MITRE-ATLAS-Framework
Version: 1.0-draft
Zuletzt aktualisiert: 2026-02-04
Methodik: MITRE ATLAS + Datenflussdiagramme
Framework: MITRE ATLAS (Adversarial Threat Landscape for AI Systems)
Framework-Zuordnung
Dieses Bedrohungsmodell basiert auf MITRE ATLAS , dem branchenüblichen Framework zur Dokumentation adversarialer Bedrohungen für KI/ML-Systeme. ATLAS wird von MITRE in Zusammenarbeit mit der KI-Sicherheitscommunity gepflegt.
Wichtige ATLAS-Ressourcen:
Zu diesem Bedrohungsmodell beitragen
Dies ist ein lebendes Dokument, das von der OpenClaw-Community gepflegt wird. Richtlinien zum Beitragen finden Sie unter CONTRIBUTING-THREAT-MODEL.md :
Neue Bedrohungen melden
Bestehende Bedrohungen aktualisieren
Angriffsketten vorschlagen
Gegenmaßnahmen vorschlagen
1. Einführung
1.1 Zweck
Dieses Bedrohungsmodell dokumentiert adversariale Bedrohungen für die OpenClaw-KI-Agentenplattform und den ClawHub-Skills-Marktplatz mithilfe des MITRE-ATLAS-Frameworks, das speziell für KI/ML-Systeme entwickelt wurde.
1.2 Umfang
Komponente
Enthalten
Hinweise
OpenClaw Agent Runtime
Ja
Zentrale Agentenausführung, Tool-Aufrufe, Sitzungen
Gateway
Ja
Authentifizierung, Routing, Kanalintegration
Kanalintegrationen
Ja
WhatsApp, Telegram, Discord, Signal, Slack usw.
ClawHub-Marktplatz
Ja
Veröffentlichung, Moderation, Verteilung von Skills
MCP-Server
Ja
Externe Tool-Provider
Benutzergeräte
Teilweise
Mobile Apps, Desktop-Clients
1.3 Außerhalb des Umfangs
Für dieses Bedrohungsmodell ist nichts ausdrücklich außerhalb des Umfangs.
2. Systemarchitektur
2.1 Vertrauensgrenzen
Code Copy code ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ 2.2 Datenflüsse
Fluss
Quelle
Ziel
Daten
Schutz
F1
Kanal
Gateway
Benutzernachrichten
TLS, AllowFrom
F2
Gateway
Agent
Weitergeleitete Nachrichten
Sitzungsisolierung
F3
Agent
Tools
Tool-Aufrufe
Richtliniendurchsetzung
F4
Agent
Extern
web_fetch-Anfragen
SSRF-Blockierung
F5
ClawHub
Agent
Skill-Code
Moderation, Scans
F6
Agent
Kanal
Antworten
Ausgabefilterung
3. Bedrohungsanalyse nach ATLAS-Taktik
3.1 Aufklärung (AML.TA0002)
T-RECON-001: Erkennung von Agent-Endpunkten
Attribut
Wert
ATLAS-ID AML.T0006 - Aktives Scannen
Beschreibung Angreifer scannt nach offengelegten OpenClaw-Gateway-Endpunkten
Angriffsvektor Netzwerk-Scanning, Shodan-Abfragen, DNS-Enumeration
Betroffene Komponenten Gateway, offengelegte API-Endpunkte
Aktuelle Gegenmaßnahmen Tailscale-Auth-Option, standardmäßige Bindung an local loopback
Restrisiko Mittel - Öffentliche Gateways sind auffindbar
Empfehlungen Sichere Bereitstellung dokumentieren, Rate-Limiting für Erkennungsendpunkte hinzufügen
T-RECON-002: Untersuchung von Kanalintegrationen
Attribut
Wert
ATLAS-ID AML.T0006 - Aktives Scannen
Beschreibung Angreifer sondiert Messaging-Kanäle, um KI-verwaltete Konten zu finden
Angriffsvektor Senden von Testnachrichten, Beobachten von Antwortmustern
Betroffene Komponenten Alle Kanalintegrationen
Aktuelle Mitigations Keine spezifischen
Restrisiko Niedrig - Begrenzter Wert allein durch Entdeckung
Empfehlungen Randomisierung der Antwortzeiten erwägen
3.2 Initialzugriff (AML.TA0004)
T-ACCESS-001: Abfangen des Pairing-Codes
