--- read_when: - セキュリティ態勢や脅威シナリオのレビュー - セキュリティ機能または監査対応に取り組む summary: MITRE ATLAS フレームワークに対応付けた OpenClaw の脅威モデル title: 脅威モデル (MITRE ATLAS) x-i18n: generated_at: "2026-05-06T18:00:17Z" model: gpt-5.5 provider: openai source_hash: e7371231e9795cd899d727b87dfba7a5cae963f1fd1e50226e3fbb7488ef7381 source_path: security/THREAT-MODEL-ATLAS.md workflow: 16 --- ## MITRE ATLAS フレームワーク **バージョン:** 1.0-draft **最終更新:** 2026-02-04 **方法論:** MITRE ATLAS + データフロー図 **フレームワーク:** [MITRE ATLAS](https://atlas.mitre.org/) (AI システム向け敵対的脅威ランドスケープ) ### フレームワークの帰属 この脅威モデルは、AI/ML システムに対する敵対的脅威を文書化するための業界標準フレームワークである [MITRE ATLAS](https://atlas.mitre.org/) を基に構築されています。ATLAS は、AI セキュリティコミュニティと協力して [MITRE](https://www.mitre.org/) が保守しています。 **主要な ATLAS リソース:** - [ATLAS の技法](https://atlas.mitre.org/techniques/) - [ATLAS の戦術](https://atlas.mitre.org/tactics/) - [ATLAS のケーススタディ](https://atlas.mitre.org/studies/) - [ATLAS GitHub](https://github.com/mitre-atlas/atlas-data) - [ATLAS へのコントリビュート](https://atlas.mitre.org/resources/contribute) ### この脅威モデルへのコントリビュート これは OpenClaw コミュニティが保守する生きたドキュメントです。コントリビュートのガイドラインについては、[CONTRIBUTING-THREAT-MODEL.md](/ja-JP/security/CONTRIBUTING-THREAT-MODEL) を参照してください。 - 新しい脅威の報告 - 既存の脅威の更新 - 攻撃チェーンの提案 - 緩和策の提案 --- ## 1. はじめに ### 1.1 目的 この脅威モデルは、AI/ML システム専用に設計された MITRE ATLAS フレームワークを使用して、OpenClaw AI エージェントプラットフォームおよび ClawHub スキルマーケットプレイスに対する敵対的脅威を文書化します。 ### 1.2 スコープ | コンポーネント | 含まれる | 注記 | | ---------------------- | -------- | ------------------------------------------------ | | OpenClaw エージェントランタイム | はい | コアエージェント実行、ツール呼び出し、セッション | | Gateway | はい | 認証、ルーティング、チャネル連携 | | チャネル連携 | はい | WhatsApp, Telegram, Discord, Signal, Slack など | | ClawHub マーケットプレイス | はい | スキルの公開、モデレーション、配布 | | MCP サーバー | はい | 外部ツールプロバイダー | | ユーザーデバイス | 一部 | モバイルアプリ、デスクトップクライアント | ### 1.3 スコープ外 この脅威モデルで明示的にスコープ外とされているものはありません。 --- ## 2. システムアーキテクチャ ### 2.1 信頼境界 ``` ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ ``` ### 2.2 データフロー | フロー | ソース | 宛先 | データ | 保護 | | ---- | ------- | ----------- | ------------------ | -------------------- | | F1 | チャネル | Gateway | ユーザーメッセージ | TLS, AllowFrom | | F2 | Gateway | エージェント | ルーティングされたメッセージ | セッション分離 | | F3 | エージェント | ツール | ツール呼び出し | ポリシー適用 | | F4 | エージェント | 外部 | web_fetch リクエスト | SSRF ブロック | | F5 | ClawHub | エージェント | スキルコード | モデレーション、スキャン | | F6 | エージェント | チャネル | 応答 | 出力フィルタリング | --- ## 3. ATLAS 戦術別の脅威分析 ### 3.1 偵察 (AML.TA0002) #### T-RECON-001: エージェントエンドポイントの検出 | 属性 | 値 | | ----------------------- | -------------------------------------------------------------------- | | **ATLAS ID** | AML.T0006 - アクティブスキャン | | **説明** | 攻撃者が公開された OpenClaw gateway エンドポイントをスキャンする | | **攻撃ベクトル** | ネットワークスキャン、shodan クエリ、DNS 列挙 | | **影響を受けるコンポーネント** | Gateway、公開 API エンドポイント | | **現在の緩和策** | Tailscale 認証オプション、デフォルトでループバックにバインド | | **残余リスク** | 中 - 公開 gateway は検出可能 | | **推奨事項** | 安全なデプロイを文書化し、検出エンドポイントにレート制限を追加する | #### T-RECON-002: チャネル連携のプロービング | 属性 | 値 | | ----------------------- | ------------------------------------------------------------------ | | **ATLAS ID** | AML.T0006 - アクティブスキャン | | **説明** | 攻撃者が AI 管理アカウントを特定するためにメッセージングチャネルを探査する | | **攻撃ベクトル** | テストメッセージの送信、応答パターンの観察 | | **影響を受けるコンポーネント** | すべてのチャネル連携 | | **現在の緩和策** | 特になし | | **残存リスク** | 低 - 発見だけでは価値が限定的 | | **推奨事項** | 応答タイミングのランダム化を検討する | --- ### 3.2 初期アクセス (AML.TA0004) #### T-ACCESS-001: ペアリングコードの傍受 | 属性 | 値 | | ----------------------- | ------------------------------------------------------------------------------------------------------------- | | **ATLAS ID** | AML.T0040 - AI モデル推論 API アクセス | | **説明** | 攻撃者がペアリング猶予期間中にペアリングコードを傍受する(DM チャネルペアリングは 1 時間、Nodeペアリングは 5 分) | | **攻撃ベクトル** | ショルダーサーフィン、ネットワークスニッフィング、ソーシャルエンジニアリング | | **影響を受けるコンポーネント** | デバイスペアリングシステム | | **現在の緩和策** | 1 時間の有効期限(DM ペアリング)/ 5 分の有効期限(Nodeペアリング)、コードは既存チャネル経由で送信 | | **残存リスク** | 中 - 猶予期間が悪用可能 | | **推奨事項** | 猶予期間を短縮し、確認ステップを追加する | #### T-ACCESS-002: AllowFrom なりすまし | 属性 | 値 | | ----------------------- | ------------------------------------------------------------------------------ | | **ATLAS ID** | AML.T0040 - AI モデル推論 API アクセス | | **説明** | 攻撃者がチャネル内で許可された送信者 ID になりすます | | **攻撃ベクトル** | チャネルによって異なる - 電話番号のなりすまし、ユーザー名の偽装 | | **影響を受けるコンポーネント** | チャネルごとの AllowFrom 検証 | | **現在の緩和策** | チャネル固有の ID 検証 | | **残存リスク** | 中 - 一部のチャネルはなりすましに脆弱 | | **推奨事項** | チャネル固有のリスクを文書化し、可能な場合は暗号学的検証を追加する | #### T-ACCESS-003: トークン窃取 | 属性 | 値 | | ----------------------- | ----------------------------------------------------------- | | **ATLAS ID** | AML.T0040 - AI モデル推論 API アクセス | | **説明** | 攻撃者が設定ファイルから認証トークンを窃取する | | **攻撃ベクトル** | マルウェア、不正なデバイスアクセス、設定バックアップの露出 | | **影響を受けるコンポーネント** | ~/.openclaw/credentials/、設定ストレージ | | **現在の緩和策** | ファイル権限 | | **残存リスク** | 高 - トークンが平文で保存されている | | **推奨事項** | 保存時のトークン暗号化を実装し、トークンローテーションを追加する | --- ### 3.3 実行 (AML.TA0005) #### T-EXEC-001: 直接プロンプトインジェクション | 属性 | 値 | | ----------------------- | ----------------------------------------------------------------------------------------- | | **ATLAS ID** | AML.T0051.000 - LLM プロンプトインジェクション: 直接 | | **説明** | 攻撃者がエージェントの動作を操作するために細工したプロンプトを送信する | | **攻撃ベクトル** | 敵対的な指示を含むチャネルメッセージ | | **影響を受けるコンポーネント** | エージェント LLM、すべての入力面 | | **現在の緩和策** | パターン検出、外部コンテンツのラッピング | | **残存リスク** | 重大 - 検出のみでブロックなし。