--- read_when: - Meninjau postur keamanan atau skenario ancaman - Mengerjakan fitur keamanan atau respons audit summary: Model ancaman OpenClaw yang dipetakan ke kerangka kerja MITRE ATLAS title: Model ancaman (MITRE ATLAS) x-i18n: generated_at: "2026-05-06T17:59:37Z" model: gpt-5.5 provider: openai source_hash: e7371231e9795cd899d727b87dfba7a5cae963f1fd1e50226e3fbb7488ef7381 source_path: security/THREAT-MODEL-ATLAS.md workflow: 16 --- ## Kerangka kerja MITRE ATLAS **Versi:** 1.0-draft **Terakhir Diperbarui:** 2026-02-04 **Metodologi:** MITRE ATLAS + Diagram Alur Data **Kerangka kerja:** [MITRE ATLAS](https://atlas.mitre.org/) (Lanskap Ancaman Adversarial untuk Sistem AI) ### Atribusi kerangka kerja Model ancaman ini dibangun berdasarkan [MITRE ATLAS](https://atlas.mitre.org/), kerangka kerja standar industri untuk mendokumentasikan ancaman adversarial terhadap sistem AI/ML. ATLAS dikelola oleh [MITRE](https://www.mitre.org/) melalui kolaborasi dengan komunitas keamanan AI. **Sumber Daya Utama ATLAS:** - [Teknik ATLAS](https://atlas.mitre.org/techniques/) - [Taktik ATLAS](https://atlas.mitre.org/tactics/) - [Studi Kasus ATLAS](https://atlas.mitre.org/studies/) - [GitHub ATLAS](https://github.com/mitre-atlas/atlas-data) - [Berkontribusi ke ATLAS](https://atlas.mitre.org/resources/contribute) ### Berkontribusi pada Model Ancaman Ini Ini adalah dokumen hidup yang dikelola oleh komunitas OpenClaw. Lihat [CONTRIBUTING-THREAT-MODEL.md](/id/security/CONTRIBUTING-THREAT-MODEL) untuk panduan berkontribusi: - Melaporkan ancaman baru - Memperbarui ancaman yang ada - Mengusulkan rantai serangan - Menyarankan mitigasi --- ## 1. Pengantar ### 1.1 Tujuan Model ancaman ini mendokumentasikan ancaman adversarial terhadap platform agen AI OpenClaw dan marketplace skill ClawHub, menggunakan kerangka kerja MITRE ATLAS yang dirancang khusus untuk sistem AI/ML. ### 1.2 Cakupan | Komponen | Termasuk | Catatan | | ---------------------- | -------- | ------------------------------------------------ | | Runtime Agen OpenClaw | Ya | Eksekusi agen inti, panggilan alat, sesi | | Gateway | Ya | Autentikasi, perutean, integrasi kanal | | Integrasi Kanal | Ya | WhatsApp, Telegram, Discord, Signal, Slack, dll. | | Marketplace ClawHub | Ya | Publikasi skill, moderasi, distribusi | | Server MCP | Ya | Penyedia alat eksternal | | Perangkat Pengguna | Sebagian | Aplikasi seluler, klien desktop | ### 1.3 Di Luar Cakupan Tidak ada yang secara eksplisit berada di luar cakupan model ancaman ini. --- ## 2. Arsitektur Sistem ### 2.1 Batas Kepercayaan ``` ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ ``` ### 2.2 Alur Data | Alur | Sumber | Tujuan | Data | Perlindungan | | ---- | ------- | ----------- | ------------------ | -------------------- | | F1 | Kanal | Gateway | Pesan pengguna | TLS, AllowFrom | | F2 | Gateway | Agen | Pesan yang dirutekan | Isolasi sesi | | F3 | Agen | Alat | Pemanggilan alat | Penegakan kebijakan | | F4 | Agen | Eksternal | permintaan web_fetch | Pemblokiran SSRF | | F5 | ClawHub | Agen | Kode skill | Moderasi, pemindaian | | F6 | Agen | Kanal | Respons | Penyaringan keluaran | --- ## 3. Analisis Ancaman berdasarkan Taktik ATLAS ### 3.1 Pengintaian (AML.TA0002) #### T-RECON-001: Penemuan Endpoint Agen | Atribut | Nilai | | ----------------------- | -------------------------------------------------------------------- | | **ID ATLAS** | AML.T0006 - Pemindaian Aktif | | **Deskripsi** | Penyerang memindai endpoint Gateway OpenClaw yang terekspos | | **Vektor Serangan** | Pemindaian