MITRE ATLAS 框架
版本: 1.0-draft 最后更新: 2026-02-04 方法论: MITRE ATLAS + 数据流图 框架: MITRE ATLAS (Adversarial Threat Landscape for AI Systems)
框架归属
此威胁模型基于 MITRE ATLAS 构建,该框架是记录 AI/ML 系统对抗性威胁的行业标准。ATLAS 由 MITRE 与 AI 安全社区协作维护。关键 ATLAS 资源:
为此威胁模型做贡献
这是一份由 OpenClaw 社区维护的动态文档。请参阅 CONTRIBUTING-THREAT-MODEL.md 了解贡献指南:
- 报告新威胁
- 更新现有威胁
- 提议攻击链
- 建议缓解措施
1. 简介
1.1 目的
本威胁模型使用专为 AI/ML 系统设计的 MITRE ATLAS 框架,记录对 OpenClaw AI 智能体平台和 ClawHub 技能市场的对抗性威胁。
1.2 范围
| 组件 | 是否包含 | 备注 |
|---|
| OpenClaw 智能体运行时 | 是 | 核心智能体执行、工具调用、会话 |
| 网关 | 是 | 身份验证、路由、频道集成 |
| 频道集成 | 是 | WhatsApp、Telegram、Discord、Signal、Slack 等 |
| ClawHub 市场 | 是 | 技能发布、审核、分发 |
| MCP 服务器 | 是 | 外部工具提供商 |
| 用户设备 | 部分 | 移动应用、桌面客户端 |
1.3 不在范围内
本威胁模型没有明确排除任何内容。
2. 系统架构
2.1 信任边界
┌─────────────────────────────────────────────────────────────────┐
│ 不可信区域 │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ WhatsApp │ │ Telegram │ │ Discord │ ... │
│ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │
│ │ │ │ │
└─────────┼────────────────┼────────────────┼──────────────────────┘
│ │ │
▼ ▼ ▼
┌─────────────────────────────────────────────────────────────────┐
│ 信任边界 1: 频道访问 │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 网关 │ │
│ │ • 设备配对 (30秒宽限期) │ │
│ │ • AllowFrom / AllowList 验证 │ │
│ │ • Token/Password/Tailscale 认证 │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ 信任边界 2: 会话隔离 │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 智能体会话 │ │
│ │ • 会话密钥 = agent:channel:peer │ │
│ │ • 每个智能体的工具策略 │ │
│ │ • 对话记录日志 │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ 信任边界 3: 工具执行 │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 执行沙箱 │ │
│ │ • Docker 沙箱 或 主机 (exec-approvals) │ │
│ │ • Node 远程执行 │ │
│ │ • SSRF 防护 (DNS 固定 + IP 阻止) │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ 信任边界 4: 外部内容 │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 获取的 URL / 电子邮件 / Webhooks │ │
│ │ • 外部内容包装 (XML 标签) │ │
│ │ • 安全通知注入 │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ 信任边界 5: 供应链 │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ ClawHub │ │
│ │ • 技能发布 (semver, 需要 SKILL.md) │ │
│ │ • 基于模式的审核标记 │ │
│ │ • VirusTotal 扫描 (即将推出) │ │
│ │ • GitHub 账户年龄验证 │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
2.2 数据流
| 流 | 源 | 目标 | 数据 | 保护措施 |
|---|
| F1 | 频道 | 网关 | 用户消息 | TLS, AllowFrom |
| F2 | 网关 | 智能体 | 路由消息 | 会话隔离 |
| F3 | 智能体 | 工具 | 工具调用 | 策略执行 |
| F4 | 智能体 | 外部 | web_fetch 请求 | SSRF 阻止 |
| F5 | ClawHub | 智能体 | 技能代码 | 审核、扫描 |
| F6 | 智能体 | 频道 | 响应 | 输出过滤 |