高度な攻撃は回避する | | **推奨事項** | 多層防御、出力検証、機密性の高い操作に対するユーザー確認を実装する | #### T-EXEC-002: 間接プロンプトインジェクション | 属性 | 値 | | ----------------------- | ----------------------------------------------------------- | | **ATLAS ID** | AML.T0051.001 - LLM プロンプトインジェクション: 間接 | | **説明** | 攻撃者が取得されたコンテンツに悪意ある指示を埋め込む | | **攻撃ベクトル** | 悪意ある URL、汚染されたメール、侵害された Webhook | | **影響を受けるコンポーネント** | web_fetch、メール取り込み、外部データソース | | **現在の緩和策** | XML タグとセキュリティ通知によるコンテンツラッピング | | **残存リスク** | 高 - LLM がラッパー指示を無視する可能性がある | | **推奨事項** | コンテンツサニタイズ、分離された実行コンテキストを実装する | #### T-EXEC-003: ツール引数インジェクション | 属性 | 値 | | ----------------------- | ------------------------------------------------------------ | | **ATLAS ID** | AML.T0051.000 - LLM プロンプトインジェクション: 直接 | | **説明** | 攻撃者がプロンプトインジェクションを通じてツール引数を操作する | | **攻撃ベクトル** | ツールパラメーター値に影響を与える細工されたプロンプト | | **影響を受けるコンポーネント** | すべてのツール呼び出し | | **現在の緩和策** | 危険なコマンドに対する実行承認 | | **残存リスク** | 高 - ユーザーの判断に依存 | | **推奨事項** | 引数検証、パラメーター化されたツール呼び出しを実装する | #### T-EXEC-004: 実行承認のバイパス | 属性 | 値 | | ----------------------- | ---------------------------------------------------------- | | **ATLAS ID** | AML.T0043 - 敵対的データの作成 | | **説明** | 攻撃者が承認許可リストをバイパスするコマンドを作成する | | **攻撃ベクトル** | コマンドの難読化、エイリアス悪用、パス操作 | | **影響を受けるコンポーネント** | exec-approvals.ts、コマンド許可リスト | | **現在の緩和策** | 許可リスト + 確認モード | | **残存リスク** | 高 - コマンドサニタイズなし | | **推奨事項** | コマンド正規化を実装し、ブロックリストを拡張する | --- ### 3.4 永続化 (AML.TA0006) #### T-PERSIST-001: 悪意ある Skills のインストール | 属性 | 値 | | ----------------------- | ------------------------------------------------------------------------ | | **ATLAS ID** | AML.T0010.001 - サプライチェーン侵害: AI ソフトウェア | | **説明** | 攻撃者が悪意ある Skills を ClawHub に公開する | | **攻撃ベクトル** | アカウントを作成し、隠れた悪意あるコードを含む Skills を公開する | | **影響を受けるコンポーネント** | ClawHub、Skills の読み込み、エージェント実行 | | **現在の緩和策** | GitHub アカウントの年齢確認、パターンベースのモデレーションフラグ | | **残存リスク** | 重大 - サンドボックス化なし、レビューは限定的 | | **推奨事項** | VirusTotal 連携(進行中)、Skills のサンドボックス化、コミュニティレビュー | #### T-PERSIST-002: Skills 更新の汚染 | 属性 | 値 | | ----------------------- | -------------------------------------------------------------- | | **ATLAS ID** | AML.T0010.001 - サプライチェーン侵害: AI ソフトウェア | | **説明** | 攻撃者が人気のある Skills を侵害し、悪意ある更新をプッシュする | | **攻撃ベクトル** | アカウント侵害、Skills 所有者へのソーシャルエンジニアリング | | **影響を受けるコンポーネント** | ClawHub のバージョン管理、自動更新フロー | | **現在の緩和策** | バージョンフィンガープリント | | **残存リスク** | 高 - 自動更新が悪意あるバージョンを取得する可能性がある | | **推奨事項** | 更新署名、ロールバック機能、バージョン固定を実装する | #### T-PERSIST-003: エージェント設定の改ざん | 属性 | 値 | | ----------------------- | --------------------------------------------------------------- | | **ATLAS ID** | AML.T0010.002 - サプライチェーン侵害: データ | | **説明** | 攻撃者がアクセスを永続化するためにエージェント設定を変更する | | **攻撃ベクトル** | 設定ファイルの変更、設定インジェクション | | **影響を受けるコンポーネント** | エージェント設定、ツールポリシー | | **現在の緩和策** | ファイル権限 | | **残存リスク** | 中 - ローカルアクセスが必要 | | **推奨事項** | 設定の整合性検証、設定変更の監査ログ | --- ### 3.5 防御回避 (AML.TA0007) #### T-EVADE-001: モデレーションパターンのバイパス | 属性 | 値 | | ----------------------- | ---------------------------------------------------------------------- | | **ATLAS ID** | AML.T0043 - 敵対的データの作成 | | **説明** | 攻撃者がモデレーションパターンを回避する Skills コンテンツを作成する | | **攻撃ベクトル** | Unicode 同形異字、エンコーディングの手口、動的読み込み | | **影響を受けるコンポーネント** | ClawHub moderation.ts | | **現在の緩和策** | パターンベースの FLAG_RULES | | **残存リスク** | 高 - 単純な正規表現は容易に回避される | | **推奨事項** | 振る舞い分析(VirusTotal Code Insight)、AST ベースの検出を追加する | #### T-EVADE-002: コンテンツラッパーからの脱出 | 属性 | 値 | | ----------------------- | --------------------------------------------------------- | | **ATLAS ID** | AML.T0043 - 敵対的データの作成 | | **説明** | 攻撃者が XML ラッパーのコンテキストから脱出するコンテンツを作成する | | **攻撃ベクトル** | タグ操作、コンテキスト混同、命令の上書き | | **影響を受けるコンポーネント** | 外部コンテンツのラッピング | | **現在の緩和策** | XML タグ + セキュリティ通知 | | **残留リスク** | 中 - 新しい脱出手法が定期的に発見されている | | **推奨事項** | 複数のラッパーレイヤー、出力側の検証 | --- ### 3.6 発見 (AML.TA0008) #### T-DISC-001: ツール列挙 | 属性 | 値 | | ----------------------- | ----------------------------------------------------- | | **ATLAS ID** | AML.T0040 - AI モデル推論 API アクセス | | **説明** | 攻撃者がプロンプトを通じて利用可能なツールを列挙する | | **攻撃ベクトル** | 「どのようなツールがありますか?」形式のクエリ | | **影響を受けるコンポーネント** | エージェントツールレジストリ | | **現在の緩和策** | 特になし | | **残留リスク** | 低 - ツールは一般に文書化されている | | **推奨事項** | ツールの可視性制御を検討する | #### T-DISC-002: セッションデータ抽出 | 属性 | 値 | | ----------------------- | ----------------------------------------------------- | | **ATLAS ID** | AML.T0040 - AI モデル推論 API アクセス | | **説明** | 攻撃者がセッションコンテキストから機密データを抽出する | | **攻撃ベクトル** | 「何を話し合いましたか?」というクエリ、コンテキスト探索 | | **影響を受けるコンポーネント** | セッショントランスクリプト、コンテキストウィンドウ | | **現在の緩和策** | 送信者ごとのセッション分離 | | **残留リスク** | 中 - セッション内データにアクセス可能 | | **推奨事項** | コンテキスト内の機密データ編集を実装する | --- ### 3.7 収集と持ち出し (AML.TA0009, AML.TA0010) #### T-EXFIL-001: web_fetch 経由のデータ窃取 | 属性 | 値 | | ----------------------- | ---------------------------------------------------------------------- | | **ATLAS ID** | AML.T0009 - 収集 | | **説明** | 