jaringan, kueri shodan, enumerasi DNS | | **Komponen Terdampak** | Gateway, endpoint API yang terekspos | | **Mitigasi Saat Ini** | Opsi auth Tailscale, bind ke loopback secara default | | **Risiko Residual** | Sedang - Gateway publik dapat ditemukan | | **Rekomendasi** | Dokumentasikan deployment aman, tambahkan pembatasan laju pada endpoint penemuan | #### T-RECON-002: Probing Integrasi Kanal | Atribut | Nilai | | ---------------------- | -------------------------------------------------------------------------- | | **ID ATLAS** | AML.T0006 - Pemindaian Aktif | | **Deskripsi** | Penyerang memeriksa saluran perpesanan untuk mengidentifikasi akun yang dikelola AI | | **Vektor Serangan** | Mengirim pesan uji, mengamati pola respons | | **Komponen Terdampak** | Semua integrasi saluran | | **Mitigasi Saat Ini** | Tidak ada yang spesifik | | **Risiko Residual** | Rendah - Nilai terbatas dari penemuan saja | | **Rekomendasi** | Pertimbangkan pengacakan waktu respons | --- ### 3.2 Akses Awal (AML.TA0004) #### T-ACCESS-001: Intersepsi Kode Pairing | Atribut | Nilai | | ---------------------- | ------------------------------------------------------------------------------------------------------------- | | **ID ATLAS** | AML.T0040 - Akses API Inferensi Model AI | | **Deskripsi** | Penyerang mengintersepsi kode pairing selama masa tenggang pairing (1h untuk pairing saluran DM, 5m untuk pairing Node) | | **Vektor Serangan** | Mengintip dari balik bahu, penyadapan jaringan, rekayasa sosial | | **Komponen Terdampak** | Sistem pairing perangkat | | **Mitigasi Saat Ini** | Kedaluwarsa 1h (pairing DM) / kedaluwarsa 5m (pairing Node), kode dikirim melalui saluran yang ada | | **Risiko Residual** | Sedang - Masa tenggang dapat dieksploitasi | | **Rekomendasi** | Kurangi masa tenggang, tambahkan langkah konfirmasi | #### T-ACCESS-002: Pemalsuan AllowFrom | Atribut | Nilai | | ---------------------- | ------------------------------------------------------------------------------ | | **ID ATLAS** | AML.T0040 - Akses API Inferensi Model AI | | **Deskripsi** | Penyerang memalsukan identitas pengirim yang diizinkan di saluran | | **Vektor Serangan** | Bergantung pada saluran - pemalsuan nomor telepon, peniruan nama pengguna | | **Komponen Terdampak** | Validasi AllowFrom per saluran | | **Mitigasi Saat Ini** | Verifikasi identitas spesifik saluran | | **Risiko Residual** | Sedang - Sebagian saluran rentan terhadap pemalsuan | | **Rekomendasi** | Dokumentasikan risiko spesifik saluran, tambahkan verifikasi kriptografis jika memungkinkan | #### T-ACCESS-003: Pencurian Token | Atribut | Nilai | | ---------------------- | ------------------------------------------------------------ | | **ID ATLAS** | AML.T0040 - Akses API Inferensi Model AI | | **Deskripsi** | Penyerang mencuri token autentikasi dari file konfigurasi | | **Vektor Serangan** | Malware, akses perangkat tanpa izin, paparan cadangan konfigurasi | | **Komponen Terdampak** | ~/.openclaw/credentials/, penyimpanan konfigurasi | | **Mitigasi Saat Ini** | Izin file | | **Risiko Residual** | Tinggi - Token disimpan dalam teks biasa | | **Rekomendasi** | Terapkan enkripsi token saat tersimpan, tambahkan rotasi token | --- ### 3.3 Eksekusi (AML.TA0005) #### T-EXEC-001: Injeksi Prompt Langsung | Atribut | Nilai | | ---------------------- | ----------------------------------------------------------------------------------------- | | **ID ATLAS** | AML.T0051.000 - Injeksi Prompt LLM: Langsung | | **Deskripsi** | Penyerang mengirim prompt yang