3. 按 ATLAS 战术进行威胁分析
3.1 侦察 (AML.TA0002)
T-RECON-001: 智能体端点发现
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0006 - Active Scanning |
| 描述 | 攻击者扫描暴露的 OpenClaw 网关端点 |
| 攻击向量 | 网络扫描、shodan 查询、DNS 枚举 |
| 受影响组件 | 网关、暴露的 API 端点 |
| 当前缓解措施 | Tailscale 认证选项、默认绑定到环回地址 |
| 剩余风险 | 中 - 公共网关可被发现 |
| 建议 | 记录安全部署、在发现端点添加速率限制 |
T-RECON-002: 频道集成探测
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0006 - Active Scanning |
| 描述 | 攻击者探测消息频道以识别 AI 管理的账户 |
| 攻击向量 | 发送测试消息、观察响应模式 |
| 受影响组件 | 所有频道集成 |
| 当前缓解措施 | 无特定措施 |
| 剩余风险 | 低 - 仅发现的价值有限 |
| 建议 | 考虑响应时间随机化 |
3.2 初始访问 (AML.TA0004)
T-ACCESS-001: 配对码拦截
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0040 - AI Model Inference API Access |
| 描述 | 攻击者在 30 秒宽限期内拦截配对码 |
| 攻击向量 | 肩窥、网络嗅探、社会工程 |
| 受影响组件 | 设备配对系统 |
| 当前缓解措施 | 30秒过期、通过现有频道发送代码 |
| 剩余风险 | 中 - 宽限期可利用 |
| 建议 | 缩短宽限期、添加确认步骤 |
T-ACCESS-002: AllowFrom 欺骗
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0040 - AI Model Inference API Access |
| 描述 | 攻击者在频道中欺骗允许的发送者身份 |
| 攻击向量 | 取决于频道 - 电话号码欺骗、用户名冒充 |
| 受影响组件 | 每个频道的 AllowFrom 验证 |
| 当前缓解措施 | 频道特定的身份验证 |
| 剩余风险 | 中 - 某些频道易受欺骗 |
| 建议 | 记录频道特定风险、在可能的情况下添加加密验证 |
T-ACCESS-003: 令牌窃取
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0040 - AI Model Inference API Access |
| 描述 | 攻击者从配置文件中窃取认证令牌 |
| 攻击向量 | 恶意软件、未经授权的设备访问、配置备份暴露 |
| 受影响组件 | ~/.openclaw/credentials/、配置存储 |
| 当前缓解措施 | 文件权限 |
| 剩余风险 | 高 - 令牌以明文存储 |
| 建议 | 实现静态令牌加密、添加令牌轮换 |
3.3 执行 (AML.TA0005)
T-EXEC-001: 直接提示注入
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0051.000 - LLM Prompt Injection: Direct |
| 描述 | 攻击者发送精心设计的提示以操纵智能体行为 |
| 攻击向量 | 包含对抗性指令的频道消息 |
| 受影响组件 | 智能体 LLM、所有输入面 |
| 当前缓解措施 | 模式检测、外部内容包装 |
| 剩余风险 | 严重 - 仅检测,无阻止;复杂攻击可绕过 |
| 建议 | 实施多层防御、输出验证、敏感操作的用户确认 |
T-EXEC-002: 间接提示注入
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0051.001 - LLM Prompt Injection: Indirect |
| 描述 | 攻击者在获取的内容中嵌入恶意指令 |
| 攻击向量 | 恶意 URL、被污染的电子邮件、被入侵的 webhook |
| 受影响组件 | web_fetch、电子邮件摄取、外部数据源 |
| 当前缓解措施 | 使用 XML 标签和安全通知进行内容包装 |
| 剩余风险 | 高 - LLM 可能忽略包装指令 |
| 建议 | 实施内容清理、分离执行上下文 |
T-EXEC-003: 工具参数注入
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0051.000 - LLM Prompt Injection: Direct |
| 描述 | 攻击者通过提示注入操纵工具参数 |
| 攻击向量 | 影响工具参数值的精心设计的提示 |
| 受影响组件 | 所有工具调用 |
| 当前缓解措施 | 危险命令的执行批准 |
| 剩余风险 | 高 - 依赖用户判断 |
| 建议 | 实施参数验证、参数化工具调用 |
T-EXEC-004: 执行批准绕过
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0043 - Craft Adversarial Data |
| 描述 | 攻击者构造绕过批准允许列表的命令 |
| 攻击向量 | 命令混淆、别名利用、路径操纵 |
| 受影响组件 | exec-approvals.ts、命令允许列表 |
