--- read_when: - Оцінювання стану безпеки або сценаріїв загроз - Робота над функціями безпеки або відповідями на аудити summary: Модель загроз OpenClaw, зіставлена з фреймворком MITRE ATLAS title: Модель загроз (MITRE ATLAS) x-i18n: generated_at: "2026-05-06T16:12:15Z" model: gpt-5.5 provider: openai source_hash: e7371231e9795cd899d727b87dfba7a5cae963f1fd1e50226e3fbb7488ef7381 source_path: security/THREAT-MODEL-ATLAS.md workflow: 16 --- ## Фреймворк MITRE ATLAS **Версія:** 1.0-draft **Останнє оновлення:** 2026-02-04 **Методологія:** MITRE ATLAS + діаграми потоків даних **Фреймворк:** [MITRE ATLAS](https://atlas.mitre.org/) (ландшафт змагальних загроз для AI-систем) ### Атрибуція фреймворку Ця модель загроз побудована на [MITRE ATLAS](https://atlas.mitre.org/), галузевому стандартному фреймворку для документування змагальних загроз для AI/ML-систем. ATLAS підтримує [MITRE](https://www.mitre.org/) у співпраці зі спільнотою безпеки AI. **Ключові ресурси ATLAS:** - [Техніки ATLAS](https://atlas.mitre.org/techniques/) - [Тактики ATLAS](https://atlas.mitre.org/tactics/) - [Приклади ATLAS](https://atlas.mitre.org/studies/) - [ATLAS GitHub](https://github.com/mitre-atlas/atlas-data) - [Участь в ATLAS](https://atlas.mitre.org/resources/contribute) ### Участь у цій моделі загроз Це живий документ, який підтримує спільнота OpenClaw. Перегляньте [CONTRIBUTING-THREAT-MODEL.md](/uk/security/CONTRIBUTING-THREAT-MODEL), щоб ознайомитися з настановами щодо участі: - Повідомлення про нові загрози - Оновлення наявних загроз - Пропонування ланцюжків атак - Пропонування заходів пом’якшення --- ## 1. Вступ ### 1.1 Призначення Ця модель загроз документує змагальні загрози для платформи AI-агентів OpenClaw і маркетплейсу Skills ClawHub, використовуючи фреймворк MITRE ATLAS, спеціально розроблений для AI/ML-систем. ### 1.2 Обсяг | Компонент | Включено | Примітки | | ---------------------- | -------- | ------------------------------------------------ | | Середовище виконання агента OpenClaw | Так | Основне виконання агента, виклики інструментів, сеанси | | Gateway | Так | Автентифікація, маршрутизація, інтеграція каналів | | Інтеграції каналів | Так | WhatsApp, Telegram, Discord, Signal, Slack тощо | | Маркетплейс ClawHub | Так | Публікація Skills, модерація, розповсюдження | | MCP-сервери | Так | Зовнішні постачальники інструментів | | Пристрої користувачів | Частково | Мобільні застосунки, настільні клієнти | ### 1.3 Поза обсягом Нічого явно не виключено з обсягу цієї моделі загроз. --- ## 2. Архітектура системи ### 2.1 Межі довіри ``` ┌─────────────────────────────────────────────────────────────────┐ │ UNTRUSTED ZONE │ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │ │ WhatsApp │ │ Telegram │ │ Discord │ ... │ │ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │ │ │ │ │ │ └─────────┼────────────────┼────────────────┼──────────────────────┘ │ │ │ ▼ ▼ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 1: Channel Access │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ GATEWAY │ │ │ │ • Device Pairing (1h DM / 5m node grace period) │ │ │ │ • AllowFrom / AllowList validation │ │ │ │ • Token/Password/Tailscale auth │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 2: Session Isolation │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ AGENT SESSIONS │ │ │ │ • Session key = agent:channel:peer │ │ │ │ • Tool policies per agent │ │ │ │ • Transcript logging │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 3: Tool Execution │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ EXECUTION SANDBOX │ │ │ │ • Docker sandbox OR Host (exec-approvals) │ │ │ │ • Node remote execution │ │ │ │ • SSRF protection (DNS pinning + IP blocking) │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 4: External Content │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ FETCHED URLs / EMAILS / WEBHOOKS │ │ │ │ • External content wrapping (XML tags) │ │ │ │ • Security