攻撃者がエージェントに外部 URL へ送信するよう指示してデータを持ち出す | | **攻撃ベクトル** | エージェントに攻撃者のサーバーへデータを POST させるプロンプトインジェクション | | **影響を受けるコンポーネント** | web_fetch ツール | | **現在の緩和策** | 内部ネットワークに対する SSRF ブロック | | **残留リスク** | 高 - 外部 URL が許可されている | | **推奨事項** | URL 許可リスト、データ分類認識を実装する | #### T-EXFIL-002: 不正なメッセージ送信 | 属性 | 値 | | ----------------------- | ---------------------------------------------------------------- | | **ATLAS ID** | AML.T0009 - 収集 | | **説明** | 攻撃者がエージェントに機密データを含むメッセージを送信させる | | **攻撃ベクトル** | エージェントに攻撃者へメッセージを送らせるプロンプトインジェクション | | **影響を受けるコンポーネント** | メッセージツール、チャンネル連携 | | **現在の緩和策** | 送信メッセージのゲーティング | | **残留リスク** | 中 - ゲーティングが回避される可能性がある | | **推奨事項** | 新しい受信者には明示的な確認を要求する | #### T-EXFIL-003: 認証情報の収集 | 属性 | 値 | | ----------------------- | ------------------------------------------------------- | | **ATLAS ID** | AML.T0009 - 収集 | | **説明** | 悪意のある Skill がエージェントコンテキストから認証情報を収集する | | **攻撃ベクトル** | Skill コードが環境変数、設定ファイルを読み取る | | **影響を受けるコンポーネント** | Skill 実行環境 | | **現在の緩和策** | Skills に特化したものはなし | | **残留リスク** | 重大 - Skills はエージェント権限で実行される | | **推奨事項** | Skill サンドボックス化、認証情報の分離 | --- ### 3.8 影響 (AML.TA0011) #### T-IMPACT-001: 不正なコマンド実行 | 属性 | 値 | | ----------------------- | --------------------------------------------------- | | **ATLAS ID** | AML.T0031 - AI モデル完全性の侵食 | | **説明** | 攻撃者がユーザーシステム上で任意のコマンドを実行する | | **攻撃ベクトル** | exec 承認バイパスと組み合わせたプロンプトインジェクション | | **影響を受けるコンポーネント** | Bash ツール、コマンド実行 | | **現在の緩和策** | exec 承認、Docker サンドボックスオプション | | **残留リスク** | 重大 - サンドボックスなしのホスト実行 | | **推奨事項** | デフォルトをサンドボックスにし、承認 UX を改善する | #### T-IMPACT-002: リソース枯渇 (DoS) | 属性 | 値 | | ----------------------- | -------------------------------------------------- | | **ATLAS ID** | AML.T0031 - AI モデル完全性の侵食 | | **説明** | 攻撃者が API クレジットまたは計算リソースを枯渇させる | | **攻撃ベクトル** | 自動メッセージ大量送信、高コストなツール呼び出し | | **影響を受けるコンポーネント** | Gateway、エージェントセッション、API プロバイダー | | **現在の緩和策** | なし | | **残留リスク** | 高 - レート制限がない | | **推奨事項** | 送信者ごとのレート制限、コスト予算を実装する | #### T-IMPACT-003: 評判の毀損 | 属性 | 値 | | ----------------------- | ------------------------------------------------------- | | **ATLAS ID** | AML.T0031 - AI モデル完全性の侵食 | | **説明** | 攻撃者がエージェントに有害または攻撃的なコンテンツを送信させる | | **攻撃ベクトル** | 不適切な応答を引き起こすプロンプトインジェクション | | **影響を受けるコンポーネント** | 出力生成、チャンネルメッセージング | | **現在の緩和策** | LLM プロバイダーのコンテンツポリシー | | **残留リスク** | 中 - プロバイダーフィルターは不完全 | | **推奨事項** | 出力フィルタリングレイヤー、ユーザー制御 | --- ## 4. ClawHub サプライチェーン分析 ### 4.1 現在のセキュリティ制御 | 制御 | 実装 | 有効性 | | -------------------- | --------------------------- | ---------------------------------------------------- | | GitHub