OpenClaw 威胁模型 v1.0

MITRE ATLAS 框架

版本： 1.0-draft 最后更新： 2026-02-04 方法论： MITRE ATLAS + 数据流图 框架： MITRE ATLAS（AI 系统对抗性威胁态势）

框架归属

本威胁模型基于 MITRE ATLAS 构建，这是记录 AI/ML 系统对抗性威胁的行业标准框架。ATLAS 由 MITRE 与 AI 安全社区合作维护。

关键 ATLAS 资源：

为本威胁模型做贡献

这是由 OpenClaw 社区维护的持续更新文档。参见 CONTRIBUTING-THREAT-MODEL.md 获取贡献指南：

报告新威胁
更新现有威胁
提出攻击链
建议缓解措施

1. 简介

1.1 目的

本威胁模型记录了 OpenClaw AI 代理平台和 ClawHub Skills 市场面临的对抗性威胁，使用专为 AI/ML 系统设计的 MITRE ATLAS 框架。

1.2 范围

组件	包含	说明
OpenClaw 代理运行时	是	核心代理执行、工具调用、会话
Gateway	是	认证、路由、频道集成
频道集成	是	WhatsApp、Telegram、Discord、Signal、Slack 等
ClawHub 市场	是	Skill 发布、审核、分发
MCP 服务器	是	外部工具提供者
用户设备	部分	移动应用、桌面客户端

1.3 超出范围

本威胁模型没有明确排除的内容。

2. 系统架构

2.1 信任边界

┌─────────────────────────────────────────────────────────────────┐
│                    UNTRUSTED ZONE                                │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 1: Channel Access                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • Device Pairing (30s grace period)                      │   │
│  │  • AllowFrom / AllowList validation                       │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 2: Session Isolation              │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT SESSIONS                          │   │
│  │  • Session key = agent:channel:peer                       │   │
│  │  • Tool policies per agent                                │   │
│  │  • Transcript logging                                     │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 3: Tool Execution                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  EXECUTION SANDBOX                        │   │
│  │  • Docker sandbox OR Host (exec-approvals)                │   │
│  │  • Node remote execution                                  │   │
│  │  • SSRF protection (DNS pinning + IP blocking)            │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 4: External Content               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              FETCHED URLs / EMAILS / WEBHOOKS             │   │
│  │  • External content wrapping (XML tags)                   │   │
│  │  • Security notice injection                              │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│                 TRUST BOUNDARY 5: Supply Chain                   │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • Skill publishing (semver, SKILL.md required)           │   │
│  │  • Pattern-based moderation flags                         │   │
│  │  • VirusTotal scanning (coming soon)                      │   │
│  │  • GitHub account age verification                        │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 数据流

流	源	目标	数据	保护措施
F1	频道	Gateway	用户消息	TLS、AllowFrom
F2	Gateway	代理	路由消息	会话隔离
F3	代理	工具	工具调用	策略执行
F4	代理	外部	web_fetch 请求	SSRF 阻止
F5	ClawHub	代理	Skill 代码	审核、扫描
F6	代理	频道	响应	输出过滤

3. 按 ATLAS 战术的威胁分析

3.1 侦察（AML.TA0002）

T-RECON-001：代理端点发现

属性	值
ATLAS ID	AML.T0006 - Active Scanning
描述	攻击者扫描暴露的 OpenClaw Gateway 端点
攻击向量	网络扫描、Shodan 查询、DNS 枚举
受影响组件	Gateway、暴露的 API 端点
当前缓解措施	Tailscale 认证选项、默认绑定到 loopback
残余风险	中 - 公共 Gateway 可被发现
建议	记录安全部署，在发现端点上添加速率限制

T-RECON-002：频道集成探测

属性	值
ATLAS ID	AML.T0006 - Active Scanning
描述	攻击者探测消息频道以识别 AI 管理的账户
攻击向量	发送测试消息、观察响应模式
受影响组件	所有频道集成
当前缓解措施	无特定措施
残余风险	低 - 仅发现的价值有限
建议	考虑响应时间随机化