notice injection │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────────────────┐ │ TRUST BOUNDARY 5: Supply Chain │ │ ┌──────────────────────────────────────────────────────────┐ │ │ │ CLAWHUB │ │ │ │ • Skill publishing (semver, SKILL.md required) │ │ │ │ • Pattern-based moderation flags │ │ │ │ • VirusTotal scanning (coming soon) │ │ │ │ • GitHub account age verification │ │ │ └──────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ ``` ### 2.2 Потоки даних | Потік | Джерело | Призначення | Дані | Захист | | ---- | ------- | ----------- | ------------------ | -------------------- | | F1 | Канал | Gateway | Повідомлення користувача | TLS, AllowFrom | | F2 | Gateway | Агент | Маршрутизовані повідомлення | Ізоляція сеансів | | F3 | Агент | Інструменти | Виклики інструментів | Застосування політик | | F4 | Агент | Зовнішній ресурс | запити web_fetch | Блокування SSRF | | F5 | ClawHub | Агент | Код Skills | Модерація, сканування | | F6 | Агент | Канал | Відповіді | Фільтрація виводу | --- ## 3. Аналіз загроз за тактикою ATLAS ### 3.1 Розвідка (AML.TA0002) #### T-RECON-001: Виявлення кінцевих точок агента | Атрибут | Значення | | ----------------------- | -------------------------------------------------------------------- | | **ATLAS ID** | AML.T0006 - Активне сканування | | **Опис** | Зловмисник сканує відкриті кінцеві точки OpenClaw Gateway | | **Вектор атаки** | Мережеве сканування, запити shodan, перебирання DNS | | **Уражені компоненти** | Gateway, відкриті кінцеві точки API | | **Поточні заходи пом’якшення** | Опція автентифікації Tailscale, прив’язування до loopback за замовчуванням | | **Залишковий ризик** | Середній - публічні Gateway можна виявити | | **Рекомендації** | Задокументувати безпечне розгортання, додати обмеження частоти для кінцевих точок виявлення | #### T-RECON-002: Зондування інтеграції каналів | Атрибут | Значення | | ----------------------- | ------------------------------------------------------------------ | | **Ідентифікатор ATLAS** | AML.T0006 - Активне сканування | | **Опис** | Зловмисник зондує канали обміну повідомленнями, щоб виявити облікові записи, керовані ШІ | | **Вектор атаки** | Надсилання тестових повідомлень, спостереження за шаблонами відповідей | | **Уражені компоненти** | Усі інтеграції каналів | | **Поточні пом’якшення** | Немає специфічних | | **Залишковий ризик** | Низький - обмежена цінність самого лише виявлення | | **Рекомендації** | Розглянути рандомізацію часу відповіді | --- ### 3.2 Початковий доступ (AML.TA0004) #### T-ACCESS-001: Перехоплення коду сполучення | Атрибут | Значення | | ----------------------- | ------------------------------------------------------------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0040 - Доступ до API інференсу моделі ШІ | | **Опис** | Зловмисник перехоплює код сполучення під час пільгового періоду сполучення (1 год для сполучення каналу DM, 5 хв для сполучення Node) | | **Вектор атаки** | Підглядання через плече, перехоплення мережевого трафіку, соціальна інженерія | | **Уражені компоненти** | Система сполучення пристроїв | | **Поточні пом’якшення** | Закінчення строку дії через 1 год (сполучення DM) / 5 хв (сполучення Node), коди надсилаються через наявний канал | | **Залишковий ризик** | Середній - пільговий період можна використати | | **Рекомендації** | Скоротити пільговий період, додати крок підтвердження | #### T-ACCESS-002: Підміна AllowFrom | Атрибут | Значення | | ----------------------- | ------------------------------------------------------------------------------ | | **Ідентифікатор ATLAS** | AML.T0040 - Доступ до API інференсу моделі ШІ | | **Опис** | Зловмисник підміняє ідентичність дозволеного відправника в каналі | | **Вектор атаки** | Залежить від каналу - підміна номера телефону, видавання себе за користувача | | **Уражені компоненти** | Перевірка AllowFrom для кожного каналу | | **Поточні пом’якшення** | Специфічна для каналу перевірка