アカウント年齢 | `requireGitHubAccountAge()` | 中 - 新規攻撃者のハードルを上げる | | パスサニタイズ | `sanitizePath()` | 高 - パストラバーサルを防ぐ | | ファイル種別検証 | `isTextFile()` | 中 - テキストファイルのみだが、それでも悪意を持つ可能性がある | | サイズ制限 | 合計 50MB バンドル | 高 - リソース枯渇を防ぐ | | 必須 SKILL.md | 必須 readme | セキュリティ価値は低い - 情報提供のみ | | パターンモデレーション | moderation.ts の FLAG_RULES | 低 - 容易に回避可能 | | モデレーションステータス | `moderationStatus` フィールド | 中 - 手動レビューが可能 | ### 4.2 モデレーションフラグパターン `moderation.ts` の現在のパターン: ```javascript // Known-bad identifiers /(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i // Suspicious keywords /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg|webhook|hooks\.slack)/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i ``` **制限事項:** - slug、displayName、summary、frontmatter、metadata、ファイルパスのみをチェックする - 実際の Skill コード内容は分析しない - 単純な正規表現は難読化で容易に回避可能 - 振る舞いの分析がない ### 4.3 予定されている改善 | 改善 | ステータス | 影響 | | ---------------------- | ------------------------------------- | --------------------------------------------------------------------- | | VirusTotal 連携 | 進行中 | 高 - Code Insight の振る舞い分析 | | コミュニティ報告 | 一部対応 (`skillReports` テーブルが存在) | 中 | | 監査ログ | 一部対応 (`auditLogs` テーブルが存在) | 中 | | バッジシステム | 実装済み | 中 - `highlighted`、`official`、`deprecated`、`redactionApproved` | --- ## 5. リスクマトリクス ### 5.1 可能性 vs 影響 | 脅威 ID | 可能性 | 影響 | リスクレベル | 優先度 | | ------------- | ---------- | -------- | ------------ | -------- | | T-EXEC-001 | 高 | 重大 | **重大** | P0 | | T-PERSIST-001 | 高 | 重大 | **重大** | P0 | | T-EXFIL-003 | 中 | 重大 | **重大** | P0 | | T-IMPACT-001 | 中 | 重大 | **高** | P1 | | T-EXEC-002 | 高 | 高 | **高** | P1 | | T-EXEC-004 | 中 | 高 | **高** | P1 | | T-ACCESS-003 | 中 | 高 | **高** | P1 | | T-EXFIL-001 | 中 | 高 | **高** | P1 | | T-IMPACT-002 | 高 | 中 | **高** | P1 | | T-EVADE-001 | 高 | 中 | **中** | P2 | | T-ACCESS-001 | 低 | 高 | **中** | P2 | | T-ACCESS-002 | 低 | 高 | **中** | P2 | | T-PERSIST-002 | 低 | 高 | **中** | P2 | ### 5.2 クリティカルパス攻撃チェーン **攻撃チェーン 1: Skill ベースのデータ窃取** ``` T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) ``` **攻撃チェーン 2: プロンプトインジェクションから RCE へ** ``` T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) ``` **攻撃チェーン 3: 取得コンテンツ経由の間接インジェクション** ``` T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) ``` --- ## 6. 