Фреймворк MITRE ATLAS
Версія: 1.0-draft
Останнє оновлення: 2026-02-04
Методологія: MITRE ATLAS + діаграми потоків даних
Фреймворк: MITRE ATLAS (ландшафт змагальних загроз для AI-систем)
Атрибуція фреймворку
Ця модель загроз побудована на MITRE ATLAS , галузевому стандартному фреймворку для документування змагальних загроз для AI/ML-систем. ATLAS підтримує MITRE у співпраці зі спільнотою безпеки AI.
Ключові ресурси ATLAS:
Участь у цій моделі загроз
Це живий документ, який підтримує спільнота OpenClaw. Перегляньте CONTRIBUTING-THREAT-MODEL.md , щоб ознайомитися з настановами щодо участі:
Повідомлення про нові загрози
Оновлення наявних загроз
Пропонування ланцюжків атак
Пропонування заходів пом’якшення
1. Вступ
1.1 Призначення
Ця модель загроз документує змагальні загрози для платформи AI-агентів OpenClaw і маркетплейсу Skills ClawHub, використовуючи фреймворк MITRE ATLAS, спеціально розроблений для AI/ML-систем.
1.2 Обсяг
Компонент
Включено
Примітки
Середовище виконання агента OpenClaw
Так
Основне виконання агента, виклики інструментів, сеанси
Gateway
Так
Автентифікація, маршрутизація, інтеграція каналів
Інтеграції каналів
Так
WhatsApp, Telegram, Discord, Signal, Slack тощо
Маркетплейс ClawHub
Так
Публікація Skills, модерація, розповсюдження
MCP-сервери
Так
Зовнішні постачальники інструментів
Пристрої користувачів
Частково
Мобільні застосунки, настільні клієнти
1.3 Поза обсягом
Нічого явно не виключено з обсягу цієї моделі загроз.
2. Архітектура системи
2.1 Межі довіри
Code Copy code ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ 2.2 Потоки даних
Потік
Джерело
Призначення
Дані
Захист
F1
Канал
Gateway
Повідомлення користувача
TLS, AllowFrom
F2
Gateway
Агент
Маршрутизовані повідомлення
Ізоляція сеансів
F3
Агент
Інструменти
Виклики інструментів
Застосування політик
F4
Агент
Зовнішній ресурс
запити web_fetch
Блокування SSRF
F5
ClawHub
Агент
Код Skills
Модерація, сканування
F6
Агент
Канал
Відповіді
Фільтрація виводу
3. Аналіз загроз за тактикою ATLAS
3.1 Розвідка (AML.TA0002)
T-RECON-001: Виявлення кінцевих точок агента
Атрибут
Значення
ATLAS ID AML.T0006 - Активне сканування
Опис Зловмисник сканує відкриті кінцеві точки OpenClaw Gateway
Вектор атаки Мережеве сканування, запити shodan, перебирання DNS
Уражені компоненти Gateway, відкриті кінцеві точки API
Поточні заходи пом’якшення Опція автентифікації Tailscale, прив’язування до loopback за замовчуванням
Залишковий ризик Середній - публічні Gateway можна виявити
Рекомендації Задокументувати безпечне розгортання, додати обмеження частоти для кінцевих точок виявлення
T-RECON-002: Зондування інтеграції каналів
Атрибут
Значення
Ідентифікатор ATLAS AML.T0006 - Активне сканування
Опис Зловмисник зондує канали обміну повідомленнями, щоб виявити облікові записи, керовані ШІ
Вектор атаки Надсилання тестових повідомлень, спостереження за шаблонами відповідей
Уражені компоненти Усі інтеграції каналів
Поточні пом’якшення Немає специфічних
Залишковий ризик Низький - обмежена цінність самого лише виявлення
Рекомендації Розглянути рандомізацію часу відповіді
3.2 Початковий доступ (AML.TA0004)
T-ACCESS-001: Перехоплення коду сполучення
Атрибут
Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник перехоплює код сполучення під час пільгового періоду сполучення (1 год для сполучення каналу DM, 5 хв для сполучення Node)
Вектор атаки Підглядання через плече, перехоплення мережевого трафіку, соціальна інженерія
Уражені компоненти Система сполучення пристроїв
Поточні пом’якшення Закінчення строку дії через 1 год (сполучення DM) / 5 хв (сполучення Node), коди надсилаються через наявний канал
Залишковий ризик Середній - пільговий період можна використати
Рекомендації Скоротити пільговий період, додати крок підтвердження
T-ACCESS-002: Підміна AllowFrom
Атрибут
Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник підміняє ідентичність дозволеного відправника в каналі
Вектор атаки Залежить від каналу - підміна номера телефону, видавання себе за користувача
Уражені компоненти Перевірка AllowFrom для кожного каналу
Поточні пом’якшення Специфічна для каналу перевірка ідентичності
Залишковий ризик Середній - деякі канали вразливі до підміни
Рекомендації Задокументувати специфічні для каналів ризики, додати криптографічну перевірку, де це можливо
T-ACCESS-003: Викрадення токенів
Атрибут
Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник викрадає токени автентифікації з файлів конфігурації
Вектор атаки Шкідливе ПЗ, несанкціонований доступ до пристрою, розкриття резервної копії конфігурації
Уражені компоненти ~/.openclaw/credentials/, сховище конфігурації
Поточні пом’якшення Дозволи файлів
Залишковий ризик Високий - токени зберігаються у відкритому тексті
Рекомендації Реалізувати шифрування токенів у стані спокою, додати ротацію токенів
3.3 Виконання (AML.TA0005)
T-EXEC-001: Пряма ін’єкція промпта
Атрибут
Значення
Ідентифікатор ATLAS AML.T0051.000 - Ін’єкція промпта LLM: пряма
Опис Зловмисник надсилає спеціально сформовані промпти, щоб маніпулювати поведінкою агента
Вектор атаки Повідомлення каналів, що містять ворожі інструкції
Уражені компоненти LLM агента, усі поверхні введення
Поточні пом’якшення Виявлення шаблонів, обгортання зовнішнього вмісту
Залишковий ризик Критичний - лише виявлення, без блокування; складні атаки обходять захист
Рекомендації Реалізувати багаторівневий захист, валідацію виводу, підтвердження користувача для чутливих дій
T-EXEC-002: Непряма ін’єкція промпта
Атрибут
Значення
Ідентифікатор ATLAS AML.T0051.001 - Ін’єкція промпта LLM: непряма
Опис Зловмисник вбудовує шкідливі інструкції в отриманий вміст
Вектор атаки Шкідливі URL-адреси, отруєні електронні листи, скомпрометовані Webhook
Уражені компоненти web_fetch, поглинання електронної пошти, зовнішні джерела даних
Поточні пом’якшення Обгортання вмісту XML-тегами та повідомленням про безпеку
Залишковий ризик Високий - LLM може ігнорувати інструкції обгортки
Рекомендації Реалізувати санітизацію вмісту, окремі контексти виконання
T-EXEC-003: Ін’єкція аргументів інструмента
Атрибут
Значення
Ідентифікатор ATLAS AML.T0051.000 - Ін’єкція промпта LLM: пряма
Опис Зловмисник маніпулює аргументами інструмента через ін’єкцію промпта
Вектор атаки Спеціально сформовані промпти, що впливають на значення параметрів інструмента
Уражені компоненти Усі виклики інструментів
Поточні пом’якшення Схвалення exec для небезпечних команд
Залишковий ризик Високий - покладається на судження користувача
Рекомендації Реалізувати валідацію аргументів, параметризовані виклики інструментів
T-EXEC-004: Обхід схвалення Exec
Атрибут
Значення
Ідентифікатор ATLAS AML.T0043 - Створення ворожих даних
Опис Зловмисник створює команди, що обходять allowlist схвалень
Вектор атаки Обфускація команд, експлуатація псевдонімів, маніпуляція шляхами
Уражені компоненти exec-approvals.ts, allowlist команд
Поточні пом’якшення Allowlist + режим запиту
Залишковий ризик Високий - немає санітизації команд
Рекомендації Реалізувати нормалізацію команд, розширити blocklist
3.4 Закріплення (AML.TA0006)
T-PERSIST-001: Встановлення шкідливого Skill
Атрибут
Значення
Ідентифікатор ATLAS AML.T0010.001 - Компрометація ланцюга постачання: програмне забезпечення ШІ
Опис Зловмисник публікує шкідливий Skill у ClawHub
Вектор атаки Створення облікового запису, публікація Skill із прихованим шкідливим кодом
Уражені компоненти ClawHub, завантаження Skill, виконання агента
Поточні пом’якшення Перевірка віку облікового запису GitHub, прапорці модерації на основі шаблонів
Залишковий ризик Критичний - немає ізоляції, обмежена перевірка