dirancang untuk memanipulasi perilaku agen | | **Vektor Serangan** | Pesan saluran yang berisi instruksi adversarial | | **Komponen Terdampak** | LLM agen, semua permukaan input | | **Mitigasi Saat Ini** | Deteksi pola, pembungkusan konten eksternal | | **Risiko Residual** | Kritis - Hanya deteksi, tanpa pemblokiran; serangan canggih dapat melewati | | **Rekomendasi** | Terapkan pertahanan berlapis, validasi output, konfirmasi pengguna untuk tindakan sensitif | #### T-EXEC-002: Injeksi Prompt Tidak Langsung | Atribut | Nilai | | ---------------------- | ----------------------------------------------------------- | | **ID ATLAS** | AML.T0051.001 - Injeksi Prompt LLM: Tidak Langsung | | **Deskripsi** | Penyerang menyematkan instruksi berbahaya dalam konten yang diambil | | **Vektor Serangan** | URL berbahaya, email yang diracuni, webhook yang disusupi | | **Komponen Terdampak** | web_fetch, penyerapan email, sumber data eksternal | | **Mitigasi Saat Ini** | Pembungkusan konten dengan tag XML dan pemberitahuan keamanan | | **Risiko Residual** | Tinggi - LLM dapat mengabaikan instruksi pembungkus | | **Rekomendasi** | Terapkan sanitasi konten, pisahkan konteks eksekusi | #### T-EXEC-003: Injeksi Argumen Tool | Atribut | Nilai | | ---------------------- | ------------------------------------------------------------ | | **ID ATLAS** | AML.T0051.000 - Injeksi Prompt LLM: Langsung | | **Deskripsi** | Penyerang memanipulasi argumen tool melalui injeksi prompt | | **Vektor Serangan** | Prompt yang dirancang untuk memengaruhi nilai parameter tool | | **Komponen Terdampak** | Semua pemanggilan tool | | **Mitigasi Saat Ini** | Persetujuan exec untuk perintah berbahaya | | **Risiko Residual** | Tinggi - Bergantung pada penilaian pengguna | | **Rekomendasi** | Terapkan validasi argumen, panggilan tool berparameter | #### T-EXEC-004: Bypass Persetujuan Exec | Atribut | Nilai | | ---------------------- | ---------------------------------------------------------- | | **ID ATLAS** | AML.T0043 - Membuat Data Adversarial | | **Deskripsi** | Penyerang membuat perintah yang melewati daftar izin persetujuan | | **Vektor Serangan** | Pengaburan perintah, eksploitasi alias, manipulasi path | | **Komponen Terdampak** | exec-approvals.ts, daftar izin perintah | | **Mitigasi Saat Ini** | Daftar izin + mode tanya | | **Risiko Residual** | Tinggi - Tidak ada sanitasi perintah | | **Rekomendasi** | Terapkan normalisasi perintah, perluas daftar blokir | --- ### 3.4 Persistensi (AML.TA0006) #### T-PERSIST-001: Instalasi Skill Berbahaya | Atribut | Nilai | | ---------------------- | ------------------------------------------------------------------------ | | **ID ATLAS** | AML.T0010.001 - Kompromi Rantai Pasok: Perangkat Lunak AI | | **Deskripsi** | Penyerang menerbitkan skill berbahaya ke ClawHub | | **Vektor Serangan** | Membuat akun, menerbitkan skill dengan kode berbahaya tersembunyi | | **Komponen Terdampak** | ClawHub, pemuatan skill, eksekusi agen | | **Mitigasi Saat Ini** | Verifikasi usia akun GitHub, flag moderasi berbasis pola | | **Risiko Residual** | Kritis - Tidak ada sandboxing, tinjauan terbatas | | **Rekomendasi** | Integrasi VirusTotal (sedang berlangsung), sandboxing skill, tinjauan komunitas | #### T-PERSIST-002: Peracunan Pembaruan Skill | Atribut | Nilai | | ---------------------- | -------------------------------------------------------------- | | **ID ATLAS** | AML.T0010.001 - Kompromi Rantai Pasok: Perangkat Lunak AI | | **Deskripsi** | Penyerang menyusupi skill populer dan mendorong