--- read_when: - بررسی وضعیت امنیتی یا سناریوهای تهدید - کار روی قابلیت‌های امنیتی یا پاسخ‌های حسابرسی summary: مدل تهدید OpenClaw نگاشت‌شده به چارچوب MITRE ATLAS title: مدل تهدید (MITRE ATLAS) x-i18n: generated_at: "2026-05-06T18:02:14Z" model: gpt-5.5 provider: openai source_hash: e7371231e9795cd899d727b87dfba7a5cae963f1fd1e50226e3fbb7488ef7381 source_path: security/THREAT-MODEL-ATLAS.md workflow: 16 --- ## چارچوب MITRE ATLAS **نسخه:** 1.0-draft **آخرین به‌روزرسانی:** 2026-02-04 **روش‌شناسی:** MITRE ATLAS + نمودارهای جریان داده **چارچوب:** [MITRE ATLAS](https://atlas.mitre.org/) (چشم‌انداز تهدیدهای خصمانه برای سامانه‌های هوش مصنوعی) ### انتساب چارچوب این مدل تهدید بر پایهٔ [MITRE ATLAS](https://atlas.mitre.org/) ساخته شده است؛ چارچوب استاندارد صنعت برای مستندسازی تهدیدهای خصمانه علیه سامانه‌های هوش مصنوعی/یادگیری ماشین. ATLAS توسط [MITRE](https://www.mitre.org/) با همکاری جامعهٔ امنیت هوش مصنوعی نگه‌داری می‌شود. **منابع کلیدی ATLAS:** - [تکنیک‌های ATLAS](https://atlas.mitre.org/techniques/) - [تاکتیک‌های ATLAS](https://atlas.mitre.org/tactics/) - [مطالعات موردی ATLAS](https://atlas.mitre.org/studies/) - [GitHub مربوط به ATLAS](https://github.com/mitre-atlas/atlas-data) - [مشارکت در ATLAS](https://atlas.mitre.org/resources/contribute) ### مشارکت در این مدل تهدید این یک سند زنده است که توسط جامعهٔ OpenClaw نگه‌داری می‌شود. برای راهنماهای مشارکت، [CONTRIBUTING-THREAT-MODEL.md](/fa/security/CONTRIBUTING-THREAT-MODEL) را ببینید: - گزارش تهدیدهای جدید - به‌روزرسانی تهدیدهای موجود - پیشنهاد زنجیره‌های حمله - پیشنهاد راهکارهای کاهش ریسک --- ## 1. مقدمه ### 1.1 هدف این مدل تهدید، تهدیدهای خصمانه علیه پلتفرم عامل هوش مصنوعی OpenClaw و بازار Skills در ClawHub را با استفاده از چارچوب MITRE ATLAS که به‌طور خاص برای سامانه‌های هوش مصنوعی/یادگیری ماشین طراحی شده است، مستند می‌کند. ### 1.2 دامنه | مؤلفه | گنجانده شده | یادداشت‌ها | | ---------------------- | ----------- | ----------------------------------------------- | | زمان اجرای عامل OpenClaw | بله | اجرای هستهٔ عامل، فراخوانی ابزارها، نشست‌ها | | Gateway | بله | احراز هویت، مسیریابی، یکپارچه‌سازی کانال | | یکپارچه‌سازی‌های کانال | بله | WhatsApp، Telegram، Discord، Signal، Slack و غیره | | بازار ClawHub | بله | انتشار Skill، نظارت، توزیع | | سرورهای MCP | بله | ارائه‌دهندگان ابزار خارجی | | دستگاه‌های کاربر | جزئی | برنامه‌های موبایل، کلاینت‌های دسکتاپ | ### 1.3 خارج از دامنه هیچ چیز به‌صراحت خارج از دامنهٔ این مدل تهدید نیست. --- ## 2. معماری سامانه ### 2.1 مرزهای اعتماد ``` ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ ``` ### 2.2 جریان‌های داده | جریان | منبع | مقصد | داده‌ها | محافظت | | ---- | ------- | -------- | ------------------ | ------------------- | | F1 | کانال | Gateway | پیام‌های کاربر | TLS، AllowFrom | | F2 | Gateway | عامل | پیام‌های مسیریابی‌شده | جداسازی نشست | | F3 | عامل | ابزارها | فراخوانی‌های ابزار | اجرای سیاست | | F4 | عامل | خارجی | درخواست‌های web_fetch | مسدودسازی SSRF | | F5 | ClawHub | عامل | کد Skill | نظارت، اسکن | | F6 | عامل | کانال | پاسخ‌ها | پالایش خروجی | --- ## 3. تحلیل تهدید بر اساس تاکتیک ATLAS ### 3.1 شناسایی (AML.TA0002) #### T-RECON-001: کشف نقطهٔ پایانی عامل | ویژگی | مقدار | | ---------------------- | ------------------------------------------------------------------- | | **شناسهٔ ATLAS** | AML.T0006 - اسکن فعال | | **شرح** | مهاجم برای یافتن نقاط پایانی Gateway در معرض OpenClaw اسکن می‌کند | | **بردار حمله** | اسکن شبکه، پرس‌وجوهای shodan، شمارش DNS | | **مؤلفه‌های تحت تأثیر** | Gateway، نقاط پایانی API در معرض | | **کاهش ریسک‌های فعلی** | گزینهٔ احراز هویت Tailscale، اتصال پیش‌فرض به loopback | | **ریسک باقی‌مانده** | متوسط - Gatewayهای عمومی قابل کشف هستند | | **توصیه‌ها** | مستندسازی استقرار امن، افزودن محدودسازی نرخ روی نقاط پایانی کشف | #### T-RECON-002: کاوش یکپارچه‌سازی کانال | ویژگی | مقدار | | ----------------------- | ------------------------------------------------------------------ | | **شناسه ATLAS** | AML.T0006 - اسکن فعال | | **توضیح** | مهاجم کانال‌های پیام‌رسانی را برای شناسایی حساب‌های مدیریت‌شده با هوش مصنوعی بررسی می‌کند | | **بردار حمله** | ارسال پیام‌های آزمایشی، مشاهده الگوهای پاسخ | | **مؤلفه‌های تحت تأثیر** | همه یکپارچه‌سازی‌های کانال | | **کاهش‌دهنده‌های فعلی** | مورد خاصی وجود ندارد | | **ریسک باقی‌مانده** | پایین - کشف به‌تنهایی ارزش محدودی دارد | | **توصیه‌ها** | تصادفی‌سازی زمان‌بندی پاسخ را در نظر بگیرید | --- ### ۳.۲ دسترسی اولیه (AML.TA0004) #### T-ACCESS-001: رهگیری کد جفت‌سازی | ویژگی | مقدار | | ----------------------- | ------------------------------------------------------------------------------------------------------------- | | **شناسه ATLAS** | AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی | | **توضیح** | مهاجم کد جفت‌سازی را در طول دوره مهلت جفت‌سازی رهگیری می‌کند (۱ ساعت برای جفت‌سازی کانال DM، ۵ دقیقه برای جفت‌سازی Node) | | **بردار حمله** | نگاه کردن از روی شانه، شنود شبکه، مهندسی اجتماعی | | **مؤلفه‌های تحت تأثیر** | سامانه جفت‌سازی دستگاه | | **کاهش‌دهنده‌های فعلی** | انقضای ۱ ساعته (جفت‌سازی DM) / انقضای ۵ دقیقه‌ای (جفت‌سازی Node)، کدها از طریق کانال موجود ارسال می‌شوند | | **ریسک باقی‌مانده** | متوسط - دوره مهلت قابل سوءاستفاده است | | **توصیه‌ها** | دوره مهلت را کاهش دهید، مرحله تأیید اضافه کنید | #### T-ACCESS-002: جعل AllowFrom | ویژگی | مقدار | | ----------------------- | ------------------------------------------------------------------------------ | | **شناسه ATLAS** | AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی | | **توضیح** | مهاجم هویت فرستنده مجاز را در کانال جعل می‌کند | | **بردار حمله** | به کانال بستگی دارد - جعل شماره تلفن، جعل هویت نام کاربری | | **مؤلفه‌های تحت تأثیر** | اعتبارسنجی AllowFrom برای هر کانال | | **کاهش‌دهنده‌های فعلی** | راستی‌آزمایی هویت ویژه هر کانال | | **ریسک باقی‌مانده** | متوسط - برخی کانال‌ها در برابر جعل آسیب‌پذیرند | | **توصیه‌ها** | ریسک‌های ویژه هر کانال را مستند کنید، در صورت امکان راستی‌آزمایی رمزنگارانه اضافه کنید | #### T-ACCESS-003: سرقت توکن | ویژگی | مقدار | | ----------------------- | ----------------------------------------------------------- | | **شناسه ATLAS** | AML.T0040 - دسترسی به API استنتاج مدل هوش مصنوعی | | **توضیح** | مهاجم توکن‌های احراز هویت را از فایل‌های پیکربندی می‌دزدد | | **بردار حمله** | بدافزار، دسترسی غیرمجاز به دستگاه، افشای نسخه پشتیبان پیکربندی | | **مؤلفه‌های تحت تأثیر** | ~/.openclaw/credentials/، ذخیره‌سازی پیکربندی | | **کاهش‌دهنده‌های فعلی** | مجوزهای فایل | | **ریسک باقی‌مانده** | بالا - توکن‌ها به‌صورت متن ساده ذخیره می‌شوند | | **توصیه‌ها** | رمزنگاری توکن در حالت سکون را پیاده‌سازی کنید، چرخش توکن اضافه کنید | --- ### ۳.۳ اجرا (AML.TA0005) #### T-EXEC-001: تزریق مستقیم پرامپت | ویژگی | مقدار | | ----------------------- | ----------------------------------------------------------------------------------------- | | **شناسه ATLAS** | AML.T0051.000 - تزریق پرامپت LLM: مستقیم | | **توضیح** | مهاجم پرامپت‌های دست‌کاری‌شده می‌فرستد تا رفتار عامل را تغییر دهد | | **بردار حمله** | پیام‌های کانال که شامل دستورهای خصمانه هستند | | **مؤلفه‌های تحت تأثیر** | LLM عامل، همه سطوح ورودی | | **کاهش‌دهنده‌های فعلی** | تشخیص الگو، پوشاندن محتوای خارجی | | **ریسک باقی‌مانده** | بحرانی - فقط تشخیص وجود دارد، مسدودسازی نیست؛ حملات پیچیده عبور می‌کنند | | **توصیه‌ها** | دفاع چندلایه، اعتبارسنجی خروجی و تأیید کاربر برای اقدامات حساس را پیاده‌سازی کنید | #### T-EXEC-002: تزریق غیرمستقیم پرامپت | ویژگی | مقدار | | ----------------------- | ----------------------------------------------------------- | | **شناسه ATLAS** | AML.T0051.001 - تزریق پرامپت LLM: غیرمستقیم | | **توضیح** | مهاجم دستورهای مخرب را در محتوای واکشی‌شده جاسازی می‌کند | | **بردار حمله** | URLهای مخرب، ایمیل‌های آلوده، Webhookهای به‌خطر‌افتاده | | **مؤلفه‌های تحت تأثیر** | web_fetch، دریافت ایمیل، منابع داده خارجی | | **کاهش‌دهنده‌های فعلی** | پوشاندن محتوا با تگ‌های XML و اعلان امنیتی | | **ریسک باقی‌مانده** | بالا - LLM ممکن است دستورهای پوشاننده را نادیده بگیرد | | **توصیه‌ها** | پاک‌سازی محتوا و زمینه‌های اجرای جداگانه را پیاده‌سازی کنید | #### T-EXEC-003: تزریق آرگومان ابزار | ویژگی | مقدار | | ----------------------- | ------------------------------------------------------------ | | **شناسه ATLAS** | AML.T0051.000 - تزریق پرامپت LLM: مستقیم | | **توضیح** | مهاجم آرگومان‌های ابزار را از طریق تزریق پرامپت دست‌کاری می‌کند | | **بردار حمله** | پرامپت‌های دست‌کاری‌شده‌ای که بر مقادیر پارامتر ابزار اثر می‌گذارند | | **مؤلفه‌های تحت تأثیر** | همه فراخوانی‌های ابزار | | **کاهش‌دهنده‌های فعلی** | تأییدهای exec برای دستورهای خطرناک | | **ریسک باقی‌مانده** | بالا - به قضاوت کاربر متکی است | | **توصیه‌ها** | اعتبارسنجی آرگومان و فراخوانی‌های پارامتری‌شده ابزار را پیاده‌سازی کنید | #### T-EXEC-004: دور زدن تأیید Exec | ویژگی | مقدار | | ----------------------- | ---------------------------------------------------------- | | **شناسه ATLAS** | AML.T0043 - ساخت داده خصمانه | | **توضیح** | مهاجم دستورهایی می‌سازد که فهرست مجاز تأیید را دور می‌زنند | | **بردار حمله** | مبهم‌سازی دستور، سوءاستفاده از alias، دست‌کاری مسیر | | **مؤلفه‌های تحت تأثیر** | exec-approvals.ts، فهرست مجاز دستور | | **کاهش‌دهنده‌های فعلی** | فهرست مجاز + حالت پرسش | | **ریسک باقی‌مانده** | بالا - پاک‌سازی دستور وجود ندارد | | **توصیه‌ها** | نرمال‌سازی دستور را پیاده‌سازی کنید، فهرست مسدودسازی را گسترش دهید | --- ### ۳.