماد | --- ### 3.8 الأثر (AML.TA0011) #### T-IMPACT-001: تنفيذ أوامر غير مصرح به | السمة | القيمة | | ---------------------- | ---------------------------------------------------- | | **معرّف ATLAS** | AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي | | **الوصف** | ينفذ المهاجم أوامر عشوائية على نظام المستخدم | | **متجه الهجوم** | حقن توجيه مع تجاوز موافقة exec | | **المكونات المتأثرة** | أداة Bash، تنفيذ الأوامر | | **التخفيفات الحالية** | موافقات exec، خيار عزل Docker | | **الخطر المتبقي** | حرج - تنفيذ على المضيف دون عزل | | **التوصيات** | جعل العزل هو الافتراضي، تحسين تجربة الموافقة | #### T-IMPACT-002: استنزاف الموارد (DoS) | السمة | القيمة | | ---------------------- | --------------------------------------------------- | | **معرّف ATLAS** | AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي | | **الوصف** | يستنزف المهاجم أرصدة API أو موارد الحوسبة | | **متجه الهجوم** | إغراق آلي بالرسائل، استدعاءات أدوات مكلفة | | **المكونات المتأثرة** | Gateway، جلسات الوكيل، مزود API | | **التخفيفات الحالية** | لا يوجد | | **الخطر المتبقي** | عال - لا توجد حدود للمعدل | | **التوصيات** | تنفيذ حدود معدل لكل مرسل، ميزانيات تكلفة | #### T-IMPACT-003: الإضرار بالسمعة | السمة | القيمة | | ---------------------- | -------------------------------------------------------- | | **معرّف ATLAS** | AML.T0031 - إضعاف سلامة نموذج الذكاء الاصطناعي | | **الوصف** | يجعل المهاجم الوكيل يرسل محتوى ضارا/مسيئا | | **متجه الهجوم** | حقن توجيه يسبب ردودا غير ملائمة | | **المكونات المتأثرة** | توليد المخرجات، رسائل القنوات | | **التخفيفات الحالية** | سياسات محتوى مزود LLM | | **الخطر المتبقي** | متوسط - مرشحات المزود غير مثالية | | **التوصيات** | طبقة ترشيح للمخرجات، ضوابط للمستخدم | --- ## 4. تحليل سلسلة توريد ClawHub ### 4.1 ضوابط الأمان الحالية | الضابط | التنفيذ | الفاعلية | | --------------------- | -------------------------- | ---------------------------------------------------- | | عمر حساب GitHub | `requireGitHubAccountAge()` | متوسط - يرفع العائق أمام المهاجمين الجدد | | تطهير المسار | `sanitizePath()` | عال - يمنع اجتياز المسارات | | التحقق من نوع الملف | `isTextFile()` | متوسط - ملفات نصية فقط، لكنها قد تبقى خبيثة | | حدود الحجم | إجمالي الحزمة 50MB | عال - يمنع استنزاف الموارد | | SKILL.md مطلوب | ملف تمهيدي إلزامي | قيمة أمنية منخفضة - معلومات فقط | | ضبط الأنماط | FLAG_RULES في moderation.ts | منخفض - يسهل تجاوزه | | حالة الضبط | حقل `moderationStatus` | متوسط - المراجعة اليدوية ممكنة | ### 4.2 أنماط إشارات الضبط الأنماط الحالية في `moderation.ts`: ```javascript // Known-bad identifiers /(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i // Suspicious keywords /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg|webhook|hooks\.slack)/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i ``` **القيود:** - يفحص فقط slug وdisplayName والملخص وfrontmatter والبيانات الوصفية ومسارات الملفات - لا يحلل محتوى شيفرة Skill الفعلي - تعبيرات regex بسيطة يسهل تجاوزها بالإخفاء - لا يوجد تحليل سلوكي ### 4.3 التحسينات المخطط لها | التحسين | الحالة | الأثر | | --------------------- | ------------------------------------- | --------------------------------------------------------------------- | | تكامل VirusTotal | قيد التنفيذ | عال - تحليل سلوكي عبر Code Insight | | الإبلاغ المجتمعي | جزئي (جدول `skillReports` موجود) | متوسط | | تسجيل التدقيق | جزئي (جدول `auditLogs` موجود) | متوسط | | نظام الشارات | منفذ | متوسط - `highlighted`, `official`, `deprecated`, `redactionApproved` | --- ## 5. مصفوفة المخاطر ### 5.1 الاحتمالية مقابل الأثر | معرّف التهديد | الاحتمالية | الأثر | مستوى الخطر | الأولوية | | ------------- | ---------- | ------- | ------------ | -------- | | T-EXEC-001 | عالية | حرج | **حرج** | P0 | | T-PERSIST-001 | عالية | حرج | **حرج** | P0 | | T-EXFIL-003 | متوسطة | حرج | **حرج** | P0 | | T-IMPACT-001 | متوسطة | حرج | **عال** | P1 | | T-EXEC-002 | عالية | عال | **عال** | P1 | | T-EXEC-004 | متوسطة | عال | **عال** | P1 | | T-ACCESS-003 | متوسطة | عال | **عال** | P1 | | T-EXFIL-001 | متوسطة | عال | **عال** | P1 | | T-IMPACT-002 | عالية | متوسط | **عال** | P1 | | T-EVADE-001 | عالية | متوسط | **متوسط** | P2 | | T-ACCESS-001 | منخفضة | عال | **متوسط** | P2 | | T-ACCESS-002 | منخفضة | عال | **متوسط** | P2 | | T-PERSIST-002 | منخفضة | عال | **متوسط** | P2 | ### 5.2 سلاسل الهجوم ذات المسار الحرج **سلسلة الهجوم 1: سرقة بيانات قائمة على Skill** ``` T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) ``` **سلسلة الهجوم 2: حقن توجيه إلى RCE** ``` T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) ``` **سلسلة الهجوم 3: حقن غير مباشر عبر محتوى مجلوب** ``` T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) ``` --- ## 6. ملخص التوصيات ### 6.1 فوري (P0) | المعرّف | التوصية | يعالج | | ----- | ------------------------------------------- | -------------------------- | | R-001 | إكمال تكامل VirusTotal | T-PERSIST-001, T-EVADE-001 | | R-002 | تنفيذ عزل المهارات | T-PERSIST-001, T-EXFIL-003 | | R-003 | إضافة تحقق من المخرجات للإجراءات الحساسة | T-EXEC-001, T-EXEC-002 | ### 6.2 المدى القصير (P1) | المعرّف | التوصية | يعالج | | ----- | ---------------------------------------- | ------------ | | R-004 | تنفيذ تحديد معدل الطلبات | T-IMPACT-002 | | R-005 | إضافة تشفير الرموز المميزة عند التخزين | T-ACCESS-003 | | R-006 | تحسين تجربة موافقة exec والتحقق منها | T-EXEC-004 | | R-007 | تنفيذ قائمة سماح لعناوين URL لـ web_fetch | T-EXFIL-001 | ### 6.3 المدى المتوسط (P2) | المعرّف | التوصية | يعالج | | ----- | ------------------------------------------------- | ------------- | | R-008 | إضافة تحقق تشفيري من القناة حيثما أمكن | T-ACCESS-002 | | R-009 | تنفيذ تحقق من سلامة الإعدادات | T-PERSIST-003 | | R-010 | إضافة توقيع التحديثات وتثبيت الإصدارات | T-PERSIST-002 | --- ## 7. الملاحق ### 7.1 ربط تقنيات ATLAS | معرّف ATLAS | اسم التقنية | تهديدات OpenClaw | | ------------- | -------------------------------- | ---------------------------------------------------------------- | | AML.T0006 | الفحص النشط | T-RECON-001, T-RECON-002 | | AML.T0009 | الجمع | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 | | AML.T0010.001 | سلسلة التوريد: برمجيات الذكاء الاصطناعي | T-PERSIST-001, T-PERSIST-002 | | AML.T0010.002 | سلسلة التوريد: البيانات | T-PERSIST-003 | | AML.T0031 | إضعاف سلامة نموذج الذكاء الاصطناعي | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 | | AML.T0040 | الوصول إلى واجهة API لاستدلال نموذج الذكاء الاصطناعي | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 | | AML.T0043 | صياغة بيانات خصومية | T-EXEC-004, T-EVADE-001, T-EVADE-002 | | AML.T0051.000 | حقن مطالبة LLM: مباشر | T-EXEC-001, T-EXEC-003 | | AML.T0051.001 | حقن مطالبة LLM: غير مباشر | T-EXEC-002 | ### 7.2 ملفات الأمان الرئيسية | المسار | الغرض | مستوى الخطر | | ----------------------------------- | --------------------------- | ------------ | | `src/infra/exec-approvals.ts` | منطق الموافقة على الأوامر | **حرج** | | `src/gateway/auth.ts` | مصادقة Gateway | **حرج** | | `src/infra/net/ssrf.ts` | حماية SSRF | **حرج** | | `src/security/external-content.ts` | تخفيف حقن المطالبات | **حرج** | | `src/agents/sandbox/tool-policy.ts` | إنفاذ سياسة الأدوات | **حرج** | | `src/routing/resolve-route.ts` | عزل الجلسات | **متوسط** | ### 7.3 مسرد المصطلحات | المصطلح | التعريف | | -------------------- | --------------------------------------------------------- | | **ATLAS** | مشهد MITRE للتهديدات الخصومية لأنظمة الذكاء الاصطناعي | | **ClawHub** | سوق المهارات في OpenClaw | | **Gateway** | طبقة توجيه الرسائل والمصادقة في OpenClaw | | **MCP** | Model Context Protocol - واجهة موفر الأدوات | | **Prompt Injection** | هجوم تُضمَّن فيه تعليمات ضارة في الإدخال | | **Skill** | امتداد قابل للتنزيل لوكلاء OpenClaw | | **SSRF** | تزوير الطلبات من جانب الخادم | --- _نموذج التهديدات هذا مستند حي. أبلغ عن مشكلات الأمان عبر security@openclaw.ai_ ## ذو صلة - [التحقق الرسمي](/ar/security/formal-verification) - [المساهمة في نموذج التهديدات](/ar/security/CONTRIBUTING-THREAT-MODEL)