Рекомендації Інтеграція VirusTotal (у процесі), ізоляція Skill, перевірка спільнотою
T-PERSIST-002: Отруєння оновлення Skill
Атрибут
Значення
Ідентифікатор ATLAS AML.T0010.001 - Компрометація ланцюга постачання: програмне забезпечення ШІ
Опис Зловмисник компрометує популярний Skill і надсилає шкідливе оновлення
Вектор атаки Компрометація облікового запису, соціальна інженерія власника Skill
Уражені компоненти Версіонування ClawHub, потоки автооновлення
Поточні пом’якшення Фінгерпринтинг версій
Залишковий ризик Високий - автооновлення можуть підтягнути шкідливі версії
Рекомендації Реалізувати підписування оновлень, можливість відкату, закріплення версій
T-PERSIST-003: Підробка конфігурації агента
Атрибут
Значення
Ідентифікатор ATLAS AML.T0010.002 - Компрометація ланцюга постачання: дані
Опис Зловмисник змінює конфігурацію агента, щоб зберегти доступ
Вектор атаки Зміна файлу конфігурації, ін’єкція налаштувань
Уражені компоненти Конфігурація агента, політики інструментів
Поточні пом’якшення Дозволи файлів
Залишковий ризик Середній - потребує локального доступу
Рекомендації Перевірка цілісності конфігурації, журналювання аудиту змін конфігурації
3.5 Ухилення від захисту (AML.TA0007)
T-EVADE-001: Обхід шаблонів модерації
Атрибут
Значення
Ідентифікатор ATLAS AML.T0043 - Створення ворожих даних
Опис Зловмисник створює вміст Skill, щоб уникнути шаблонів модерації
Вектор атаки Unicode-омогліфи, прийоми кодування, динамічне завантаження
Уражені компоненти moderation.ts ClawHub
Поточні пом’якшення FLAG_RULES на основі шаблонів
Залишковий ризик Високий - простий regex легко обходиться
Рекомендації Додати поведінковий аналіз (VirusTotal Code Insight), виявлення на основі AST
T-EVADE-002: Вихід за межі обгортки вмісту
Атрибут
Значення
Ідентифікатор ATLAS AML.T0043 - Створення змагальних даних
Опис Зловмисник створює вміст, що виходить із контексту XML-обгортки
Вектор атаки Маніпуляція тегами, плутанина контексту, перевизначення інструкцій
Уражені компоненти Обгортання зовнішнього вмісту
Поточні засоби пом'якшення XML-теги + повідомлення безпеки
Залишковий ризик Середній - Нові способи виходу виявляють регулярно
Рекомендації Кілька шарів обгортки, перевірка на боці виводу
3.6 Виявлення (AML.TA0008)
T-DISC-001: Перелічення інструментів
Атрибут
Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник перелічує доступні інструменти через промпти
Вектор атаки Запити на кшталт "Які інструменти у вас є?"
Уражені компоненти Реєстр інструментів агента
Поточні засоби пом'якшення Немає специфічних
Залишковий ризик Низький - Інструменти зазвичай задокументовані
Рекомендації Розглянути засоби керування видимістю інструментів
T-DISC-002: Витягування даних сеансу
Атрибут
Значення
Ідентифікатор ATLAS AML.T0040 - Доступ до API інференсу моделі ШІ
Опис Зловмисник витягує чутливі дані з контексту сеансу
Вектор атаки Запити "Що ми обговорювали?", зондування контексту
Уражені компоненти Транскрипти сеансів, контекстне вікно
Поточні засоби пом'якшення Ізоляція сеансу для кожного відправника
Залишковий ризик Середній - Дані в межах сеансу доступні
Рекомендації Реалізувати редагування чутливих даних у контексті
3.7 Збирання та ексфільтрація (AML.TA0009, AML.TA0010)
T-EXFIL-001: Крадіжка даних через web_fetch
Атрибут
Значення
Ідентифікатор ATLAS AML.T0009 - Збирання
Опис Зловмисник ексфільтрує дані, інструктуючи агента надсилати їх на зовнішню URL-адресу
Вектор атаки Ін'єкція промпта, що змушує агента виконати POST даних на сервер зловмисника
Уражені компоненти Інструмент web_fetch
Поточні засоби пом'якшення Блокування SSRF для внутрішніх мереж
Залишковий ризик Високий - Зовнішні URL-адреси дозволені
Рекомендації Реалізувати список дозволених URL-адрес, обізнаність про класифікацію даних
T-EXFIL-002: Несанкціоноване надсилання повідомлень