ідентичності | | **Залишковий ризик** | Середній - деякі канали вразливі до підміни | | **Рекомендації** | Задокументувати специфічні для каналів ризики, додати криптографічну перевірку, де це можливо | #### T-ACCESS-003: Викрадення токенів | Атрибут | Значення | | ----------------------- | ----------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0040 - Доступ до API інференсу моделі ШІ | | **Опис** | Зловмисник викрадає токени автентифікації з файлів конфігурації | | **Вектор атаки** | Шкідливе ПЗ, несанкціонований доступ до пристрою, розкриття резервної копії конфігурації | | **Уражені компоненти** | ~/.openclaw/credentials/, сховище конфігурації | | **Поточні пом’якшення** | Дозволи файлів | | **Залишковий ризик** | Високий - токени зберігаються у відкритому тексті | | **Рекомендації** | Реалізувати шифрування токенів у стані спокою, додати ротацію токенів | --- ### 3.3 Виконання (AML.TA0005) #### T-EXEC-001: Пряма ін’єкція промпта | Атрибут | Значення | | ----------------------- | ----------------------------------------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0051.000 - Ін’єкція промпта LLM: пряма | | **Опис** | Зловмисник надсилає спеціально сформовані промпти, щоб маніпулювати поведінкою агента | | **Вектор атаки** | Повідомлення каналів, що містять ворожі інструкції | | **Уражені компоненти** | LLM агента, усі поверхні введення | | **Поточні пом’якшення** | Виявлення шаблонів, обгортання зовнішнього вмісту | | **Залишковий ризик** | Критичний - лише виявлення, без блокування; складні атаки обходять захист | | **Рекомендації** | Реалізувати багаторівневий захист, валідацію виводу, підтвердження користувача для чутливих дій | #### T-EXEC-002: Непряма ін’єкція промпта | Атрибут | Значення | | ----------------------- | ----------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0051.001 - Ін’єкція промпта LLM: непряма | | **Опис** | Зловмисник вбудовує шкідливі інструкції в отриманий вміст | | **Вектор атаки** | Шкідливі URL-адреси, отруєні електронні листи, скомпрометовані Webhook | | **Уражені компоненти** | web_fetch, поглинання електронної пошти, зовнішні джерела даних | | **Поточні пом’якшення** | Обгортання вмісту XML-тегами та повідомленням про безпеку | | **Залишковий ризик** | Високий - LLM може ігнорувати інструкції обгортки | | **Рекомендації** | Реалізувати санітизацію вмісту, окремі контексти виконання | #### T-EXEC-003: Ін’єкція аргументів інструмента | Атрибут | Значення | | ----------------------- | ------------------------------------------------------------ | | **Ідентифікатор ATLAS** | AML.T0051.000 - Ін’єкція промпта LLM: пряма | | **Опис** | Зловмисник маніпулює аргументами інструмента через ін’єкцію промпта | | **Вектор атаки** | Спеціально сформовані промпти, що впливають на значення параметрів інструмента | | **Уражені компоненти** | Усі виклики інструментів | | **Поточні пом’якшення** | Схвалення exec для небезпечних команд | | **Залишковий ризик** | Високий - покладається на судження користувача | | **Рекомендації** | Реалізувати валідацію аргументів, параметризовані виклики інструментів | #### T-EXEC-004: Обхід схвалення Exec | Атрибут | Значення | | ----------------------- | ---------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0043 - Створення ворожих даних | | **Опис** | Зловмисник створює команди, що обходять allowlist схвалень | | **Вектор атаки** | Обфускація команд, експлуатація псевдонімів, маніпуляція шляхами | | **Уражені компоненти** | exec-approvals.ts, allowlist команд | | **Поточні пом’якшення** | Allowlist + режим запиту | | **Залишковий ризик** | Високий - немає санітизації команд | | **Рекомендації** | Реалізувати нормалізацію команд, розширити blocklist | --- ### 3.4 Закріплення (AML.TA0006) #### T-PERSIST-001: Встановлення шкідливого Skill | Атрибут | Значення | | ----------------------- | ------------------------------------------------------------------------ | | **Ідентифікатор