| 当前缓解措施 | 允许列表 + 询问模式 |
| 剩余风险 | 高 - 无命令清理 |
| 建议 | 实施命令规范化、扩展阻止列表 |
3.4 持久化 (AML.TA0006)
T-PERSIST-001: 恶意技能安装
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0010.001 - Supply Chain Compromise: AI Software |
| 描述 | 攻击者向 ClawHub 发布恶意技能 |
| 攻击向量 | 创建账户、发布包含隐藏恶意代码的技能 |
| 受影响组件 | ClawHub、技能加载、智能体执行 |
| 当前缓解措施 | GitHub 账户年龄验证、基于模式的审核标记 |
| 剩余风险 | 严重 - 无沙箱、审核有限 |
| 建议 | VirusTotal 集成(进行中)、技能沙箱化、社区审核 |
T-PERSIST-002: 技能更新投毒
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0010.001 - Supply Chain Compromise: AI Software |
| 描述 | 攻击者入侵流行技能并推送恶意更新 |
| 攻击向量 | 账户入侵、技能所有者的社会工程 |
| 受影响组件 | ClawHub 版本控制、自动更新流程 |
| 当前缓解措施 | 版本指纹识别 |
| 剩余风险 | 高 - 自动更新可能拉取恶意版本 |
| 建议 | 实施更新签名、回滚能力、版本固定 |
T-PERSIST-003: 智能体配置篡改
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0010.002 - Supply Chain Compromise: Data |
| 描述 | 攻击者修改智能体配置以保持访问权限 |
| 攻击向量 | 配置文件修改、设置注入 |
| 受影响组件 | 智能体配置、工具策略 |
| 当前缓解措施 | 文件权限 |
| 剩余风险 | 中 - 需要本地访问 |
| 建议 | 配置完整性验证、配置更改的审计日志 |
3.5 防御规避 (AML.TA0007)
T-EVADE-001: 审核模式绕过
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0043 - Craft Adversarial Data |
| 描述 | 攻击者构造技能内容以绕过审核模式 |
| 攻击向量 | Unicode 同形异义词、编码技巧、动态加载 |
| 受影响组件 | ClawHub moderation.ts |
| 当前缓解措施 | 基于模式的 FLAG_RULES |
| 剩余风险 | 高 - 简单的正则表达式容易被绕过 |
| 建议 | 添加行为分析(VirusTotal Code Insight)、基于 AST 的检测 |
T-EVADE-002: 内容包装逃逸
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0043 - Craft Adversarial Data |
| 描述 | 攻击者构造逃逸 XML 包装上下文的内容 |
| 攻击向量 | 标签操纵、上下文混淆、指令覆盖 |
| 受影响组件 | 外部内容包装 |
| 当前缓解措施 | XML 标签 + 安全通知 |
| 剩余风险 | 中 - 新的逃逸方法不断被发现 |
| 建议 | 多层包装、输出端验证 |
3.6 发现 (AML.TA0008)
T-DISC-001: 工具枚举
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0040 - AI Model Inference API Access |
| 描述 | 攻击者通过提示枚举可用工具 |
| 攻击向量 | "你有什么工具?" 类型的查询 |
| 受影响组件 | 智能体工具注册表 |
| 当前缓解措施 | 无特定措施 |
| 剩余风险 | 低 - 工具通常有文档记录 |
| 建议 | 考虑工具可见性控制 |
T-DISC-002: 会话数据提取
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0040 - AI Model Inference API Access |
| 描述 | 攻击者从会话上下文中提取敏感数据 |
| 攻击向量 | "我们讨论了什么?" 查询、上下文探测 |
| 受影响组件 | 会话记录、上下文窗口 |
| 当前缓解措施 | 每个发送者的会话隔离 |
| 剩余风险 | 中 - 会话内数据可访问 |
| 建议 | 在上下文中实施敏感数据脱敏 |
3.7 收集与渗出 (AML.TA0009, AML.TA0010)
T-EXFIL-001: 通过 web_fetch 窃取数据
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0009 - Collection |
| 描述 | 攻击者通过指示智能体发送数据到外部 URL 来渗出数据 |
| 攻击向量 | 提示注入导致智能体将数据 POST 到攻击者服务器 |
| 受影响组件 | web_fetch 工具 |
| 当前缓解措施 | 针对内部网络的 SSRF 阻止 |
| 剩余风险 | 高 - 允许外部 URL |
| 建议 | 实施 URL 允许列表、数据分类感知 |
T-EXFIL-002: 未经授权的消息发送