Attribut
Wert
ATLAS-ID AML.T0040 - Zugriff auf KI-Modell-Inferenz-API
Beschreibung Angreifer fängt den Pairing-Code während der Pairing-Nachfrist ab (1 h für DM-Kanal-Pairing, 5 min für Node-Pairing)
Angriffsvektor Shoulder Surfing, Netzwerk-Sniffing, Social Engineering
Betroffene Komponenten Geräte-Pairing-System
Aktuelle Mitigations Ablauf nach 1 h (DM-Pairing) / Ablauf nach 5 min (Node-Pairing), Codes werden über vorhandenen Kanal gesendet
Restrisiko Mittel - Nachfrist ausnutzbar
Empfehlungen Nachfrist verkürzen, Bestätigungsschritt hinzufügen
T-ACCESS-002: AllowFrom-Spoofing
Attribut
Wert
ATLAS-ID AML.T0040 - Zugriff auf KI-Modell-Inferenz-API
Beschreibung Angreifer fälscht die Identität eines erlaubten Absenders im Kanal
Angriffsvektor Abhängig vom Kanal - Telefonnummern-Spoofing, Identitätsvortäuschung über Benutzernamen
Betroffene Komponenten AllowFrom-Validierung pro Kanal
Aktuelle Mitigations Kanalspezifische Identitätsprüfung
Restrisiko Mittel - Einige Kanäle sind anfällig für Spoofing
Empfehlungen Kanalspezifische Risiken dokumentieren, kryptografische Verifizierung hinzufügen, wo möglich
T-ACCESS-003: Token-Diebstahl
Attribut
Wert
ATLAS-ID AML.T0040 - Zugriff auf KI-Modell-Inferenz-API
Beschreibung Angreifer stiehlt Authentifizierungs-Tokens aus Konfigurationsdateien
Angriffsvektor Malware, unbefugter Gerätezugriff, Offenlegung von Konfigurations-Backups
Betroffene Komponenten ~/.openclaw/credentials/, Konfigurationsspeicher
Aktuelle Mitigations Dateiberechtigungen
Restrisiko Hoch - Tokens werden im Klartext gespeichert
Empfehlungen Token-Verschlüsselung im Ruhezustand implementieren, Token-Rotation hinzufügen
3.3 Ausführung (AML.TA0005)
T-EXEC-001: Direkte Prompt-Injection
Attribut
Wert
ATLAS-ID AML.T0051.000 - LLM-Prompt-Injection: Direkt
Beschreibung Angreifer sendet präparierte Prompts, um das Verhalten des Agenten zu manipulieren
Angriffsvektor Kanalnachrichten mit gegnerischen Anweisungen
Betroffene Komponenten Agent-LLM, alle Eingabeflächen
Aktuelle Mitigations Mustererkennung, Umhüllung externer Inhalte
Restrisiko Kritisch - Nur Erkennung, keine Blockierung; ausgefeilte Angriffe umgehen sie
Empfehlungen Mehrschichtige Abwehr, Ausgabevalidierung und Benutzerbestätigung für sensible Aktionen implementieren
T-EXEC-002: Indirekte Prompt-Injection
Attribut
Wert
ATLAS-ID AML.T0051.001 - LLM-Prompt-Injection: Indirekt
Beschreibung Angreifer bettet bösartige Anweisungen in abgerufene Inhalte ein
Angriffsvektor Bösartige URLs, vergiftete E-Mails, kompromittierte Webhooks
Betroffene Komponenten web_fetch, E-Mail-Ingestion, externe Datenquellen
Aktuelle Mitigations Inhaltsumhüllung mit XML-Tags und Sicherheitshinweis
Restrisiko Hoch - LLM ignoriert möglicherweise Wrapper-Anweisungen
Empfehlungen Inhaltssanitisierung implementieren, Ausführungskontexte trennen
Attribut
Wert
ATLAS-ID AML.T0051.000 - LLM-Prompt-Injection: Direkt
Beschreibung Angreifer manipuliert Tool-Argumente durch Prompt-Injection
Angriffsvektor Präparierte Prompts, die Tool-Parameterwerte beeinflussen
Betroffene Komponenten Alle Tool-Aufrufe