pembaruan berbahaya | | **Vektor Serangan** | Kompromi akun, rekayasa sosial terhadap pemilik skill | | **Komponen Terdampak** | Pembuatan versi ClawHub, alur pembaruan otomatis | | **Mitigasi Saat Ini** | Fingerprinting versi | | **Risiko Residual** | Tinggi - Pembaruan otomatis dapat menarik versi berbahaya | | **Rekomendasi** | Terapkan penandatanganan pembaruan, kemampuan rollback, pinning versi | #### T-PERSIST-003: Perusakan Konfigurasi Agen | Atribut | Nilai | | ---------------------- | --------------------------------------------------------------- | | **ID ATLAS** | AML.T0010.002 - Kompromi Rantai Pasok: Data | | **Deskripsi** | Penyerang memodifikasi konfigurasi agen untuk mempertahankan akses | | **Vektor Serangan** | Modifikasi file konfigurasi, injeksi pengaturan | | **Komponen Terdampak** | Konfigurasi agen, kebijakan tool | | **Mitigasi Saat Ini** | Izin file | | **Risiko Residual** | Sedang - Memerlukan akses lokal | | **Rekomendasi** | Verifikasi integritas konfigurasi, logging audit untuk perubahan konfigurasi | --- ### 3.5 Penghindaran Pertahanan (AML.TA0007) #### T-EVADE-001: Bypass Pola Moderasi | Atribut | Nilai | | ---------------------- | ---------------------------------------------------------------------- | | **ID ATLAS** | AML.T0043 - Membuat Data Adversarial | | **Deskripsi** | Penyerang membuat konten skill untuk menghindari pola moderasi | | **Vektor Serangan** | Homoglif Unicode, trik encoding, pemuatan dinamis | | **Komponen Terdampak** | moderation.ts ClawHub | | **Mitigasi Saat Ini** | FLAG_RULES berbasis pola | | **Risiko Residual** | Tinggi - Regex sederhana mudah dilewati | | **Rekomendasi** | Tambahkan analisis perilaku (VirusTotal Code Insight), deteksi berbasis AST | #### T-EVADE-002: Escape Pembungkus Konten | Atribut | Nilai | | ---------------------- | --------------------------------------------------------- | | **ID ATLAS** | AML.T0043 - Membuat Data Adversarial | | **Deskripsi** | Penyerang membuat konten yang keluar dari konteks pembungkus XML | | **Vektor Serangan** | Manipulasi tag, kebingungan konteks, penimpaan instruksi | | **Komponen Terdampak** | Pembungkusan konten eksternal | | **Mitigasi Saat Ini** | Tag XML + pemberitahuan keamanan | | **Risiko Residual** | Sedang - Escape baru ditemukan secara rutin | | **Rekomendasi** | Beberapa lapisan pembungkus, validasi sisi output | --- ### 3.6 Penemuan (AML.TA0008) #### T-DISC-001: Enumerasi Tool | Atribut | Nilai | | ---------------------- | ----------------------------------------------------- | | **ID ATLAS** | AML.T0040 - Akses API Inferensi Model AI | | **Deskripsi** | Penyerang menginventarisasi tool yang tersedia melalui prompting | | **Vektor Serangan** | Kueri bergaya "Tool apa yang Anda miliki?" | | **Komponen Terdampak** | Registri tool agen | | **Mitigasi Saat Ini** | Tidak ada yang spesifik | | **Risiko Residual** | Rendah - Tool umumnya terdokumentasi | | **Rekomendasi** | Pertimbangkan kontrol visibilitas tool | #### T-DISC-002: Ekstraksi Data Sesi | Atribut | Nilai | | ---------------------- | ----------------------------------------------------- | | **ID ATLAS** | AML.T0040 - Akses API Inferensi Model AI | | **Deskripsi** | Penyerang mengekstrak data sensitif dari konteks sesi | | **Vektor Serangan** | Kueri "Apa yang tadi kita bahas?", probing konteks | | **Komponen Terdampak** | Transkrip sesi, jendela konteks | | **Mitigasi Saat Ini** | Isolasi sesi per pengirim | | **Risiko Residual** | Sedang - Data dalam sesi dapat diakses | | **Rekomendasi** | Implementasikan