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0009 - Collection |
| 描述 | 攻击者导致智能体发送包含敏感数据的消息 |
| 攻击向量 | 提示注入导致智能体向攻击者发送消息 |
| 受影响组件 | 消息工具、频道集成 |
| 当前缓解措施 | 出站消息门控 |
| 剩余风险 | 中 - 门控可能被绕过 |
| 建议 | 对新收件人要求明确确认 |
T-EXFIL-003: 凭据窃取
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0009 - Collection |
| 描述 | 恶意技能从智能体上下文中窃取凭据 |
| 攻击向量 | 技能代码读取环境变量、配置文件 |
| 受影响组件 | 技能执行环境 |
| 当前缓解措施 | 无针对技能的特定措施 |
| 剩余风险 | 严重 - 技能以智能体权限运行 |
| 建议 | 技能沙箱化、凭据隔离 |
3.8 影响 (AML.TA0011)
T-IMPACT-001: 未经授权的命令执行
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0031 - Erode AI Model Integrity |
| 描述 | 攻击者在用户系统上执行任意命令 |
| 攻击向量 | 提示注入结合执行批准绕过 |
| 受影响组件 | Bash 工具、命令执行 |
| 当前缓解措施 | 执行批准、Docker 沙箱选项 |
| 剩余风险 | 严重 - 无沙箱的主机执行 |
| 建议 | 默认使用沙箱、改进批准用户体验 |
T-IMPACT-002: 资源耗尽 (DoS)
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0031 - Erode AI Model Integrity |
| 描述 | 攻击者耗尽 API 额度或计算资源 |
| 攻击向量 | 自动化消息洪泛、昂贵的工具调用 |
| 受影响组件 | 网关、智能体会话、API 提供商 |
| 当前缓解措施 | 无 |
| 剩余风险 | 高 - 无速率限制 |
| 建议 | 实施每个发送者的速率限制、成本预算 |
T-IMPACT-003: 声誉损害
| 属性 | 值 |
|---|
| ATLAS ID | AML.T0031 - Erode AI Model Integrity |
| 描述 | 攻击者导致智能体发送有害/冒犯性内容 |
| 攻击向量 | 提示注入导致不当响应 |
| 受影响组件 | 输出生成、频道消息 |
| 当前缓解措施 | LLM 提供商内容策略 |
| 剩余风险 | 中 - 提供商过滤器不完美 |
| 建议 | 输出过滤层、用户控制 |
4. ClawHub 供应链分析
4.1 当前安全控制
| 控制 | 实现 | 有效性 |
|---|
| GitHub 账户年龄 | requireGitHubAccountAge() | 中 - 提高新攻击者的门槛 |
| 路径清理 | sanitizePath() | 高 - 防止路径遍历 |
| 文件类型验证 | isTextFile() | 中 - 仅文本文件,但仍可能恶意 |
| 大小限制 | 50MB 总包 | 高 - 防止资源耗尽 |
| 必需的 SKILL.md | 强制自述文件 | 低安全价值 - 仅信息性 |
| 模式审核 | moderation.ts 中的 FLAG_RULES | 低 - 容易被绕过 |
| 审核状态 | moderationStatus 字段 | 中 - 可能进行人工审核 |
4.2 审核标记模式
moderation.ts 中的当前模式:
// 已知不良标识符
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i
// 可疑关键词
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
局限性:
- 仅检查 slug、displayName、summary、frontmatter、metadata、文件路径
- 不分析实际的技能代码内容
- 简单的正则表达式容易被混淆绕过
- 无行为分析
4.3 计划中的改进
| 改进 | 状态 | 影响 |
|---|
| VirusTotal 集成 | 进行中 | 高 - Code Insight 行为分析 |
| 社区报告 | 部分(skillReports 表已存在) | 中 |
| 审计日志 | 部分(auditLogs 表已存在) | 中 |
| 徽章系统 | 已实现 | 中 - highlighted, official, deprecated, redactionApproved |
5. 风险矩阵
5.1 可能性 vs 影响
| 威胁 ID | 可能性 | 影响 | 风险等级 | 优先级 |
|---|
| T-EXEC-001 | 高 | 严重 | 严重 | P0 |
| T-PERSIST-001 | 高 | 严重 | 严重 | P0 |
| T-EXFIL-003 | 中 | 严重 | 严重 | P0 |
| T-IMPACT-001 | 中 | 严重 | 高 | P1 |
| T-EXEC-002 | 高 | 高 | 高 | P1 |
| T-EXEC-004 | 中 | 高 | 高 | P1 |
| T-ACCESS-003 | 中 | 高 | 高 | P1 |
| T-EXFIL-001 | 中 | 高 | 高 | P1 |
| T-IMPACT-002 | 高 | 中 | 高 | P1 |
| T-EVADE-001 | 高 | 中 | 中 | P2 |