Aktuelle Mitigations Exec-Genehmigungen für gefährliche Befehle
Restrisiko Hoch - Verlässt sich auf das Urteilsvermögen des Benutzers
Empfehlungen Argumentvalidierung, parametrisierte Tool-Aufrufe implementieren
T-EXEC-004: Umgehung der Exec-Genehmigung
Attribut
Wert
ATLAS-ID AML.T0043 - Gegnerische Daten erstellen
Beschreibung Angreifer erstellt Befehle, die die Genehmigungs-Allowlist umgehen
Angriffsvektor Befehlsverschleierung, Alias-Ausnutzung, Pfadmanipulation
Betroffene Komponenten exec-approvals.ts, Befehls-Allowlist
Aktuelle Mitigations Allowlist + Ask-Modus
Restrisiko Hoch - Keine Befehlssanitisierung
Empfehlungen Befehlsnormalisierung implementieren, Blocklist erweitern
3.4 Persistenz (AML.TA0006)
T-PERSIST-001: Installation bösartiger Skills
Attribut
Wert
ATLAS-ID AML.T0010.001 - Supply-Chain-Kompromittierung: KI-Software
Beschreibung Angreifer veröffentlicht bösartigen Skill auf ClawHub
Angriffsvektor Konto erstellen, Skill mit verborgenem bösartigem Code veröffentlichen
Betroffene Komponenten ClawHub, Skill-Laden, Agent-Ausführung
Aktuelle Mitigations Verifizierung des Alters des GitHub-Kontos, musterbasierte Moderations-Flags
Restrisiko Kritisch - Kein Sandboxing, begrenzte Prüfung
Empfehlungen VirusTotal-Integration (in Arbeit), Skill-Sandboxing, Community-Prüfung
T-PERSIST-002: Vergiftung von Skill-Updates
Attribut
Wert
ATLAS-ID AML.T0010.001 - Supply-Chain-Kompromittierung: KI-Software
Beschreibung Angreifer kompromittiert beliebten Skill und spielt bösartiges Update ein
Angriffsvektor Kontokompromittierung, Social Engineering beim Skill-Eigentümer
Betroffene Komponenten ClawHub-Versionierung, Auto-Update-Abläufe
Aktuelle Mitigations Versions-Fingerprinting
Restrisiko Hoch - Auto-Updates können bösartige Versionen abrufen
Empfehlungen Update-Signierung, Rollback-Fähigkeit, Versions-Pinning implementieren
T-PERSIST-003: Manipulation der Agent-Konfiguration
Attribut
Wert
ATLAS-ID AML.T0010.002 - Supply-Chain-Kompromittierung: Daten
Beschreibung Angreifer ändert die Agent-Konfiguration, um Zugriff dauerhaft zu machen
Angriffsvektor Änderung von Konfigurationsdateien, Einschleusen von Einstellungen
Betroffene Komponenten Agent-Konfiguration, Tool-Richtlinien
Aktuelle Mitigations Dateiberechtigungen
Restrisiko Mittel - Erfordert lokalen Zugriff
Empfehlungen Integritätsprüfung der Konfiguration, Audit-Protokollierung für Konfigurationsänderungen
3.5 Abwehrumgehung (AML.TA0007)
T-EVADE-001: Umgehung von Moderationsmustern
Attribut
Wert
ATLAS-ID AML.T0043 - Gegnerische Daten erstellen
Beschreibung Angreifer gestaltet Skill-Inhalte so, dass Moderationsmuster umgangen werden
Angriffsvektor Unicode-Homoglyphen, Encoding-Tricks, dynamisches Laden
Betroffene Komponenten ClawHub moderation.ts
Aktuelle Mitigations Musterbasierte FLAG_RULES
Restrisiko Hoch - Einfache Regex leicht umgehbar
Empfehlungen Verhaltensanalyse hinzufügen (VirusTotal Code Insight), AST-basierte Erkennung
T-EVADE-002: Ausbruch aus dem Content-Wrapper
Attribut
Wert
ATLAS-ID AML.T0043 - Adversariale Daten erstellen
Beschreibung Angreifer erstellt Inhalte, die aus dem XML-Wrapper-Kontext ausbrechen