3.2 初始访问（AML.TA0004）

T-ACCESS-001：配对代码拦截

属性	值
ATLAS ID	AML.T0040 - AI Model Inference API Access
描述	攻击者在 30 秒宽限期内拦截配对代码
攻击向量	肩窥、网络嗅探、社会工程
受影响组件	设备配对系统
当前缓解措施	30 秒过期、通过现有频道发送代码
残余风险	中 - 宽限期可被利用
建议	缩短宽限期、添加确认步骤

T-ACCESS-002：AllowFrom 欺骗

属性	值
ATLAS ID	AML.T0040 - AI Model Inference API Access
描述	攻击者在频道中伪造允许的发送者身份
攻击向量	取决于频道——电话号码欺骗、用户名冒充
受影响组件	每个频道的 AllowFrom 验证
当前缓解措施	频道特定的身份验证
残余风险	中 - 某些频道容易被欺骗
建议	记录频道特定风险，在可能的情况下添加加密验证

T-ACCESS-003：令牌窃取

属性	值
ATLAS ID	AML.T0040 - AI Model Inference API Access
描述	攻击者从配置文件中窃取认证令牌
攻击向量	恶意软件、未授权设备访问、配置备份暴露
受影响组件	~/.openclaw/credentials/、配置存储
当前缓解措施	文件权限
残余风险	高 - 令牌以明文存储
建议	实现静态令牌加密、添加令牌轮换

3.3 执行（AML.TA0005）

T-EXEC-001：直接提示注入

属性	值
ATLAS ID	AML.T0051.000 - LLM Prompt Injection: Direct
描述	攻击者发送精心构造的提示以操纵代理行为
攻击向量	包含对抗性指令的频道消息
受影响组件	代理 LLM、所有输入表面
当前缓解措施	模式检测、外部内容包装
残余风险	严重 - 仅检测不阻止；复杂攻击可绕过
建议	实现多层防御、输出验证、敏感操作的用户确认

T-EXEC-002：间接提示注入

属性	值
ATLAS ID	AML.T0051.001 - LLM Prompt Injection: Indirect
描述	攻击者在获取的内容中嵌入恶意指令
攻击向量	恶意 URL、受污染的邮件、被攻破的 Webhook
受影响组件	web_fetch、邮件摄入、外部数据源
当前缓解措施	XML 标签和安全通知的内容包装
残余风险	高 - LLM 可能忽略包装指令
建议	实现内容净化、分离执行上下文

T-EXEC-003：工具参数注入

属性	值
ATLAS ID	AML.T0051.000 - LLM Prompt Injection: Direct
描述	攻击者通过提示注入操纵工具参数
攻击向量	影响工具参数值的精心构造提示
受影响组件	所有工具调用
当前缓解措施	危险命令的执行审批
残余风险	高 - 依赖用户判断
建议	实现参数验证、参数化工具调用

T-EXEC-004：执行审批绕过

属性	值
ATLAS ID	AML.T0043 - Craft Adversarial Data
描述	攻击者构造绕过审批白名单的命令
攻击向量	命令混淆、别名利用、路径操纵
受影响组件	exec-approvals.ts、命令白名单
当前缓解措施	白名单 + 询问模式
残余风险	高 - 无命令净化
建议	实现命令规范化、扩展黑名单

3.4 持久化（AML.TA0006）

T-PERSIST-001：恶意 Skill 安装

属性	值
ATLAS ID	AML.T0010.001 - Supply Chain Compromise: AI Software
描述	攻击者向 ClawHub 发布恶意 Skill
攻击向量	创建账户，发布包含隐藏恶意代码的 Skill
受影响组件	ClawHub、Skill 加载、代理执行
当前缓解措施	GitHub 账户年龄验证、基于模式的审核标记
残余风险	严重 - 无沙箱化、有限审查
建议	VirusTotal 集成（进行中）、Skill 沙箱化、社区审查

T-PERSIST-002：Skill 更新投毒

属性	值
ATLAS ID	AML.T0010.001 - Supply Chain Compromise: AI Software
描述	攻击者攻陷流行 Skill 并推送恶意更新
攻击向量	账户攻陷、对 Skill 所有者的社会工程
受影响组件	ClawHub 版本控制、自动更新流程
当前缓解措施	版本指纹
残余风险	高 - 自动更新可能拉取恶意版本
建议	实现更新签名、回滚能力、版本固定

