Cadre MITRE ATLAS
Version : 1.0-brouillon
Dernière mise à jour : 2026-02-04
Méthodologie : MITRE ATLAS + diagrammes de flux de données
Cadre : MITRE ATLAS (paysage des menaces adversariales pour les systèmes d’IA)
Attribution du cadre
Ce modèle de menace s’appuie sur MITRE ATLAS , le cadre de référence du secteur pour documenter les menaces adversariales visant les systèmes d’IA/ML. ATLAS est maintenu par MITRE en collaboration avec la communauté de la sécurité de l’IA.
Ressources ATLAS clés :
Contribuer à ce modèle de menace
Il s’agit d’un document évolutif maintenu par la communauté OpenClaw. Consultez CONTRIBUTING-THREAT-MODEL.md pour les consignes de contribution :
Signaler de nouvelles menaces
Mettre à jour les menaces existantes
Proposer des chaînes d’attaque
Suggérer des mesures d’atténuation
1. Introduction
1.1 Objectif
Ce modèle de menace documente les menaces adversariales visant la plateforme d’agent IA OpenClaw et le marché de Skills ClawHub, à l’aide du cadre MITRE ATLAS conçu spécifiquement pour les systèmes d’IA/ML.
1.2 Périmètre
Composant
Inclus
Notes
Environnement d’exécution de l’agent OpenClaw
Oui
Exécution principale de l’agent, appels d’outils, sessions
Gateway
Oui
Authentification, routage, intégration des canaux
Intégrations de canaux
Oui
WhatsApp, Telegram, Discord, Signal, Slack, etc.
Marché ClawHub
Oui
Publication, modération, distribution des Skills
Serveurs MCP
Oui
Fournisseurs d’outils externes
Appareils utilisateur
Partiel
Applications mobiles, clients de bureau
1.3 Hors périmètre
Rien n’est explicitement hors périmètre pour ce modèle de menace.
2. Architecture du système
2.1 Limites de confiance
Code Copy code ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ 2.2 Flux de données
Flux
Source
Destination
Données
Protection
F1
Canal
Gateway
Messages utilisateur
TLS, AllowFrom
F2
Gateway
Agent
Messages routés
Isolation de session
F3
Agent
Outils
Appels d’outils
Application des politiques
F4
Agent
Externe
Requêtes web_fetch
Blocage SSRF
F5
ClawHub
Agent
Code des Skills
Modération, analyse
F6
Agent
Canal
Réponses
Filtrage de sortie
3. Analyse des menaces par tactique ATLAS
3.1 Reconnaissance (AML.TA0002)
T-RECON-001 : Découverte des points de terminaison d’agent
Attribut
Valeur
ID ATLAS AML.T0006 - Analyse active
Description Un attaquant recherche les points de terminaison Gateway OpenClaw exposés
Vecteur d’attaque Analyse réseau, requêtes Shodan, énumération DNS
Composants affectés Gateway, points de terminaison d’API exposés
Mesures d’atténuation actuelles Option d’authentification Tailscale, liaison à loopback par défaut
Risque résiduel Moyen - Les gateways publics sont découvrables
Recommandations Documenter le déploiement sécurisé, ajouter une limitation de débit sur les points de terminaison de découverte
T-RECON-002 : Sondage des intégrations de canaux
Attribut
Valeur
ID ATLAS AML.T0006 - Analyse active
Description L’attaquant sonde les canaux de messagerie pour identifier les comptes gérés par l’IA
Vecteur d’attaque Envoi de messages de test, observation des schémas de réponse
Composants affectés Toutes les intégrations de canaux
Atténuations actuelles Aucune spécifique
Risque résiduel Faible - Valeur limitée de la découverte seule
Recommandations Envisager une randomisation du délai de réponse
3.2 Accès initial (AML.TA0004)
T-ACCESS-001 : Interception du code d’appairage
Attribut
Valeur
ID ATLAS AML.T0040 - Accès à l’API d’inférence du modèle d’IA
Description L’attaquant intercepte le code d’appairage pendant la période de grâce d’appairage (1 h pour l’appairage de canal DM, 5 min pour l’appairage de node)
Vecteur d’attaque Observation par-dessus l’épaule, sniffing réseau, ingénierie sociale
Composants affectés Système d’appairage des appareils
Atténuations actuelles Expiration 1 h (appairage DM) / expiration 5 min (appairage de node), codes envoyés via le canal existant
Risque résiduel Moyen - Période de grâce exploitable
Recommandations Réduire la période de grâce, ajouter une étape de confirmation
T-ACCESS-002 : Usurpation AllowFrom
Attribut
Valeur
ID ATLAS AML.T0040 - Accès à l’API d’inférence du modèle d’IA