Angriffsvektor Tag-Manipulation, Kontextverwirrung, Überschreiben von Anweisungen
Betroffene Komponenten Wrapping externer Inhalte
Aktuelle Gegenmaßnahmen XML-Tags + Sicherheitshinweis
Restrisiko Mittel - Neue Ausbrüche werden regelmäßig entdeckt
Empfehlungen Mehrere Wrapper-Ebenen, ausgabeseitige Validierung
3.6 Erkennung (AML.TA0008)
Attribut
Wert
ATLAS-ID AML.T0040 - Zugriff auf AI Model Inference API
Beschreibung Angreifer zählt verfügbare Tools durch Prompting auf
Angriffsvektor Abfragen im Stil von „Welche Tools haben Sie?“
Betroffene Komponenten Tool-Registry des Agenten
Aktuelle Gegenmaßnahmen Keine spezifischen
Restrisiko Niedrig - Tools sind im Allgemeinen dokumentiert
Empfehlungen Tool-Sichtbarkeitskontrollen erwägen
Attribut
Wert
ATLAS-ID AML.T0040 - Zugriff auf AI Model Inference API
Beschreibung Angreifer extrahiert sensible Daten aus dem Sitzungskontext
Angriffsvektor Abfragen wie „Was haben wir besprochen?“, Kontextsondierung
Betroffene Komponenten Sitzungstranskripte, Kontextfenster
Aktuelle Gegenmaßnahmen Sitzungsisolation pro Absender
Restrisiko Mittel - Daten innerhalb der Sitzung sind zugänglich
Empfehlungen Schwärzung sensibler Daten im Kontext implementieren
3.7 Sammlung & Exfiltration (AML.TA0009, AML.TA0010)
T-EXFIL-001: Datendiebstahl über web_fetch
Attribut
Wert
ATLAS-ID AML.T0009 - Sammlung
Beschreibung Angreifer exfiltriert Daten, indem er den Agenten anweist, sie an eine externe URL zu senden
Angriffsvektor Prompt-Injection, die den Agenten veranlasst, Daten per POST an den Server des Angreifers zu senden
Betroffene Komponenten web_fetch-Tool
Aktuelle Gegenmaßnahmen SSRF-Blockierung für interne Netzwerke
Restrisiko Hoch - Externe URLs sind erlaubt
Empfehlungen URL-Allowlisting, Bewusstsein für Datenklassifizierung implementieren
T-EXFIL-002: Unbefugtes Senden von Nachrichten
Attribut
Wert
ATLAS-ID AML.T0009 - Sammlung
Beschreibung Angreifer veranlasst den Agenten, Nachrichten mit sensiblen Daten zu senden
Angriffsvektor Prompt-Injection, die den Agenten veranlasst, dem Angreifer eine Nachricht zu senden
Betroffene Komponenten Nachrichten-Tool, Kanalintegrationen
Aktuelle Gegenmaßnahmen Gating für ausgehende Nachrichten
Restrisiko Mittel - Gating kann umgangen werden
Empfehlungen Explizite Bestätigung für neue Empfänger verlangen
T-EXFIL-003: Abgreifen von Anmeldedaten
Attribut
Wert
ATLAS-ID AML.T0009 - Sammlung
Beschreibung Bösartiger Skill sammelt Anmeldedaten aus dem Agentenkontext
Angriffsvektor Skill-Code liest Umgebungsvariablen, Konfigurationsdateien
Betroffene Komponenten Skill-Ausführungsumgebung
Aktuelle Gegenmaßnahmen Keine spezifisch für Skills
Restrisiko Kritisch - Skills laufen mit Agentenrechten
Empfehlungen Skill-Sandboxing, Isolation von Anmeldedaten
3.8 Auswirkung (AML.TA0011)
T-IMPACT-001: Unbefugte Befehlsausführung
Attribut
Wert
ATLAS-ID AML.T0031 - Integrität des KI-Modells untergraben
Beschreibung Angreifer führt beliebige Befehle auf dem Benutzersystem aus
Angriffsvektor Prompt-Injection kombiniert mit Umgehung der Exec-Genehmigung
Betroffene Komponenten Bash-Tool, Befehlsausführung