ATLAS** | AML.T0010.001 - Компрометація ланцюга постачання: програмне забезпечення ШІ | | **Опис** | Зловмисник публікує шкідливий Skill у ClawHub | | **Вектор атаки** | Створення облікового запису, публікація Skill із прихованим шкідливим кодом | | **Уражені компоненти** | ClawHub, завантаження Skill, виконання агента | | **Поточні пом’якшення** | Перевірка віку облікового запису GitHub, прапорці модерації на основі шаблонів | | **Залишковий ризик** | Критичний - немає ізоляції, обмежена перевірка | | **Рекомендації** | Інтеграція VirusTotal (у процесі), ізоляція Skill, перевірка спільнотою | #### T-PERSIST-002: Отруєння оновлення Skill | Атрибут | Значення | | ----------------------- | -------------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0010.001 - Компрометація ланцюга постачання: програмне забезпечення ШІ | | **Опис** | Зловмисник компрометує популярний Skill і надсилає шкідливе оновлення | | **Вектор атаки** | Компрометація облікового запису, соціальна інженерія власника Skill | | **Уражені компоненти** | Версіонування ClawHub, потоки автооновлення | | **Поточні пом’якшення** | Фінгерпринтинг версій | | **Залишковий ризик** | Високий - автооновлення можуть підтягнути шкідливі версії | | **Рекомендації** | Реалізувати підписування оновлень, можливість відкату, закріплення версій | #### T-PERSIST-003: Підробка конфігурації агента | Атрибут | Значення | | ----------------------- | --------------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0010.002 - Компрометація ланцюга постачання: дані | | **Опис** | Зловмисник змінює конфігурацію агента, щоб зберегти доступ | | **Вектор атаки** | Зміна файлу конфігурації, ін’єкція налаштувань | | **Уражені компоненти** | Конфігурація агента, політики інструментів | | **Поточні пом’якшення** | Дозволи файлів | | **Залишковий ризик** | Середній - потребує локального доступу | | **Рекомендації** | Перевірка цілісності конфігурації, журналювання аудиту змін конфігурації | --- ### 3.5 Ухилення від захисту (AML.TA0007) #### T-EVADE-001: Обхід шаблонів модерації | Атрибут | Значення | | ----------------------- | ---------------------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0043 - Створення ворожих даних | | **Опис** | Зловмисник створює вміст Skill, щоб уникнути шаблонів модерації | | **Вектор атаки** | Unicode-омогліфи, прийоми кодування, динамічне завантаження | | **Уражені компоненти** | moderation.ts ClawHub | | **Поточні пом’якшення** | FLAG_RULES на основі шаблонів | | **Залишковий ризик** | Високий - простий regex легко обходиться | | **Рекомендації** | Додати поведінковий аналіз (VirusTotal Code Insight), виявлення на основі AST | #### T-EVADE-002: Вихід за межі обгортки вмісту | Атрибут | Значення | | ----------------------- | --------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0043 - Створення змагальних даних | | **Опис** | Зловмисник створює вміст, що виходить із контексту XML-обгортки | | **Вектор атаки** | Маніпуляція тегами, плутанина контексту, перевизначення інструкцій | | **Уражені компоненти** | Обгортання зовнішнього вмісту | | **Поточні засоби пом'якшення** | XML-теги + повідомлення безпеки | | **Залишковий ризик** | Середній - Нові способи виходу виявляють регулярно | | **Рекомендації** | Кілька шарів обгортки, перевірка на боці виводу | --- ### 3.6 Виявлення (AML.TA0008) #### T-DISC-001: Перелічення інструментів | Атрибут | Значення | | ----------------------- | ----------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0040 - Доступ до API інференсу моделі ШІ | | **Опис** | Зловмисник перелічує доступні інструменти через промпти | | **Вектор атаки** | Запити на кшталт "Які інструменти у вас є?" | | **Уражені компоненти** | Реєстр інструментів агента | | **Поточні засоби пом'якшення** | Немає специфічних | | **Залишковий ризик** | Низький - Інструменти зазвичай задокументовані | | **Рекомендації** | Розглянути засоби керування видимістю інструментів | #### T-DISC-002: Витягування даних сеансу | Атрибут | Значення | | ----------------------- | ----------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0040 - Доступ до API інференсу моделі ШІ | | **Опис** | Зловмисник витягує чутливі дані з контексту сеансу | | **Вектор атаки** | Запити "Що ми обговорювали?", зондування контексту | | **Уражені компоненти** | Транскрипти сеансів, контекстне вікно | | **Поточні засоби пом'якшення** | Ізоляція сеансу для кожного відправника | | **Залишковий ризик** | Середній - Дані в межах сеансу доступні | | **Рекомендації** | Реалізувати редагування чутливих даних у контексті | --- ### 3.7 Збирання та ексфільтрація (AML.TA0009, AML.TA0010) #### T-EXFIL-001: Крадіжка даних через web_fetch | Атрибут | Значення | | ----------------------- | ---------------------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0009 - Збирання | | **Опис** | Зловмисник ексфільтрує дані, інструктуючи агента надсилати їх на зовнішню URL-адресу | | **Вектор атаки** | Ін'єкція промпта, що змушує агента виконати POST даних на сервер зловмисника | | **Уражені компоненти** | Інструмент web_fetch | | **Поточні засоби пом'якшення** | Блокування SSRF для внутрішніх мереж | | **Залишковий ризик** | Високий - Зовнішні URL-адреси дозволені | | **Рекомендації** | Реалізувати список дозволених URL-адрес, обізнаність про класифікацію даних | #### T-EXFIL-002: Несанкціоноване надсилання повідомлень | Атрибут | Значення | | ----------------------- | ---------------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0009 - Збирання | | **Опис** | Зловмисник змушує агента надсилати повідомлення, що містять чутливі дані | | **Вектор атаки** | Ін'єкція промпта, що змушує агента надіслати повідомлення зловмиснику | | **Уражені компоненти** | Інструмент повідомлень, інтеграції каналів | | **Поточні засоби пом'якшення** | Контроль вихідних повідомлень | | **Залишковий ризик** | Середній - Контроль може бути обійдений | | **Рекомендації** | Вимагати явного підтвердження для нових отримувачів | #### T-EXFIL-003: Збирання облікових даних | Атрибут | Значення | | ----------------------- | ------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0009 - Збирання | | **Опис** | Шкідлива Skills збирає облікові дані з контексту агента | | **Вектор атаки** | Код Skills читає змінні середовища, конфігураційні файли | | **Уражені компоненти** | Середовище виконання Skills | | **Поточні засоби пом'якшення** | Немає специфічних для Skills | | **Залишковий ризик** | Критичний - Skills виконуються з привілеями агента | | **Рекомендації** | Ізоляція Skills у пісочниці, ізоляція облікових даних | --- ### 3.8 Вплив (AML.TA0011) #### T-IMPACT-001: Несанкціоноване виконання команд | Атрибут | Значення | | ----------------------- | --------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0031 - Підрив цілісності моделі ШІ | | **Опис** | Зловмисник виконує довільні команди в системі користувача | | **Вектор атаки** | Ін'єкція промпта в поєднанні з обходом підтвердження exec | | **Уражені компоненти** | Інструмент Bash, виконання команд | | **Поточні засоби пом'якшення** | Підтвердження exec, опція пісочниці Docker | | **Залишковий ризик** | Критичний - Виконання на хості без пісочниці | | **Рекомендації** | Використовувати пісочницю за замовчуванням, покращити UX підтвердження | #### T-IMPACT-002: Вичерпання ресурсів (DoS) | Атрибут | Значення | | ----------------------- | -------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0031 - Підрив цілісності моделі ШІ | | **Опис** | Зловмисник вичерпує API-кредити або обчислювальні ресурси | | **Вектор атаки** | Автоматизоване надсилання великої кількості повідомлень, дорогі виклики інструментів | | **Уражені компоненти** | Gateway, сеанси агента, постачальник API | | **Поточні засоби пом'якшення** | Немає | | **Залишковий ризик** | Високий - Немає обмеження частоти | | **Рекомендації** | Реалізувати обмеження частоти для кожного