推奨事項の概要 ### 6.1 即時 (P0) | ID | 推奨事項 | 対応する脅威 | | ----- | ------------------------------------------- | -------------------------- | | R-001 | VirusTotal 連携を完了する | T-PERSIST-001, T-EVADE-001 | | R-002 | skill サンドボックス化を実装する | T-PERSIST-001, T-EXFIL-003 | | R-003 | 機微な操作の出力検証を追加する | T-EXEC-001, T-EXEC-002 | ### 6.2 短期 (P1) | ID | 推奨事項 | 対応する脅威 | | ----- | ---------------------------------------- | ------------ | | R-004 | レート制限を実装する | T-IMPACT-002 | | R-005 | 保存時のトークン暗号化を追加する | T-ACCESS-003 | | R-006 | exec 承認の UX と検証を改善する | T-EXEC-004 | | R-007 | web_fetch の URL 許可リストを実装する | T-EXFIL-001 | ### 6.3 中期 (P2) | ID | 推奨事項 | 対応する脅威 | | ----- | ----------------------------------------------------- | ------------- | | R-008 | 可能な場合は暗号学的なチャネル検証を追加する | T-ACCESS-002 | | R-009 | config の整合性検証を実装する | T-PERSIST-003 | | R-010 | 更新の署名とバージョン固定を追加する | T-PERSIST-002 | --- ## 7. 付録 ### 7.1 ATLAS 技術マッピング | ATLAS ID | 技術名 | OpenClaw の脅威 | | ------------- | ------------------------------ | ---------------------------------------------------------------- | | AML.T0006 | アクティブスキャン | T-RECON-001, T-RECON-002 | | AML.T0009 | 収集 | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 | | AML.T0010.001 | サプライチェーン: AI ソフトウェア | T-PERSIST-001, T-PERSIST-002 | | AML.T0010.002 | サプライチェーン: データ | T-PERSIST-003 | | AML.T0031 | AI モデルの整合性を損なう | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 | | AML.T0040 | AI モデル推論 API アクセス | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 | | AML.T0043 | 敵対的データの作成 | T-EXEC-004, T-EVADE-001, T-EVADE-002 | | AML.T0051.000 | LLM プロンプトインジェクション: 直接 | T-EXEC-001, T-EXEC-003 | | AML.T0051.001 | LLM プロンプトインジェクション: 間接 | T-EXEC-002 | ### 7.2 主要なセキュリティファイル | パス | 目的 | リスクレベル | | ----------------------------------- | --------------------------- | ------------ | | `src/infra/exec-approvals.ts` | コマンド承認ロジック | **重大** | | `src/gateway/auth.ts` | Gateway 認証 | **重大** | | `src/infra/net/ssrf.ts` | SSRF 保護 | **重大** | | `src/security/external-content.ts` | プロンプトインジェクションの緩和 | **重大** | | `src/agents/sandbox/tool-policy.ts` | ツールポリシーの適用 | **重大** | | `src/routing/resolve-route.ts` | セッション分離 | **中** | ### 7.3 用語集 | 用語 | 定義 | | -------------------- | --------------------------------------------------------- | | **ATLAS** | MITRE の AI システム向け敵対的脅威ランドスケープ | | **ClawHub** | OpenClaw の skill マーケットプレイス | | **Gateway** | OpenClaw のメッセージルーティングおよび認証レイヤー | | **MCP** | Model Context Protocol - ツールプロバイダーインターフェース | | **プロンプトインジェクション** | 悪意のある指示が入力に埋め込まれる攻撃 | | **Skill** | OpenClaw エージェント用のダウンロード可能な拡張 | | **SSRF** | Server-Side Request Forgery | --- _この脅威モデルは継続的に更新されるドキュメントです。セキュリティ問題は security@openclaw.ai に報告してください_ ## 関連 - [形式検証](/ja-JP/security/formal-verification) - [脅威モデルへの貢献](/ja-JP/security/CONTRIBUTING-THREAT-MODEL)