Description L’attaquant usurpe l’identité d’un expéditeur autorisé dans le canal
Vecteur d’attaque Dépend du canal - usurpation de numéro de téléphone, usurpation de nom d’utilisateur
Composants affectés Validation AllowFrom par canal
Atténuations actuelles Vérification d’identité propre au canal
Risque résiduel Moyen - Certains canaux sont vulnérables à l’usurpation
Recommandations Documenter les risques propres aux canaux, ajouter une vérification cryptographique lorsque c’est possible
T-ACCESS-003 : Vol de jetons
Attribut
Valeur
ID ATLAS AML.T0040 - Accès à l’API d’inférence du modèle d’IA
Description L’attaquant vole des jetons d’authentification depuis les fichiers de configuration
Vecteur d’attaque Malware, accès non autorisé à l’appareil, exposition de sauvegarde de configuration
Composants affectés ~/.openclaw/credentials/, stockage de configuration
Atténuations actuelles Permissions de fichier
Risque résiduel Élevé - Jetons stockés en texte clair
Recommandations Mettre en œuvre le chiffrement des jetons au repos, ajouter la rotation des jetons
3.3 Exécution (AML.TA0005)
T-EXEC-001 : Injection directe de prompt
Attribut
Valeur
ID ATLAS AML.T0051.000 - Injection de prompt LLM : directe
Description L’attaquant envoie des prompts conçus pour manipuler le comportement de l’agent
Vecteur d’attaque Messages de canal contenant des instructions adversariales
Composants affectés LLM de l’agent, toutes les surfaces d’entrée
Atténuations actuelles Détection de motifs, encapsulation du contenu externe
Risque résiduel Critique - Détection uniquement, aucun blocage ; les attaques sophistiquées la contournent
Recommandations Mettre en œuvre une défense multicouche, la validation des sorties, la confirmation utilisateur pour les actions sensibles
T-EXEC-002 : Injection indirecte de prompt
Attribut
Valeur
ID ATLAS AML.T0051.001 - Injection de prompt LLM : indirecte
Description L’attaquant intègre des instructions malveillantes dans du contenu récupéré
Vecteur d’attaque URL malveillantes, e-mails empoisonnés, webhooks compromis
Composants affectés web_fetch, ingestion d’e-mails, sources de données externes
Atténuations actuelles Encapsulation du contenu avec des balises XML et un avis de sécurité
Risque résiduel Élevé - Le LLM peut ignorer les instructions d’encapsulation
Recommandations Mettre en œuvre la sanitisation du contenu, séparer les contextes d’exécution
T-EXEC-003 : Injection d’arguments d’outil
Attribut
Valeur
ID ATLAS AML.T0051.000 - Injection de prompt LLM : directe
Description L’attaquant manipule les arguments d’outil par injection de prompt
Vecteur d’attaque Prompts conçus qui influencent les valeurs des paramètres d’outil
Composants affectés Tous les appels d’outils
Atténuations actuelles Approbations exec pour les commandes dangereuses
Risque résiduel Élevé - Dépend du jugement de l’utilisateur
Recommandations Mettre en œuvre la validation des arguments, des appels d’outils paramétrés
T-EXEC-004 : Contournement de l’approbation exec
Attribut
Valeur
ID ATLAS AML.T0043 - Création de données adversariales
Description L’attaquant conçoit des commandes qui contournent la liste d’autorisation des approbations
Vecteur d’attaque Obfuscation de commande, exploitation d’alias, manipulation de chemins
Composants affectés exec-approvals.ts, liste d’autorisation des commandes
Atténuations actuelles Liste d’autorisation + mode demande
Risque résiduel Élevé - Aucune sanitisation des commandes
Recommandations Mettre en œuvre la normalisation des commandes, étendre la liste de blocage
3.4 Persistance (AML.TA0006)
T-PERSIST-001 : Installation de Skill malveillant
Attribut
Valeur
ID ATLAS AML.T0010.001 - Compromission de la chaîne d’approvisionnement : logiciel d’IA
Description L’attaquant publie un Skill malveillant sur ClawHub
Vecteur d’attaque Créer un compte, publier un Skill avec du code malveillant caché
Composants affectés ClawHub, chargement de Skill, exécution de l’agent
Atténuations actuelles Vérification de l’âge du compte GitHub, indicateurs de modération basés sur des motifs