відправника, бюджети витрат | #### T-IMPACT-003: Репутаційна шкода | Атрибут | Значення | | ----------------------- | ------------------------------------------------------- | | **Ідентифікатор ATLAS** | AML.T0031 - Підрив цілісності моделі ШІ | | **Опис** | Зловмисник змушує агента надсилати шкідливий/образливий вміст | | **Вектор атаки** | Ін'єкція промпта, що спричиняє неприйнятні відповіді | | **Уражені компоненти** | Генерація виводу, повідомлення в каналах | | **Поточні засоби пом'якшення** | Політики вмісту постачальника LLM | | **Залишковий ризик** | Середній - Фільтри постачальника недосконалі | | **Рекомендації** | Шар фільтрації виводу, засоби керування для користувача | --- ## 4. Аналіз ланцюга постачання ClawHub ### 4.1 Поточні засоби контролю безпеки | Засіб контролю | Реалізація | Ефективність | | -------------------- | --------------------------- | ---------------------------------------------------- | | Вік облікового запису GitHub | `requireGitHubAccountAge()` | Середня - Підвищує поріг для нових зловмисників | | Санітизація шляху | `sanitizePath()` | Висока - Запобігає обходу шляху | | Перевірка типу файлу | `isTextFile()` | Середня - Лише текстові файли, але вони все ще можуть бути шкідливими | | Обмеження розміру | Загальний пакет 50 МБ | Висока - Запобігає вичерпанню ресурсів | | Обов'язковий SKILL.md | Обов'язковий файл readme | Низька цінність для безпеки - Лише інформаційно | | Модерація за шаблонами | FLAG_RULES у moderation.ts | Низька - Легко обходиться | | Статус модерації | Поле `moderationStatus` | Середня - Можливий ручний перегляд | ### 4.2 Шаблони прапорців модерації Поточні шаблони в `moderation.ts`: ```javascript // Known-bad identifiers /(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i // Suspicious keywords /(malware|stealer|phish|phishing|keylogger)/i /(api[-_ ]?key|token|password|private key|secret)/i /(wallet|seed phrase|mnemonic|crypto)/i /(discord\.gg|webhook|hooks\.slack)/i /(curl[^\n]+\|\s*(sh|bash))/i /(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i ``` **Обмеження:** - Перевіряє лише slug, displayName, summary, frontmatter, metadata, шляхи файлів - Не аналізує фактичний вміст коду Skills - Простий regex легко обходиться за допомогою обфускації - Немає поведінкового аналізу ### 4.3 Заплановані покращення | Покращення | Статус | Вплив | | ---------------------- | ------------------------------------- | --------------------------------------------------------------------- | | Інтеграція VirusTotal | У роботі | Високий - Поведінковий аналіз Code Insight | | Звітування спільноти | Частково (таблиця `skillReports` існує) | Середній | | Журналювання аудиту | Частково (таблиця `auditLogs` існує) | Середній | | Система бейджів | Реалізовано | Середній - `highlighted`, `official`, `deprecated`, `redactionApproved` | --- ## 5. Матриця ризиків ### 5.1 Ймовірність проти впливу | Ідентифікатор загрози | Ймовірність | Вплив | Рівень ризику | Пріоритет | | ------------- | ---------- | -------- | ------------ | -------- | | T-EXEC-001 | Висока | Критичний | **Критичний** | P0 | | T-PERSIST-001 | Висока | Критичний | **Критичний** | P0 | | T-EXFIL-003 | Середня | Критичний | **Критичний** | P0 | | T-IMPACT-001 | Середня | Критичний | **Високий** | P1 | | T-EXEC-002 | Висока | Високий | **Високий** | P1 | | T-EXEC-004 | Середня | Високий | **Високий** | P1 | | T-ACCESS-003 | Середня | Високий | **Високий** | P1 | | T-EXFIL-001 | Середня | Високий | **Високий** | P1 | | T-IMPACT-002 | Висока | Середній | **Високий** | P1 | | T-EVADE-001 | Висока | Середній | **Середній** | P2 | | T-ACCESS-001 | Низька | Високий | **Середній** | P2 | | T-ACCESS-002 | Низька | Високий | **Середній** | P2 | | T-PERSIST-002 | Низька | Високий | **Середній** | P2 | ### 5.2 Критичні ланцюги атак **Ланцюг атаки 1: Крадіжка даних на основі Skills** ``` T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003 (Publish malicious