redaksi data sensitif dalam konteks | --- ### 3.7 Pengumpulan & Eksfiltrasi (AML.TA0009, AML.TA0010) #### T-EXFIL-001: Pencurian Data melalui web_fetch | Atribut | Nilai | | ---------------------- | ---------------------------------------------------------------------- | | **ID ATLAS** | AML.T0009 - Pengumpulan | | **Deskripsi** | Penyerang mengeksfiltrasi data dengan menginstruksikan agen untuk mengirim ke URL eksternal | | **Vektor Serangan** | Injeksi prompt yang menyebabkan agen melakukan POST data ke server penyerang | | **Komponen Terdampak** | Tool web_fetch | | **Mitigasi Saat Ini** | Pemblokiran SSRF untuk jaringan internal | | **Risiko Residual** | Tinggi - URL eksternal diizinkan | | **Rekomendasi** | Implementasikan daftar URL yang diizinkan, kesadaran klasifikasi data | #### T-EXFIL-002: Pengiriman Pesan Tidak Sah | Atribut | Nilai | | ---------------------- | ---------------------------------------------------------------- | | **ID ATLAS** | AML.T0009 - Pengumpulan | | **Deskripsi** | Penyerang menyebabkan agen mengirim pesan yang berisi data sensitif | | **Vektor Serangan** | Injeksi prompt yang menyebabkan agen mengirim pesan kepada penyerang | | **Komponen Terdampak** | Tool pesan, integrasi kanal | | **Mitigasi Saat Ini** | Gating pesan keluar | | **Risiko Residual** | Sedang - Gating mungkin dapat dilewati | | **Rekomendasi** | Wajibkan konfirmasi eksplisit untuk penerima baru | #### T-EXFIL-003: Pemanenan Kredensial | Atribut | Nilai | | ---------------------- | ------------------------------------------------------- | | **ID ATLAS** | AML.T0009 - Pengumpulan | | **Deskripsi** | Skill berbahaya memanen kredensial dari konteks agen | | **Vektor Serangan** | Kode skill membaca variabel lingkungan, file konfigurasi | | **Komponen Terdampak** | Lingkungan eksekusi skill | | **Mitigasi Saat Ini** | Tidak ada yang spesifik untuk skill | | **Risiko Residual** | Kritis - Skills berjalan dengan hak istimewa agen | | **Rekomendasi** | Sandboxing skill, isolasi kredensial | --- ### 3.8 Dampak (AML.TA0011) #### T-IMPACT-001: Eksekusi Perintah Tidak Sah | Atribut | Nilai | | ---------------------- | --------------------------------------------------- | | **ID ATLAS** | AML.T0031 - Mengikis Integritas Model AI | | **Deskripsi** | Penyerang menjalankan perintah arbitrer pada sistem pengguna | | **Vektor Serangan** | Injeksi prompt yang digabungkan dengan bypass persetujuan exec | | **Komponen Terdampak** | Tool Bash, eksekusi perintah | | **Mitigasi Saat Ini** | Persetujuan exec, opsi sandbox Docker | | **Risiko Residual** | Kritis - Eksekusi host tanpa sandbox | | **Rekomendasi** | Jadikan sandbox sebagai default, tingkatkan UX persetujuan | #### T-IMPACT-002: Kehabisan Sumber Daya (DoS) | Atribut | Nilai | | ---------------------- | -------------------------------------------------- | | **ID ATLAS** | AML.T0031 - Mengikis Integritas Model AI | | **Deskripsi** | Penyerang menghabiskan kredit API atau sumber daya komputasi | | **Vektor Serangan** | Banjir pesan otomatis, panggilan tool mahal | | **Komponen Terdampak** | Gateway, sesi agen, penyedia API | | **Mitigasi Saat Ini** | Tidak ada | | **Risiko Residual** | Tinggi - Tidak ada pembatasan laju | | **Rekomendasi** | Implementasikan batas laju per pengirim, anggaran biaya | #### T-IMPACT-003: Kerusakan Reputasi | Atribut | Nilai | | ---------------------- | ------------------------------------------------------- | | **ID ATLAS** | AML.T0031 - Mengikis Integritas Model AI | | **Deskripsi** | Penyerang