Атрибут
Значення
Ідентифікатор ATLAS AML.T0009 - Збирання
Опис Зловмисник змушує агента надсилати повідомлення, що містять чутливі дані
Вектор атаки Ін'єкція промпта, що змушує агента надіслати повідомлення зловмиснику
Уражені компоненти Інструмент повідомлень, інтеграції каналів
Поточні засоби пом'якшення Контроль вихідних повідомлень
Залишковий ризик Середній - Контроль може бути обійдений
Рекомендації Вимагати явного підтвердження для нових отримувачів
T-EXFIL-003: Збирання облікових даних
Атрибут
Значення
Ідентифікатор ATLAS AML.T0009 - Збирання
Опис Шкідлива Skills збирає облікові дані з контексту агента
Вектор атаки Код Skills читає змінні середовища, конфігураційні файли
Уражені компоненти Середовище виконання Skills
Поточні засоби пом'якшення Немає специфічних для Skills
Залишковий ризик Критичний - Skills виконуються з привілеями агента
Рекомендації Ізоляція Skills у пісочниці, ізоляція облікових даних
3.8 Вплив (AML.TA0011)
T-IMPACT-001: Несанкціоноване виконання команд
Атрибут
Значення
Ідентифікатор ATLAS AML.T0031 - Підрив цілісності моделі ШІ
Опис Зловмисник виконує довільні команди в системі користувача
Вектор атаки Ін'єкція промпта в поєднанні з обходом підтвердження exec
Уражені компоненти Інструмент Bash, виконання команд
Поточні засоби пом'якшення Підтвердження exec, опція пісочниці Docker
Залишковий ризик Критичний - Виконання на хості без пісочниці
Рекомендації Використовувати пісочницю за замовчуванням, покращити UX підтвердження
T-IMPACT-002: Вичерпання ресурсів (DoS)
Атрибут
Значення
Ідентифікатор ATLAS AML.T0031 - Підрив цілісності моделі ШІ
Опис Зловмисник вичерпує API-кредити або обчислювальні ресурси
Вектор атаки Автоматизоване надсилання великої кількості повідомлень, дорогі виклики інструментів
Уражені компоненти Gateway, сеанси агента, постачальник API
Поточні засоби пом'якшення Немає
Залишковий ризик Високий - Немає обмеження частоти
Рекомендації Реалізувати обмеження частоти для кожного відправника, бюджети витрат
T-IMPACT-003: Репутаційна шкода
Атрибут
Значення
Ідентифікатор ATLAS AML.T0031 - Підрив цілісності моделі ШІ
Опис Зловмисник змушує агента надсилати шкідливий/образливий вміст
Вектор атаки Ін'єкція промпта, що спричиняє неприйнятні відповіді
Уражені компоненти Генерація виводу, повідомлення в каналах
Поточні засоби пом'якшення Політики вмісту постачальника LLM
Залишковий ризик Середній - Фільтри постачальника недосконалі
Рекомендації Шар фільтрації виводу, засоби керування для користувача
4. Аналіз ланцюга постачання ClawHub
4.1 Поточні засоби контролю безпеки
Засіб контролю
Реалізація
Ефективність
Вік облікового запису GitHub
requireGitHubAccountAge()Середня - Підвищує поріг для нових зловмисників
Санітизація шляху
sanitizePath()Висока - Запобігає обходу шляху
Перевірка типу файлу
isTextFile()Середня - Лише текстові файли, але вони все ще можуть бути шкідливими
Обмеження розміру
Загальний пакет 50 МБ
Висока - Запобігає вичерпанню ресурсів
Обов'язковий SKILL.md
Обов'язковий файл readme
Низька цінність для безпеки - Лише інформаційно
Модерація за шаблонами
FLAG_RULES у moderation.ts
Низька - Легко обходиться
Статус модерації
Поле moderationStatus
Середня - Можливий ручний перегляд
4.2 Шаблони прапорців модерації
Поточні шаблони в moderation.ts:
javascript Copy code /(keepcold131\/ClawdAuthenticatorTool |ClawdAuthenticatorTool )/i /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg |webhook|hooks\.slack )/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly |tinyurl\.com |t\.co |goo\.gl |is\.gd )/i Обмеження:
Перевіряє лише slug, displayName, summary, frontmatter, metadata, шляхи файлів
Не аналізує фактичний вміст коду Skills
Простий regex легко обходиться за допомогою обфускації
Немає поведінкового аналізу
4.3 Заплановані покращення
Покращення