skill) → (Evade moderation) → (Harvest credentials) ``` **Ланцюг атаки 2: Ін'єкція промпта до RCE** ``` T-EXEC-001 → T-EXEC-004 → T-IMPACT-001 (Inject prompt) → (Bypass exec approval) → (Execute commands) ``` **Ланцюг атаки 3: Непряма ін'єкція через отриманий вміст** ``` T-EXEC-002 → T-EXFIL-001 → External exfiltration (Poison URL content) → (Agent fetches & follows instructions) → (Data sent to attacker) ``` --- ## 6. Підсумок рекомендацій ### 6.1 Негайні (P0) | ID | Рекомендація | Усуває | | ----- | ----------------------------------------- | -------------------------- | | R-001 | Завершити інтеграцію VirusTotal | T-PERSIST-001, T-EVADE-001 | | R-002 | Реалізувати ізоляцію навичок | T-PERSIST-001, T-EXFIL-003 | | R-003 | Додати перевірку виводу для чутливих дій | T-EXEC-001, T-EXEC-002 | ### 6.2 Короткостроково (P1) | ID | Рекомендація | Усуває | | ----- | ----------------------------------------- | ------------ | | R-004 | Реалізувати обмеження частоти | T-IMPACT-002 | | R-005 | Додати шифрування токенів у стані спокою | T-ACCESS-003 | | R-006 | Покращити UX схвалення exec і перевірку | T-EXEC-004 | | R-007 | Реалізувати список дозволених URL для web_fetch | T-EXFIL-001 | ### 6.3 Середньостроково (P2) | ID | Рекомендація | Усуває | | ----- | ---------------------------------------------------- | ------------- | | R-008 | Додати криптографічну перевірку каналів, де можливо | T-ACCESS-002 | | R-009 | Реалізувати перевірку цілісності конфігурації | T-PERSIST-003 | | R-010 | Додати підписування оновлень і закріплення версій | T-PERSIST-002 | --- ## 7. Додатки ### 7.1 Зіставлення технік ATLAS | ID ATLAS | Назва техніки | Загрози OpenClaw | | ------------- | ------------------------------ | ---------------------------------------------------------------- | | AML.T0006 | Активне сканування | T-RECON-001, T-RECON-002 | | AML.T0009 | Збирання | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 | | AML.T0010.001 | Ланцюг постачання: ПЗ AI | T-PERSIST-001, T-PERSIST-002 | | AML.T0010.002 | Ланцюг постачання: дані | T-PERSIST-003 | | AML.T0031 | Порушення цілісності моделі AI | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 | | AML.T0040 | Доступ до API виведення моделі AI | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 | | AML.T0043 | Створення змагальних даних | T-EXEC-004, T-EVADE-001, T-EVADE-002 | | AML.T0051.000 | Ін’єкція підказки LLM: пряма | T-EXEC-001, T-EXEC-003 | | AML.T0051.001 | Ін’єкція підказки LLM: непряма | T-EXEC-002 | ### 7.2 Ключові файли безпеки | Шлях | Призначення | Рівень ризику | | ----------------------------------- | ---------------------------- | ------------- | | `src/infra/exec-approvals.ts` | Логіка схвалення команд | **Критичний** | | `src/gateway/auth.ts` | Автентифікація Gateway | **Критичний** | | `src/infra/net/ssrf.ts` | Захист від SSRF | **Критичний** | | `src/security/external-content.ts` | Пом’якшення ін’єкцій підказок | **Критичний** | | `src/agents/sandbox/tool-policy.ts` | Застосування політики інструментів | **Критичний** | | `src/routing/resolve-route.ts` | Ізоляція сеансів | **Середній** | ### 7.3 Глосарій | Термін | Визначення | | -------------------- | --------------------------------------------------------- | | **ATLAS** | Ландшафт змагальних загроз MITRE для систем AI | | **ClawHub** | Маркетплейс навичок OpenClaw | | **Gateway** | Шар маршрутизації повідомлень і автентифікації OpenClaw | | **MCP** | Model Context Protocol - інтерфейс постачальника інструментів | | **Ін’єкція підказки** | Атака, під час якої шкідливі інструкції вбудовуються у вхідні дані | | **Skill** | Завантажуване розширення для агентів OpenClaw | | **SSRF** | Server-Side Request Forgery | --- _Ця модель загроз є живим документом. Повідомляйте про проблеми безпеки на security@openclaw.ai_ ## Пов’язане - [Формальна верифікація](/uk/security/formal-verification) - [Участь у розробці моделі загроз](/uk/security/CONTRIBUTING-THREAT-MODEL)