menyebabkan agen mengirim konten berbahaya/menyinggung | | **Vektor Serangan** | Injeksi prompt yang menyebabkan respons tidak pantas | | **Komponen Terdampak** | Pembuatan output, pengiriman pesan kanal | | **Mitigasi Saat Ini** | Kebijakan konten penyedia LLM | | **Risiko Residual** | Sedang - Filter penyedia tidak sempurna | | **Rekomendasi** | Lapisan pemfilteran output, kontrol pengguna | --- ## 4. Analisis Rantai Pasok ClawHub ### 4.1 Kontrol Keamanan Saat Ini | Kontrol | Implementasi | Efektivitas | | -------------------- | --------------------------- | ---------------------------------------------------- | | Usia Akun GitHub | `requireGitHubAccountAge()` | Sedang - Meningkatkan hambatan bagi penyerang baru | | Sanitasi Path | `sanitizePath()` | Tinggi - Mencegah path traversal | | Validasi Jenis File | `isTextFile()` | Sedang - Hanya file teks, tetapi masih dapat berbahaya | | Batas Ukuran | Total bundel 50MB | Tinggi - Mencegah kehabisan sumber daya | | SKILL.md Wajib | Readme wajib | Nilai keamanan rendah - Hanya informatif | | Moderasi Pola | FLAG_RULES di moderation.ts | Rendah - Mudah dilewati | | Status Moderasi | Field `moderationStatus` | Sedang - Peninjauan manual dimungkinkan | ### 4.2 Pola Flag Moderasi Pola saat ini di `moderation.ts`: ```javascript // Known-bad identifiers /(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i // Suspicious keywords /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg|webhook|hooks\.slack)/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i ``` **Keterbatasan:** - Hanya memeriksa slug, displayName, ringkasan, frontmatter, metadata, path file - Tidak menganalisis konten kode skill yang sebenarnya - Regex sederhana mudah dilewati dengan obfuskasi - Tidak ada analisis perilaku ### 4.3 Perbaikan yang Direncanakan | Perbaikan | Status | Dampak | | ---------------------- | ------------------------------------- | --------------------------------------------------------------------- | | Integrasi VirusTotal | Sedang Berlangsung | Tinggi - Analisis perilaku Code Insight | | Pelaporan Komunitas | Parsial (tabel `skillReports` ada) | Sedang | | Logging Audit | Parsial (tabel `auditLogs` ada) | Sedang | | Sistem Badge | Diimplementasikan | Sedang - `highlighted`, `official`, `deprecated`, `redactionApproved` | --- ## 5. Matriks Risiko ### 5.1 Kemungkinan vs Dampak | ID Ancaman | Kemungkinan | Dampak | Tingkat Risiko | Prioritas | | ------------- | ----------- | -------- | -------------- | --------- | | T-EXEC-001 | Tinggi | Kritis | **Kritis** | P0 | | T-PERSIST-001 | Tinggi | Kritis | **Kritis** | P0 | | T-EXFIL-003 | Sedang | Kritis | **Kritis** | P0 | | T-IMPACT-001 | Sedang | Kritis | **Tinggi** | P1 | | T-EXEC-002 | Tinggi | Tinggi | **Tinggi** | P1 | | T-EXEC-004 | Sedang | Tinggi | **Tinggi** | P1 | | T-ACCESS-003 | Sedang | Tinggi | **Tinggi** | P1 | | T-EXFIL-001 | Sedang | Tinggi | **Tinggi** | P1 | | T-IMPACT-002 | Tinggi | Sedang | **Tinggi** | P1 | | T-EVADE-001 | Tinggi | Sedang | **Sedang** | P2 | | T-ACCESS-001 | Rendah | Tinggi | **Sedang** | P2 | | T-ACCESS-002 | Rendah | Tinggi | **Sedang** | P2 | | T-PERSIST-002 | Rendah | Tinggi | **Sedang** | P2 | ### 5.2 Rantai Serangan Jalur Kritis **Rantai Serangan 1: Pencurian Data Berbasis Skill** ``` T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) ``` **Rantai Serangan 2: Injeksi Prompt ke RCE** ``` T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) ``` **Rantai Serangan 3: Injeksi Tidak Langsung melalui Konten yang