۴ ماندگاری (AML.TA0006) #### T-PERSIST-001: نصب مخرب Skill | ویژگی | مقدار | | ----------------------- | ------------------------------------------------------------------------ | | **شناسه ATLAS** | AML.T0010.001 - به‌خطر‌افتادن زنجیره تأمین: نرم‌افزار هوش مصنوعی | | **توضیح** | مهاجم Skill مخربی را در ClawHub منتشر می‌کند | | **بردار حمله** | ایجاد حساب، انتشار Skill با کد مخرب پنهان | | **مؤلفه‌های تحت تأثیر** | ClawHub، بارگذاری Skill، اجرای عامل | | **کاهش‌دهنده‌های فعلی** | راستی‌آزمایی سن حساب GitHub، پرچم‌های نظارت مبتنی بر الگو | | **ریسک باقی‌مانده** | بحرانی - سندباکس وجود ندارد، بازبینی محدود است | | **توصیه‌ها** | یکپارچه‌سازی VirusTotal (در حال انجام)، سندباکس Skill، بازبینی جامعه | #### T-PERSIST-002: مسموم‌سازی به‌روزرسانی Skill | ویژگی | مقدار | | ----------------------- | -------------------------------------------------------------- | | **شناسه ATLAS** | AML.T0010.001 - به‌خطر‌افتادن زنجیره تأمین: نرم‌افزار هوش مصنوعی | | **توضیح** | مهاجم Skill محبوبی را به خطر می‌اندازد و به‌روزرسانی مخربی منتشر می‌کند | | **بردار حمله** | به‌خطر‌افتادن حساب، مهندسی اجتماعی مالک Skill | | **مؤلفه‌های تحت تأثیر** | نسخه‌بندی ClawHub، جریان‌های به‌روزرسانی خودکار | | **کاهش‌دهنده‌های فعلی** | انگشت‌نگاری نسخه | | **ریسک باقی‌مانده** | بالا - به‌روزرسانی‌های خودکار ممکن است نسخه‌های مخرب را دریافت کنند | | **توصیه‌ها** | امضای به‌روزرسانی، قابلیت بازگردانی و سنجاق کردن نسخه را پیاده‌سازی کنید | #### T-PERSIST-003: دست‌کاری پیکربندی عامل | ویژگی | مقدار | | ----------------------- | --------------------------------------------------------------- | | **شناسه ATLAS** | AML.T0010.002 - به‌خطر‌افتادن زنجیره تأمین: داده | | **توضیح** | مهاجم پیکربندی عامل را تغییر می‌دهد تا دسترسی را ماندگار کند | | **بردار حمله** | تغییر فایل پیکربندی، تزریق تنظیمات | | **مؤلفه‌های تحت تأثیر** | پیکربندی عامل، سیاست‌های ابزار | | **کاهش‌دهنده‌های فعلی** | مجوزهای فایل | | **ریسک باقی‌مانده** | متوسط - به دسترسی محلی نیاز دارد | | **توصیه‌ها** | راستی‌آزمایی یکپارچگی پیکربندی و ثبت ممیزی برای تغییرات پیکربندی | --- ### ۳.۵ فرار از دفاع (AML.TA0007) #### T-EVADE-001: دور زدن الگوهای نظارت | ویژگی | مقدار | | ----------------------- | ---------------------------------------------------------------------- | | **شناسه ATLAS** | AML.T0043 - ساخت داده خصمانه | | **توضیح** | مهاجم محتوای Skill را طوری می‌سازد که از الگوهای نظارت فرار کند | | **بردار حمله** | همسان‌نماهای Unicode، ترفندهای کدگذاری، بارگذاری پویا | | **مؤلفه‌های تحت تأثیر** | moderation.ts مربوط به ClawHub | | **کاهش‌دهنده‌های فعلی** | FLAG_RULES مبتنی بر الگو | | **ریسک باقی‌مانده** | بالا - regex ساده به‌راحتی دور زده می‌شود | | **توصیه‌ها** | تحلیل رفتاری (VirusTotal Code Insight) و تشخیص مبتنی بر AST را اضافه کنید | #### T-EVADE-002: خروج از پوشاننده محتوا | ویژگی | مقدار | | ----------------------- | --------------------------------------------------------- | | **شناسه ATLAS** | AML.T0043 - ساخت داده خصمانه | | **توضیح** | مهاجم محتوایی می‌سازد که از زمینه بسته‌بندی XML خارج می‌شود | | **بردار حمله** | دست‌کاری برچسب، سردرگمی زمینه، بازنویسی دستورالعمل | | **اجزای متاثر** | بسته‌بندی محتوای خارجی | | **کاهش‌دهنده‌های فعلی** | برچسب‌های XML + اعلان امنیتی | | **ریسک باقی‌مانده** | متوسط - راه‌های خروج جدید به‌طور منظم کشف می‌شوند | | **توصیه‌ها** | چندین لایه بسته‌بندی، اعتبارسنجی در سمت خروجی | --- ### 3.6 کشف (AML.TA0008) #### T-DISC-001: شمارش ابزارها | ویژگی | مقدار | | ----------------------- | ----------------------------------------------------- | | **شناسه ATLAS** | AML.T0040 - دسترسی به API استنتاج مدل AI | | **توضیح** | مهاجم ابزارهای در دسترس را از طریق پرامپت‌نویسی فهرست می‌کند | | **بردار حمله** | پرس‌وجوهایی به سبک «چه ابزارهایی داری؟» | | **اجزای متاثر** | رجیستری ابزار عامل | | **کاهش‌دهنده‌های فعلی** | مورد مشخصی وجود ندارد | | **ریسک باقی‌مانده** | پایین - ابزارها معمولا مستند شده‌اند | | **توصیه‌ها** | کنترل‌های نمایش‌پذیری ابزار را در نظر بگیرید | #### T-DISC-002: استخراج داده نشست | ویژگی | مقدار | | ----------------------- | ----------------------------------------------------- | | **شناسه ATLAS** | AML.T0040 - دسترسی به API استنتاج مدل AI | | **توضیح** | مهاجم داده‌های حساس را از زمینه نشست استخراج می‌کند | | **بردار حمله** | پرس‌وجوهای «چه چیزی را بحث کردیم؟»، کاوش زمینه | | **اجزای متاثر** | رونوشت‌های نشست، پنجره زمینه | | **کاهش‌دهنده‌های فعلی** | جداسازی نشست برای هر فرستنده | | **ریسک باقی‌مانده** | متوسط - داده‌های درون نشست قابل دسترسی‌اند | | **توصیه‌ها** | حذف‌سازی داده‌های حساس را در زمینه پیاده‌سازی کنید | --- ### 3.7 جمع‌آوری و برون‌برد (AML.TA0009, AML.TA0010) #### T-EXFIL-001: سرقت داده از طریق web_fetch | ویژگی | مقدار | | ----------------------- | ---------------------------------------------------------------------- | | **شناسه ATLAS** | AML.T0009 - جمع‌آوری | | **توضیح** | مهاجم با دستور دادن به عامل برای ارسال به URL خارجی، داده را برون‌برد می‌کند | | **بردار حمله** | تزریق پرامپت که باعث می‌شود عامل داده را به سرور مهاجم POST کند | | **اجزای متاثر** | ابزار web_fetch | | **کاهش‌دهنده‌های فعلی** | مسدودسازی SSRF برای شبکه‌های داخلی | | **ریسک باقی‌مانده** | بالا - URLهای خارجی مجازند | | **توصیه‌ها** | فهرست مجاز URL و آگاهی از طبقه‌بندی داده را پیاده‌سازی کنید | #### T-EXFIL-002: ارسال پیام غیرمجاز | ویژگی | مقدار | | ----------------------- | ---------------------------------------------------------------- | | **شناسه ATLAS** | AML.T0009 - جمع‌آوری | | **توضیح** | مهاجم باعث می‌شود عامل پیام‌هایی حاوی داده حساس ارسال کند | | **بردار حمله** | تزریق پرامپت که باعث می‌شود عامل به مهاجم پیام بدهد | | **اجزای متاثر** | ابزار پیام، یکپارچه‌سازی‌های کانال | | **کاهش‌دهنده‌های