Risque résiduel Critique - Pas de sandboxing, examen limité
Recommandations Intégration VirusTotal (en cours), sandboxing des Skills, revue communautaire
T-PERSIST-002 : Empoisonnement de mise à jour de Skill
Attribut
Valeur
ID ATLAS AML.T0010.001 - Compromission de la chaîne d’approvisionnement : logiciel d’IA
Description L’attaquant compromet un Skill populaire et pousse une mise à jour malveillante
Vecteur d’attaque Compromission de compte, ingénierie sociale du propriétaire du Skill
Composants affectés Versionnement ClawHub, flux de mise à jour automatique
Atténuations actuelles Empreinte de version
Risque résiduel Élevé - Les mises à jour automatiques peuvent récupérer des versions malveillantes
Recommandations Mettre en œuvre la signature des mises à jour, la capacité de restauration, l’épinglage de version
T-PERSIST-003 : Altération de la configuration de l’agent
Attribut
Valeur
ID ATLAS AML.T0010.002 - Compromission de la chaîne d’approvisionnement : données
Description L’attaquant modifie la configuration de l’agent pour maintenir l’accès
Vecteur d’attaque Modification du fichier de configuration, injection de paramètres
Composants affectés Configuration de l’agent, politiques d’outils
Atténuations actuelles Permissions de fichier
Risque résiduel Moyen - Nécessite un accès local
Recommandations Vérification de l’intégrité de la configuration, journalisation d’audit des modifications de configuration
3.5 Évasion de défense (AML.TA0007)
T-EVADE-001 : Contournement des motifs de modération
Attribut
Valeur
ID ATLAS AML.T0043 - Création de données adversariales
Description L’attaquant conçoit du contenu de Skill pour échapper aux motifs de modération
Vecteur d’attaque Homoglyphes Unicode, astuces d’encodage, chargement dynamique
Composants affectés ClawHub moderation.ts
Atténuations actuelles FLAG_RULES basées sur des motifs
Risque résiduel Élevé - Regex simples facilement contournées
Recommandations Ajouter une analyse comportementale (VirusTotal Code Insight), une détection basée sur AST
T-EVADE-002 : Échappement de l’encapsulation de contenu
Attribut
Valeur
ID ATLAS AML.T0043 - Créer des données adversariales
Description L’attaquant crée du contenu qui sort du contexte d’enveloppe XML
Vecteur d’attaque Manipulation de balises, confusion de contexte, remplacement d’instructions
Composants affectés Encapsulation de contenu externe
Atténuations actuelles Balises XML + avis de sécurité
Risque résiduel Moyen - De nouvelles échappatoires sont découvertes régulièrement
Recommandations Plusieurs couches d’encapsulation, validation côté sortie
3.6 Découverte (AML.TA0008)
T-DISC-001 : Énumération des outils
Attribut
Valeur
ID ATLAS AML.T0040 - Accès à l’API d’inférence de modèle d’IA
Description L’attaquant énumère les outils disponibles par prompt
Vecteur d’attaque Requêtes du type « Quels outils as-tu ? »
Composants affectés Registre des outils de l’agent
Atténuations actuelles Aucune spécifique
Risque résiduel Faible - Les outils sont généralement documentés
Recommandations Envisager des contrôles de visibilité des outils
Attribut
Valeur
ID ATLAS AML.T0040 - Accès à l’API d’inférence de modèle d’IA
Description L’attaquant extrait des données sensibles du contexte de session
Vecteur d’attaque Requêtes « De quoi avons-nous discuté ? », sondage du contexte
Composants affectés Transcriptions de session, fenêtre de contexte
Atténuations actuelles Isolation de session par expéditeur
Risque résiduel Moyen - Les données intra-session sont accessibles
Recommandations Implémenter la censure des données sensibles dans le contexte
3.7 Collecte et exfiltration (AML.TA0009, AML.TA0010)
T-EXFIL-001 : Vol de données via web_fetch
Attribut
Valeur
ID ATLAS AML.T0009 - Collecte
Description L’attaquant exfiltre des données en demandant à l’agent de les envoyer à une URL externe
Vecteur d’attaque Injection de prompt amenant l’agent à envoyer des données par POST au serveur de l’attaquant
Composants affectés Outil web_fetch
Atténuations actuelles Blocage SSRF pour les réseaux internes
Risque résiduel Élevé - Les URL externes sont autorisées