Aktuelle Gegenmaßnahmen Exec-Genehmigungen, Docker-Sandbox-Option
Restrisiko Kritisch - Host-Ausführung ohne Sandbox
Empfehlungen Standardmäßig Sandbox verwenden, Genehmigungs-UX verbessern
T-IMPACT-002: Ressourcenerschöpfung (DoS)
Attribut
Wert
ATLAS-ID AML.T0031 - Integrität des KI-Modells untergraben
Beschreibung Angreifer erschöpft API-Guthaben oder Rechenressourcen
Angriffsvektor Automatisierte Nachrichtenflut, teure Tool-Aufrufe
Betroffene Komponenten Gateway, Agentensitzungen, API-Provider
Aktuelle Gegenmaßnahmen Keine
Restrisiko Hoch - Keine Ratenbegrenzung
Empfehlungen Ratenbegrenzungen pro Absender, Kostenbudgets implementieren
T-IMPACT-003: Reputationsschaden
Attribut
Wert
ATLAS-ID AML.T0031 - Integrität des KI-Modells untergraben
Beschreibung Angreifer veranlasst den Agenten, schädliche/anstößige Inhalte zu senden
Angriffsvektor Prompt-Injection, die unangemessene Antworten verursacht
Betroffene Komponenten Ausgabegenerierung, Kanalnachrichten
Aktuelle Gegenmaßnahmen Inhaltsrichtlinien des LLM-Providers
Restrisiko Mittel - Provider-Filter sind unvollkommen
Empfehlungen Ausgabefilterebene, Benutzerkontrollen
4. ClawHub-Supply-Chain-Analyse
4.1 Aktuelle Sicherheitskontrollen
Kontrolle
Implementierung
Wirksamkeit
Alter des GitHub-Kontos
requireGitHubAccountAge()Mittel - Erhöht die Hürde für neue Angreifer
Pfadbereinigung
sanitizePath()Hoch - Verhindert Path Traversal
Dateitypvalidierung
isTextFile()Mittel - Nur Textdateien, können aber trotzdem bösartig sein
Größenlimits
50 MB Gesamt-Bundle
Hoch - Verhindert Ressourcenerschöpfung
Erforderliche SKILL.md
Obligatorische Readme
Geringer Sicherheitswert - Nur informativ
Muster-Moderation
FLAG_RULES in moderation.ts
Niedrig - Leicht zu umgehen
Moderationsstatus
moderationStatus-FeldMittel - Manuelle Prüfung möglich
4.2 Moderations-Flag-Muster
Aktuelle Muster in moderation.ts:
javascript Copy code /(keepcold131\/ClawdAuthenticatorTool |ClawdAuthenticatorTool )/i /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg |webhook|hooks\.slack )/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly |tinyurl\.com |t\.co |goo\.gl |is\.gd )/i Einschränkungen:
Prüft nur Slug, displayName, Zusammenfassung, Frontmatter, Metadaten und Dateipfade
Analysiert nicht den tatsächlichen Skill-Code-Inhalt
Einfache Regex kann leicht durch Verschleierung umgangen werden
Keine Verhaltensanalyse
4.3 Geplante Verbesserungen
Verbesserung
Status
Auswirkung
VirusTotal-Integration
In Arbeit
Hoch - Verhaltensanalyse durch Code Insight
Community-Meldungen
Teilweise (skillReports-Tabelle existiert)
Mittel
Audit-Protokollierung
Teilweise (auditLogs-Tabelle existiert)
Mittel
Badge-System
Implementiert
Mittel - highlighted, official, deprecated, redactionApproved
5. Risikomatrix
5.1 Wahrscheinlichkeit vs. Auswirkung
Bedrohungs-ID
Wahrscheinlichkeit
Auswirkung
Risikostufe
Priorität
T-EXEC-001
Hoch
Kritisch
Kritisch P0
T-PERSIST-001
Hoch
Kritisch
Kritisch P0
T-EXFIL-003
Mittel
Kritisch
Kritisch P0
T-IMPACT-001
Mittel
Kritisch
Hoch P1
T-EXEC-002
Hoch
Hoch
Hoch P1
T-EXEC-004
Mittel
Hoch
Hoch P1
T-ACCESS-003
Mittel
Hoch
Hoch P1
T-EXFIL-001
Mittel
Hoch