فعلی** | کنترل‌گذاری پیام‌رسانی خروجی | | **ریسک باقی‌مانده** | متوسط - ممکن است کنترل‌گذاری دور زده شود | | **توصیه‌ها** | برای گیرندگان جدید تایید صریح لازم کنید | #### T-EXFIL-003: برداشت اعتبارنامه‌ها | ویژگی | مقدار | | ----------------------- | ------------------------------------------------------- | | **شناسه ATLAS** | AML.T0009 - جمع‌آوری | | **توضیح** | Skill مخرب اعتبارنامه‌ها را از زمینه عامل برداشت می‌کند | | **بردار حمله** | کد Skill متغیرهای محیطی و فایل‌های پیکربندی را می‌خواند | | **اجزای متاثر** | محیط اجرای Skill | | **کاهش‌دهنده‌های فعلی** | مورد مشخصی برای Skills وجود ندارد | | **ریسک باقی‌مانده** | بحرانی - Skills با امتیازهای عامل اجرا می‌شوند | | **توصیه‌ها** | ایزوله‌سازی Skill، جداسازی اعتبارنامه‌ها | --- ### 3.8 اثر (AML.TA0011) #### T-IMPACT-001: اجرای فرمان غیرمجاز | ویژگی | مقدار | | ----------------------- | --------------------------------------------------- | | **شناسه ATLAS** | AML.T0031 - فرسایش یکپارچگی مدل AI | | **توضیح** | مهاجم فرمان‌های دلخواه را روی سیستم کاربر اجرا می‌کند | | **بردار حمله** | تزریق پرامپت همراه با دور زدن تایید exec | | **اجزای متاثر** | ابزار Bash، اجرای فرمان | | **کاهش‌دهنده‌های فعلی** | تاییدهای Exec، گزینه سندباکس Docker | | **ریسک باقی‌مانده** | بحرانی - اجرای میزبان بدون سندباکس | | **توصیه‌ها** | سندباکس را پیش‌فرض کنید، تجربه کاربری تایید را بهبود دهید | #### T-IMPACT-002: اتمام منابع (DoS) | ویژگی | مقدار | | ----------------------- | -------------------------------------------------- | | **شناسه ATLAS** | AML.T0031 - فرسایش یکپارچگی مدل AI | | **توضیح** | مهاجم اعتبارهای API یا منابع محاسباتی را تمام می‌کند | | **بردار حمله** | سیل خودکار پیام، فراخوانی‌های پرهزینه ابزار | | **اجزای متاثر** | Gateway، نشست‌های عامل، ارائه‌دهنده API | | **کاهش‌دهنده‌های فعلی** | هیچ‌کدام | | **ریسک باقی‌مانده** | بالا - محدودسازی نرخ وجود ندارد | | **توصیه‌ها** | محدودیت نرخ برای هر فرستنده و بودجه هزینه را پیاده‌سازی کنید | #### T-IMPACT-003: آسیب به اعتبار | ویژگی | مقدار | | ----------------------- | ------------------------------------------------------- | | **شناسه ATLAS** | AML.T0031 - فرسایش یکپارچگی مدل AI | | **توضیح** | مهاجم باعث می‌شود عامل محتوای آسیب‌زا/توهین‌آمیز ارسال کند | | **بردار حمله** | تزریق پرامپت که باعث پاسخ‌های نامناسب می‌شود | | **اجزای متاثر** | تولید خروجی، پیام‌رسانی کانال | | **کاهش‌دهنده‌های فعلی** | سیاست‌های محتوای ارائه‌دهنده LLM | | **ریسک باقی‌مانده** | متوسط - فیلترهای ارائه‌دهنده کامل نیستند | | **توصیه‌ها** | لایه فیلتر خروجی، کنترل‌های کاربر | --- ## 4. تحلیل زنجیره تامین ClawHub ### 4.1 کنترل‌های امنیتی فعلی | کنترل | پیاده‌سازی | اثربخشی | | -------------------- | --------------------------- | ---------------------------------------------------- | | سن حساب GitHub | `requireGitHubAccountAge()` | متوسط - مانع را برای مهاجمان جدید بالاتر می‌برد | | پاک‌سازی مسیر | `sanitizePath()` | بالا - از پیمایش مسیر جلوگیری می‌کند | | اعتبارسنجی نوع فایل | `isTextFile()` | متوسط - فقط فایل‌های متنی، اما همچنان