| T-ACCESS-001 | 低 | 高 | 中 | P2 |
| T-ACCESS-002 | 低 | 高 | 中 | P2 |
| T-PERSIST-002 | 低 | 高 | 中 | P2 |
5.2 关键路径攻击链
攻击链 1: 基于技能的数据窃取
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(发布恶意技能) → (绕过审核) → (窃取凭据)
攻击链 2: 提示注入到 RCE
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(注入提示) → (绕过执行批准) → (执行命令)
攻击链 3: 通过获取内容进行间接注入
T-EXEC-002 → T-EXFIL-001 → 外部渗出
(投毒 URL 内容) → (智能体获取并遵循指令) → (数据发送给攻击者)
6. 建议摘要
6.1 立即 (P0)
| ID | 建议 | 解决的问题 |
|---|
| R-001 | 完成 VirusTotal 集成 | T-PERSIST-001, T-EVADE-001 |
| R-002 | 实施技能沙箱化 | T-PERSIST-001, T-EXFIL-003 |
| R-003 | 为敏感操作添加输出验证 | T-EXEC-001, T-EXEC-002 |
6.2 短期 (P1)
| ID | 建议 | 解决的问题 |
|---|
| R-004 | 实施速率限制 | T-IMPACT-002 |
| R-005 | 添加静态令牌加密 | T-ACCESS-003 |
| R-006 | 改进执行批准用户体验和验证 | T-EXEC-004 |
| R-007 | 为 web_fetch 实施 URL 允许列表 | T-EXFIL-001 |
6.3 中期 (P2)
| ID | 建议 | 解决的问题 |
|---|
| R-008 | 在可能的情况下添加加密频道验证 | T-ACCESS-002 |
| R-009 | 实施配置完整性验证 | T-PERSIST-003 |
| R-010 | 添加更新签名和版本固定 | T-PERSIST-002 |
7. 附录
7.1 ATLAS 技术映射
| ATLAS ID | 技术名称 | OpenClaw 威胁 |
|---|
| AML.T0006 | Active Scanning | T-RECON-001, T-RECON-002 |
| AML.T0009 | Collection | T-EXFIL-001, T-EXFIL-002, T-EXFIL-003 |
| AML.T0010.001 | Supply Chain: AI Software | T-PERSIST-001, T-PERSIST-002 |
| AML.T0010.002 | Supply Chain: Data | T-PERSIST-003 |
| AML.T0031 | Erode AI Model Integrity | T-IMPACT-001, T-IMPACT-002, T-IMPACT-003 |
| AML.T0040 | AI Model Inference API Access | T-ACCESS-001, T-ACCESS-002, T-ACCESS-003, T-DISC-001, T-DISC-002 |
| AML.T0043 | Craft Adversarial Data | T-EXEC-004, T-EVADE-001, T-EVADE-002 |
| AML.T0051.000 | LLM Prompt Injection: Direct | T-EXEC-001, T-EXEC-003 |
| AML.T0051.001 | LLM Prompt Injection: Indirect | T-EXEC-002 |
7.2 关键安全文件
| 路径 | 目的 | 风险等级 |
|---|
src/infra/exec-approvals.ts | 命令批准逻辑 | 严重 |
src/gateway/auth.ts | 网关身份验证 | 严重 |
src/web/inbound/access-control.ts | 频道访问控制 | 严重 |
src/infra/net/ssrf.ts | SSRF 防护 | 严重 |
src/security/external-content.ts | 提示注入缓解 | 严重 |
src/agents/sandbox/tool-policy.ts | 工具策略执行 | 严重 |
convex/lib/moderation.ts | ClawHub 审核 | 高 |
convex/lib/skillPublish.ts | 技能发布流程 | 高 |
src/routing/resolve-route.ts | 会话隔离 | 中 |
7.3 术语表
| 术语 | 定义 |
|---|
| ATLAS | MITRE 的 AI 系统对抗性威胁全景图 |
| ClawHub | OpenClaw 的技能市场 |
| Gateway | OpenClaw 的消息路由和身份验证层 |
| MCP | Model Context Protocol - 工具提供商接口 |
| Prompt Injection | 恶意指令嵌入输入的攻击 |
| Skill | OpenClaw 智能体的可下载扩展 |
| SSRF | 服务器端请求伪造 |
此威胁模型是一份动态文档。请将安全问题报告至 security@openclaw.ai
README贡献威胁模型