Recommandations Implémenter une liste d’URL autorisées, sensibilisation à la classification des données
T-EXFIL-002 : Envoi de messages non autorisé
Attribut
Valeur
ID ATLAS AML.T0009 - Collecte
Description L’attaquant amène l’agent à envoyer des messages contenant des données sensibles
Vecteur d’attaque Injection de prompt amenant l’agent à envoyer un message à l’attaquant
Composants affectés Outil de messagerie, intégrations de canaux
Atténuations actuelles Contrôle des messages sortants
Risque résiduel Moyen - Le contrôle peut être contourné
Recommandations Exiger une confirmation explicite pour les nouveaux destinataires
T-EXFIL-003 : Collecte d’identifiants
Attribut
Valeur
ID ATLAS AML.T0009 - Collecte
Description Une skill malveillante collecte des identifiants depuis le contexte de l’agent
Vecteur d’attaque Le code de la skill lit des variables d’environnement et des fichiers de configuration
Composants affectés Environnement d’exécution des skills
Atténuations actuelles Aucune spécifique aux skills
Risque résiduel Critique - Les Skills s’exécutent avec les privilèges de l’agent
Recommandations Cloisonnement des skills, isolation des identifiants
3.8 Impact (AML.TA0011)
T-IMPACT-001 : Exécution de commandes non autorisée
Attribut
Valeur
ID ATLAS AML.T0031 - Éroder l’intégrité du modèle d’IA
Description L’attaquant exécute des commandes arbitraires sur le système de l’utilisateur
Vecteur d’attaque Injection de prompt combinée à un contournement d’approbation exec
Composants affectés Outil Bash, exécution de commandes
Atténuations actuelles Approbations exec, option de bac à sable Docker
Risque résiduel Critique - Exécution sur l’hôte sans bac à sable
Recommandations Utiliser le bac à sable par défaut, améliorer l’UX d’approbation
T-IMPACT-002 : Épuisement des ressources (DoS)
Attribut
Valeur
ID ATLAS AML.T0031 - Éroder l’intégrité du modèle d’IA
Description L’attaquant épuise les crédits d’API ou les ressources de calcul
Vecteur d’attaque Inondation automatisée de messages, appels d’outils coûteux
Composants affectés Gateway, sessions d’agent, fournisseur d’API
Atténuations actuelles Aucune
Risque résiduel Élevé - Aucune limitation de débit
Recommandations Implémenter des limites de débit par expéditeur et des budgets de coût
T-IMPACT-003 : Atteinte à la réputation
Attribut
Valeur
ID ATLAS AML.T0031 - Éroder l’intégrité du modèle d’IA
Description L’attaquant amène l’agent à envoyer du contenu nuisible ou offensant
Vecteur d’attaque Injection de prompt provoquant des réponses inappropriées
Composants affectés Génération de sortie, messagerie de canal
Atténuations actuelles Politiques de contenu du fournisseur de LLM
Risque résiduel Moyen - Les filtres du fournisseur sont imparfaits
Recommandations Couche de filtrage de sortie, contrôles utilisateur
4. Analyse de la chaîne d’approvisionnement ClawHub
4.1 Contrôles de sécurité actuels
Contrôle
Implémentation
Efficacité
Âge du compte GitHub
requireGitHubAccountAge()Moyen - Élève le niveau requis pour les nouveaux attaquants
Nettoyage des chemins
sanitizePath()Élevée - Empêche la traversée de chemins
Validation du type de fichier
isTextFile()Moyenne - Fichiers texte uniquement, mais ils peuvent tout de même être malveillants
Limites de taille
Bundle total de 50 Mo
Élevée - Empêche l’épuisement des ressources
SKILL.md requis
README obligatoire
Faible valeur de sécurité - Informatif uniquement
Modération par motifs
FLAG_RULES dans moderation.ts
Faible - Facilement contournée
État de modération
Champ moderationStatus
Moyen - Revue manuelle possible
4.2 Motifs d’indicateurs de modération
Motifs actuels dans moderation.ts :
javascript Copy code /(keepcold131\/ClawdAuthenticatorTool |ClawdAuthenticatorTool )/i /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg |webhook|hooks\.slack )/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly |tinyurl\.com |t\.co |goo\.gl |is\.gd )/i Limites :
Vérifie uniquement le slug, displayName, le résumé, le frontmatter, les métadonnées et les chemins de fichiers
N’analyse pas le contenu réel du code de la skill
Regex simple, facilement contournée par obfuscation