می‌توانند مخرب باشند | | محدودیت‌های اندازه | بسته کل 50MB | بالا - از اتمام منابع جلوگیری می‌کند | | SKILL.md الزامی | راهنمای اجباری | ارزش امنیتی پایین - فقط اطلاع‌رسانی | | تعدیل الگو | FLAG_RULES در moderation.ts | پایین - به‌راحتی دور زده می‌شود | | وضعیت تعدیل | فیلد `moderationStatus` | متوسط - بازبینی دستی ممکن است | ### 4.2 الگوهای پرچم‌گذاری تعدیل الگوهای فعلی در `moderation.ts`: ```javascript // Known-bad identifiers /(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i // Suspicious keywords /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg|webhook|hooks\.slack)/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i ``` **محدودیت‌ها:** - فقط slug، displayName، summary، frontmatter، metadata و مسیرهای فایل را بررسی می‌کند - محتوای واقعی کد Skill را تحلیل نمی‌کند - regex ساده به‌راحتی با مبهم‌سازی دور زده می‌شود - تحلیل رفتاری وجود ندارد ### 4.3 بهبودهای برنامه‌ریزی‌شده | بهبود | وضعیت | اثر | | ---------------------- | ------------------------------------- | --------------------------------------------------------------------- | | یکپارچه‌سازی VirusTotal | در حال انجام | بالا - تحلیل رفتاری Code Insight | | گزارش‌دهی جامعه | جزئی (جدول `skillReports` وجود دارد) | متوسط | | ثبت لاگ حسابرسی | جزئی (جدول `auditLogs` وجود دارد) | متوسط | | سیستم نشان | پیاده‌سازی‌شده | متوسط - `highlighted`، `official`، `deprecated`، `redactionApproved` | --- ## 5. ماتریس ریسک ### 5.1 احتمال در برابر اثر | شناسه تهدید | احتمال | اثر | سطح ریسک | اولویت | | ------------- | ---------- | -------- | ------------ | -------- | | T-EXEC-001 | بالا | بحرانی | **بحرانی** | P0 | | T-PERSIST-001 | بالا | بحرانی | **بحرانی** | P0 | | T-EXFIL-003 | متوسط | بحرانی | **بحرانی** | P0 | | T-IMPACT-001 | متوسط | بحرانی | **بالا** | P1 | | T-EXEC-002 | بالا | بالا | **بالا** | P1 | | T-EXEC-004 | متوسط | بالا | **بالا** | P1 | | T-ACCESS-003 | متوسط | بالا | **بالا** | P1 | | T-EXFIL-001 | متوسط | بالا | **بالا** | P1 | | T-IMPACT-002 | بالا | متوسط | **بالا** | P1 | | T-EVADE-001 | بالا | متوسط | **متوسط** | P2 | | T-ACCESS-001 | پایین | بالا | **متوسط** | P2 | | T-ACCESS-002 | پایین | بالا | **متوسط** | P2 | | T-PERSIST-002 | پایین | بالا | **متوسط** | P2 | ### 5.2 زنجیره‌های حمله مسیر بحرانی **زنجیره حمله 1: سرقت داده مبتنی بر Skill** ``` T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) ``` **زنجیره حمله 2: تزریق پرامپت به RCE** ``` T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) ``` **زنجیره حمله 3: تزریق غیرمستقیم از طریق محتوای واکشی‌شده** ``` T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) ``` --- ## 6. خلاصه توصیه‌ها ### 6.1 فوری (P0) | شناسه | توصیه | موارد تحت پوشش | | ----- | ----------------------------------------------- | -------------------------- | | R-001 | تکمیل یکپارچه‌سازی VirusTotal | T-PERSIST-001, T-EVADE-001 | | R-002 | پیاده‌سازی sandboxing برای skill | T-PERSIST-001, T-EXFIL-003 | | R-003 | افزودن اعتبارسنجی خروجی برای اقدامات حساس | T-EXEC-001, T-EXEC-002 | ### 6.2 کوتاه‌مدت (P1) | شناسه | توصیه | موارد تحت پوشش | | ----- | ------------------------------------------ | -------------- | | R-004 | پیاده‌سازی محدودسازی نرخ | T-IMPACT-002 | | R-005 | افزودن رمزنگاری توکن در حالت ذخیره‌شده | T-ACCESS-003 | | R-006 | بهبود تجربه کاربری و اعتبارسنجی تأیید exec | T-EXEC-004 | | R-007 | پیاده‌سازی فهرست مجاز URL برای web_fetch | T-EXFIL-001 | ### 6.3 میان‌مدت (P2) | شناسه | توصیه | موارد تحت پوشش | | ----- | ---------------------------------------------------- | -------------- | | R-008 | افزودن راستی‌آزمایی رمزنگارانه کانال در صورت امکان | T-ACCESS-002 | | R-009 | پیاده‌سازی راستی‌آزمایی یکپارچگی پیکربندی | T-PERSIST-003 | | R-010 | افزودن امضای به‌روزرسانی و pinning نسخه | T-PERSIST-002 | --- ## 7. پیوست‌ها ### 7.1 نگاشت تکنیک‌های ATLAS | شناسه ATLAS | نام تکنیک | تهدیدهای OpenClaw | | ------------- | --------------------------------- | ---------------------------------------------------------------- | | AML.T0006 | اسکن فعال | T-RECON-001, T-RECON-002 | | AML.T0009 | گردآوری | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 | | AML.T0010.001 | زنجیره تأمین: نرم‌افزار هوش مصنوعی | T-PERSIST-001, T-PERSIST-002 | | AML.T0010.002 | زنجیره تأمین: داده | T-PERSIST-003 | | AML.T0031 | تضعیف یکپارچگی مدل هوش مصنوعی | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 | | AML.T0040 | دسترسی به API استنتاج مدل هوش مصنوعی | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 | | AML.T0043 | ساخت داده خصمانه | T-EXEC-004, T-EVADE-001, T-EVADE-002 | | AML.T0051.000 | تزریق پرامپت LLM: مستقیم | T-EXEC-001, T-EXEC-003 | | AML.T0051.001 | تزریق پرامپت LLM: غیرمستقیم | T-EXEC-002 | ### 7.2 فایل‌های امنیتی کلیدی | مسیر | هدف | سطح ریسک | | ----------------------------------- | -------------------------------- | ----------- | | `src/infra/exec-approvals.ts` | منطق تأیید فرمان | **بحرانی** | | `src/gateway/auth.ts` | احراز هویت Gateway | **بحرانی** | | `src/infra/net/ssrf.ts` | محافظت در برابر SSRF | **بحرانی** | | `src/security/external-content.ts` | کاهش اثر تزریق پرامپت | **بحرانی** | | `src/agents/sandbox/tool-policy.ts` | اعمال سیاست ابزار | **بحرانی** | | `src/routing/resolve-route.ts` | جداسازی نشست | **متوسط** | ### 7.3 واژه‌نامه | اصطلاح | تعریف | | ------------------- | -------------------------------------------------------- | | **ATLAS** | چشم‌انداز تهدیدهای خصمانه MITRE برای سامانه‌های هوش مصنوعی | | **ClawHub** | بازار skillهای OpenClaw | | **Gateway** | لایه مسیریابی پیام و احراز هویت OpenClaw | | **MCP** | Model Context Protocol - رابط ارائه‌دهنده ابزار | | **تزریق پرامپت** | حمله‌ای که در آن دستورالعمل‌های مخرب در ورودی جاسازی می‌شوند | | **Skill** | افزونه قابل دانلود برای عامل‌های OpenClaw | | **SSRF** | جعل درخواست سمت سرور | --- _این مدل تهدید یک سند زنده است. مسائل امنیتی را به security@openclaw.ai گزارش دهید_ ## مرتبط - [راستی‌آزمایی صوری](/fa/security/formal-verification) - [مشارکت در مدل تهدید](/fa/security/CONTRIBUTING-THREAT-MODEL)