Статус
Вплив
Інтеграція VirusTotal
У роботі
Високий - Поведінковий аналіз Code Insight
Звітування спільноти
Частково (таблиця skillReports існує)
Середній
Журналювання аудиту
Частково (таблиця auditLogs існує)
Середній
Система бейджів
Реалізовано
Середній - highlighted, official, deprecated, redactionApproved
5. Матриця ризиків
5.1 Ймовірність проти впливу
Ідентифікатор загрози
Ймовірність
Вплив
Рівень ризику
Пріоритет
T-EXEC-001
Висока
Критичний
Критичний P0
T-PERSIST-001
Висока
Критичний
Критичний P0
T-EXFIL-003
Середня
Критичний
Критичний P0
T-IMPACT-001
Середня
Критичний
Високий P1
T-EXEC-002
Висока
Високий
Високий P1
T-EXEC-004
Середня
Високий
Високий P1
T-ACCESS-003
Середня
Високий
Високий P1
T-EXFIL-001
Середня
Високий
Високий P1
T-IMPACT-002
Висока
Середній
Високий P1
T-EVADE-001
Висока
Середній
Середній P2
T-ACCESS-001
Низька
Високий
Середній P2
T-ACCESS-002
Низька
Високий
Середній P2
T-PERSIST-002
Низька
Високий
Середній P2
5.2 Критичні ланцюги атак
Ланцюг атаки 1: Крадіжка даних на основі Skills
Code Copy code T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) Ланцюг атаки 2: Ін'єкція промпта до RCE
Code Copy code T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) Ланцюг атаки 3: Непряма ін'єкція через отриманий вміст
Code Copy code T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) 6. Підсумок рекомендацій
6.1 Негайні (P0)
ID
Рекомендація
Усуває
R-001
Завершити інтеграцію VirusTotal
T-PERSIST-001, T-EVADE-001
R-002
Реалізувати ізоляцію навичок
T-PERSIST-001, T-EXFIL-003
R-003
Додати перевірку виводу для чутливих дій
T-EXEC-001, T-EXEC-002
6.2 Короткостроково (P1)
ID
Рекомендація
Усуває
R-004
Реалізувати обмеження частоти
T-IMPACT-002
R-005
Додати шифрування токенів у стані спокою
T-ACCESS-003
R-006
Покращити UX схвалення exec і перевірку
T-EXEC-004
R-007
Реалізувати список дозволених URL для web_fetch
T-EXFIL-001
6.3 Середньостроково (P2)
ID
Рекомендація
Усуває
R-008
Додати криптографічну перевірку каналів, де можливо
T-ACCESS-002
R-009
Реалізувати перевірку цілісності конфігурації
T-PERSIST-003
R-010
Додати підписування оновлень і закріплення версій
T-PERSIST-002
7. Додатки
7.1 Зіставлення технік ATLAS
ID ATLAS
Назва техніки
Загрози OpenClaw
AML.T0006
Активне сканування
T-RECON-001, T-RECON-002
AML.T0009
Збирання
T-EXFIL-001, T-EXFIL-002, T-EXFIL-003
AML.T0010.001
Ланцюг постачання: ПЗ AI
T-PERSIST-001, T-PERSIST-002
AML.T0010.002
Ланцюг постачання: дані
T-PERSIST-003
AML.T0031
Порушення цілісності моделі AI
T-IMPACT-001, T-IMPACT-002, T-IMPACT-003
AML.T0040
Доступ до API виведення моделі AI
T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002
AML.T0043
Створення змагальних даних
T-EXEC-004, T-EVADE-001, T-EVADE-002
AML.T0051.000
Ін’єкція підказки LLM: пряма
T-EXEC-001, T-EXEC-003
AML.T0051.001
Ін’єкція підказки LLM: непряма
T-EXEC-002
7.2 Ключові файли безпеки
Шлях
Призначення
Рівень ризику
src/infra/exec-approvals.tsЛогіка схвалення команд
Критичний
src/gateway/auth.tsАвтентифікація Gateway
Критичний
src/infra/net/ssrf.tsЗахист від SSRF
Критичний
src/security/external-content.tsПом’якшення ін’єкцій підказок
Критичний
src/agents/sandbox/tool-policy.tsЗастосування політики інструментів
Критичний
src/routing/resolve-route.tsІзоляція сеансів
Середній
7.3 Глосарій
Термін
Визначення
ATLAS Ландшафт змагальних загроз MITRE для систем AI
ClawHub Маркетплейс навичок OpenClaw
Gateway Шар маршрутизації повідомлень і автентифікації OpenClaw
MCP Model Context Protocol - інтерфейс постачальника інструментів
Ін’єкція підказки Атака, під час якої шкідливі інструкції вбудовуються у вхідні дані
Skill Завантажуване розширення для агентів OpenClaw
SSRF Server-Side Request Forgery
Ця модель загроз є живим документом. Повідомляйте про проблеми безпеки на [email protected]
Пов’язане