Aucune analyse comportementale
4.3 Améliorations prévues
Amélioration
État
Impact
Intégration VirusTotal
En cours
Élevé - Analyse comportementale Code Insight
Signalement communautaire
Partiel (la table skillReports existe)
Moyen
Journalisation d’audit
Partielle (la table auditLogs existe)
Moyen
Système de badges
Implémenté
Moyen - highlighted, official, deprecated, redactionApproved
5. Matrice des risques
5.1 Probabilité vs impact
ID de menace
Probabilité
Impact
Niveau de risque
Priorité
T-EXEC-001
Élevée
Critique
Critique P0
T-PERSIST-001
Élevée
Critique
Critique P0
T-EXFIL-003
Moyenne
Critique
Critique P0
T-IMPACT-001
Moyenne
Critique
Élevé P1
T-EXEC-002
Élevée
Élevé
Élevé P1
T-EXEC-004
Moyenne
Élevé
Élevé P1
T-ACCESS-003
Moyenne
Élevé
Élevé P1
T-EXFIL-001
Moyenne
Élevé
Élevé P1
T-IMPACT-002
Élevée
Moyen
Élevé P1
T-EVADE-001
Élevée
Moyen
Moyen P2
T-ACCESS-001
Faible
Élevé
Moyen P2
T-ACCESS-002
Faible
Élevé
Moyen P2
T-PERSIST-002
Faible
Élevé
Moyen P2
5.2 Chaînes d’attaque du chemin critique
Chaîne d’attaque 1 : vol de données basé sur une skill
Code Copy code T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) Chaîne d’attaque 2 : injection de prompt vers RCE
Code Copy code T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) Chaîne d’attaque 3 : injection indirecte via contenu récupéré
Code Copy code T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) 6. Résumé des recommandations
6.1 Immédiat (P0)
ID
Recommandation
Traite
R-001
Terminer l’intégration VirusTotal
T-PERSIST-001, T-EVADE-001
R-002
Mettre en œuvre l’isolation des Skills
T-PERSIST-001, T-EXFIL-003
R-003
Ajouter une validation de sortie pour les actions sensibles
T-EXEC-001, T-EXEC-002
6.2 Court terme (P1)
ID
Recommandation
Traite
R-004
Mettre en œuvre la limitation de débit
T-IMPACT-002
R-005
Ajouter le chiffrement des jetons au repos
T-ACCESS-003
R-006
Améliorer l’UX et la validation de l’approbation exec
T-EXEC-004
R-007
Mettre en œuvre une liste d’autorisation d’URL pour web_fetch
T-EXFIL-001
6.3 Moyen terme (P2)
ID
Recommandation
Traite
R-008
Ajouter une vérification cryptographique des canaux lorsque possible
T-ACCESS-002
R-009
Mettre en œuvre la vérification de l’intégrité de la configuration
T-PERSIST-003
R-010
Ajouter la signature des mises à jour et l’épinglage des versions
T-PERSIST-002
7. Annexes
7.1 Correspondance des techniques ATLAS
ID ATLAS
Nom de la technique
Menaces OpenClaw
AML.T0006
Analyse active
T-RECON-001, T-RECON-002
AML.T0009
Collecte
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001
Chaîne d’approvisionnement : logiciel d’IA
T-PERSIST-001, T-PERSIST-002
AML.T0010.002
Chaîne d’approvisionnement : données
T-PERSIST-003
AML.T0031
Éroder l’intégrité du modèle d’IA
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040
Accès à l’API d’inférence du modèle d’IA
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043
Créer des données adversariales
T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000
Injection de prompt LLM : directe
T-EXEC-001, T-EXEC-003
AML.T0051.001
Injection de prompt LLM : indirecte
T-EXEC-002
7.2 Fichiers de sécurité clés
Chemin
Objectif
Niveau de risque
src/infra/exec-approvals.tsLogique d’approbation des commandes
Critique
src/gateway/auth.tsAuthentification du Gateway
Critique
src/infra/net/ssrf.tsProtection SSRF
Critique
src/security/external-content.tsAtténuation de l’injection de prompt
Critique
src/agents/sandbox/tool-policy.tsApplication de la politique des outils
Critique
src/routing/resolve-route.tsIsolation des sessions
Moyen
7.3 Glossaire
Terme
Définition
ATLAS Paysage des menaces adversariales de MITRE pour les systèmes d’IA
ClawHub Marketplace de Skills d’OpenClaw
Gateway Couche de routage des messages et d’authentification d’OpenClaw
MCP Model Context Protocol - interface de fournisseur d’outils
Prompt Injection Attaque où des instructions malveillantes sont intégrées dans l’entrée
Skill Extension téléchargeable pour les agents OpenClaw
SSRF Server-Side Request Forgery
Ce modèle de menace est un document vivant. Signalez les problèmes de sécurité à [email protected]
Associé