Hoch P1
T-IMPACT-002
Hoch
Mittel
Hoch P1
T-EVADE-001
Hoch
Mittel
Mittel P2
T-ACCESS-001
Niedrig
Hoch
Mittel P2
T-ACCESS-002
Niedrig
Hoch
Mittel P2
T-PERSIST-002
Niedrig
Hoch
Mittel P2
5.2 Angriffsketten des kritischen Pfads
Angriffskette 1: Skill-basierter Datendiebstahl
Code Copy code T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) Angriffskette 2: Prompt-Injection zu RCE
Code Copy code T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) Angriffskette 3: Indirekte Injection über abgerufene Inhalte
Code Copy code T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) 6. Zusammenfassung der Empfehlungen
6.1 Sofort (P0)
ID
Empfehlung
Behandelt
R-001
VirusTotal-Integration abschließen
T-PERSIST-001, T-EVADE-001
R-002
Skills-Sandboxing implementieren
T-PERSIST-001, T-EXFIL-003
R-003
Ausgabevalidierung für sensible Aktionen hinzufügen
T-EXEC-001, T-EXEC-002
6.2 Kurzfristig (P1)
ID
Empfehlung
Behandelt
R-004
Rate Limiting implementieren
T-IMPACT-002
R-005
Token-Verschlüsselung im Ruhezustand hinzufügen
T-ACCESS-003
R-006
UX und Validierung für exec-Genehmigungen verbessern
T-EXEC-004
R-007
URL-Allowlisting für web_fetch implementieren
T-EXFIL-001
6.3 Mittelfristig (P2)
ID
Empfehlung
Behandelt
R-008
Kryptografische Kanalverifizierung hinzufügen, wo möglich
T-ACCESS-002
R-009
Integritätsprüfung der Konfiguration implementieren
T-PERSIST-003
R-010
Update-Signierung und Versions-Pinning hinzufügen
T-PERSIST-002
7. Anhänge
7.1 Zuordnung von ATLAS-Techniken
ATLAS-ID
Technikname
OpenClaw-Bedrohungen
AML.T0006
Aktives Scannen
T-RECON-001, T-RECON-002
AML.T0009
Sammlung
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001
Lieferkette: KI-Software
T-PERSIST-001, T-PERSIST-002
AML.T0010.002
Lieferkette: Daten
T-PERSIST-003
AML.T0031
Integrität des KI-Modells untergraben
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040
Zugriff auf KI-Modell-Inferenz-API
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043
Gegnerische Daten erstellen
T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000
LLM-Prompt-Injection: Direkt
T-EXEC-001, T-EXEC-003
AML.T0051.001
LLM-Prompt-Injection: Indirekt
T-EXEC-002
7.2 Zentrale Sicherheitsdateien
Pfad
Zweck
Risikostufe
src/infra/exec-approvals.tsLogik für Befehlsfreigaben
Kritisch
src/gateway/auth.tsGateway-Authentifizierung
Kritisch
src/infra/net/ssrf.tsSSRF-Schutz
Kritisch
src/security/external-content.tsMinderung von Prompt Injection
Kritisch
src/agents/sandbox/tool-policy.tsDurchsetzung der Tool-Richtlinie
Kritisch
src/routing/resolve-route.tsSitzungsisolation
Mittel
7.3 Glossar
Begriff
Definition
ATLAS MITREs Adversarial Threat Landscape for AI Systems
ClawHub OpenClaws Marktplatz für Skills
Gateway OpenClaws Nachrichtenrouting- und Authentifizierungsschicht
MCP Model Context Protocol - Schnittstelle für Tool-Provider
Prompt Injection Angriff, bei dem schädliche Anweisungen in Eingaben eingebettet werden
Skill Herunterladbare Erweiterung für OpenClaw-Agenten
SSRF Server-Side Request Forgery
Dieses Bedrohungsmodell ist ein lebendes Dokument. Melden Sie Sicherheitsprobleme an [email protected]
Verwandte Themen