Diambil** ``` T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) ``` --- ## 6. Ringkasan Rekomendasi ### 6.1 Segera (P0) | ID | Rekomendasi | Menangani | | ----- | ---------------------------------------- | -------------------------- | | R-001 | Selesaikan integrasi VirusTotal | T-PERSIST-001, T-EVADE-001 | | R-002 | Implementasikan sandboxing skill | T-PERSIST-001, T-EXFIL-003 | | R-003 | Tambahkan validasi keluaran untuk tindakan sensitif | T-EXEC-001, T-EXEC-002 | ### 6.2 Jangka pendek (P1) | ID | Rekomendasi | Menangani | | ----- | ------------------------------------- | ------------ | | R-004 | Implementasikan pembatasan laju | T-IMPACT-002 | | R-005 | Tambahkan enkripsi token saat tersimpan | T-ACCESS-003 | | R-006 | Tingkatkan UX dan validasi persetujuan exec | T-EXEC-004 | | R-007 | Implementasikan daftar izin URL untuk web_fetch | T-EXFIL-001 | ### 6.3 Jangka menengah (P2) | ID | Rekomendasi | Menangani | | ----- | -------------------------------------------------- | ------------- | | R-008 | Tambahkan verifikasi kanal kriptografis jika memungkinkan | T-ACCESS-002 | | R-009 | Implementasikan verifikasi integritas config | T-PERSIST-003 | | R-010 | Tambahkan penandatanganan pembaruan dan penguncian versi | T-PERSIST-002 | --- ## 7. Lampiran ### 7.1 Pemetaan Teknik ATLAS | ID ATLAS | Nama Teknik | Ancaman OpenClaw | | ------------- | ------------------------------ | ---------------------------------------------------------------- | | AML.T0006 | Pemindaian Aktif | T-RECON-001, T-RECON-002 | | AML.T0009 | Pengumpulan | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 | | AML.T0010.001 | Rantai Pasok: Perangkat Lunak AI | T-PERSIST-001, T-PERSIST-002 | | AML.T0010.002 | Rantai Pasok: Data | T-PERSIST-003 | | AML.T0031 | Erosi Integritas Model AI | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 | | AML.T0040 | Akses API Inferensi Model AI | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 | | AML.T0043 | Buat Data Adversarial | T-EXEC-004, T-EVADE-001, T-EVADE-002 | | AML.T0051.000 | Injeksi Prompt LLM: Langsung | T-EXEC-001, T-EXEC-003 | | AML.T0051.001 | Injeksi Prompt LLM: Tidak Langsung | T-EXEC-002 | ### 7.2 File Keamanan Utama | Jalur | Tujuan | Tingkat Risiko | | ----------------------------------- | --------------------------- | -------------- | | `src/infra/exec-approvals.ts` | Logika persetujuan perintah | **Kritis** | | `src/gateway/auth.ts` | Autentikasi Gateway | **Kritis** | | `src/infra/net/ssrf.ts` | Perlindungan SSRF | **Kritis** | | `src/security/external-content.ts` | Mitigasi injeksi prompt | **Kritis** | | `src/agents/sandbox/tool-policy.ts` | Penegakan kebijakan alat | **Kritis** | | `src/routing/resolve-route.ts` | Isolasi sesi | **Sedang** | ### 7.3 Glosarium | Istilah | Definisi | | -------------------- | --------------------------------------------------------- | | **ATLAS** | Lanskap Ancaman Adversarial MITRE untuk Sistem AI | | **ClawHub** | Marketplace skill OpenClaw | | **Gateway** | Lapisan perutean pesan dan autentikasi OpenClaw | | **MCP** | Model Context Protocol - antarmuka penyedia alat | | **Injeksi Prompt** | Serangan ketika instruksi berbahaya disematkan dalam input | | **Skill** | Ekstensi yang dapat diunduh untuk agen OpenClaw | | **SSRF** | Pemalsuan Permintaan Sisi Server | --- _Model ancaman ini adalah dokumen yang terus berkembang. Laporkan masalah keamanan ke security@openclaw.ai_ ## Terkait - [Verifikasi formal](/id/security/formal-verification) - [Berkontribusi pada model ancaman](/id/security/CONTRIBUTING-THREAT-MODEL)