T-PERSIST-003：代理配置篡改

属性	值
ATLAS ID	AML.T0010.002 - Supply Chain Compromise: Data
描述	攻击者修改代理配置以持久化访问
攻击向量	配置文件修改、设置注入
受影响组件	代理配置、工具策略
当前缓解措施	文件权限
残余风险	中 - 需要本地访问
建议	配置完整性验证、配置变更审计日志

3.5 防御规避（AML.TA0007）

T-EVADE-001：审核模式绕过

属性	值
ATLAS ID	AML.T0043 - Craft Adversarial Data
描述	攻击者构造 Skill 内容以规避审核模式
攻击向量	Unicode 同形字、编码技巧、动态加载
受影响组件	ClawHub moderation.ts
当前缓解措施	基于模式的 FLAG_RULES
残余风险	高 - 简单正则容易被绕过
建议	添加行为分析（VirusTotal Code Insight）、基于 AST 的检测

T-EVADE-002：内容包装逃逸

属性	值
ATLAS ID	AML.T0043 - Craft Adversarial Data
描述	攻击者构造逃逸 XML 包装上下文的内容
攻击向量	标签操纵、上下文混淆、指令覆盖
受影响组件	外部内容包装
当前缓解措施	XML 标签 + 安全通知
残余风险	中 - 定期发现新的逃逸方式
建议	多层包装、输出侧验证

3.6 发现（AML.TA0008）

T-DISC-001：工具枚举

属性	值
ATLAS ID	AML.T0040 - AI Model Inference API Access
描述	攻击者通过提示枚举可用工具
攻击向量	”你有哪些工具？“类型的查询
受影响组件	代理工具注册表
当前缓解措施	无特定措施
残余风险	低 - 工具通常有文档记录
建议	考虑工具可见性控制

T-DISC-002：会话数据提取

属性	值
ATLAS ID	AML.T0040 - AI Model Inference API Access
描述	攻击者从会话上下文中提取敏感数据
攻击向量	”我们讨论了什么？“查询、上下文探测
受影响组件	会话记录、上下文窗口
当前缓解措施	按发送者的会话隔离
残余风险	中 - 会话内数据可访问
建议	在上下文中实现敏感数据脱敏

3.7 收集与数据窃取（AML.TA0009、AML.TA0010）

T-EXFIL-001：通过 web_fetch 的数据窃取

属性	值
ATLAS ID	AML.T0009 - Collection
描述	攻击者通过指示代理向外部 URL 发送数据来窃取数据
攻击向量	提示注入导致代理向攻击者服务器 POST 数据
受影响组件	web_fetch 工具
当前缓解措施	内部网络的 SSRF 阻止
残余风险	高 - 允许外部 URL
建议	实现 URL 白名单、数据分类感知

T-EXFIL-002：未授权消息发送

属性	值
ATLAS ID	AML.T0009 - Collection
描述	攻击者导致代理发送包含敏感数据的消息
攻击向量	提示注入导致代理向攻击者发送消息
受影响组件	消息工具、频道集成
当前缓解措施	出站消息门控
残余风险	中 - 门控可能被绕过
建议	对新接收者要求显式确认

T-EXFIL-003：凭据收割

属性	值
ATLAS ID	AML.T0009 - Collection
描述	恶意 Skill 从代理上下文中收割凭据
攻击向量	Skill 代码读取环境变量、配置文件
受影响组件	Skill 执行环境
当前缓解措施	无 Skill 特定措施
残余风险	严重 - Skill 以代理权限运行
建议	Skill 沙箱化、凭据隔离

3.8 影响（AML.TA0011）

T-IMPACT-001：未授权命令执行

属性	值
ATLAS ID	AML.T0031 - Erode AI Model Integrity
描述	攻击者在用户系统上执行任意命令
攻击向量	提示注入结合执行审批绕过
受影响组件	Bash 工具、命令执行
当前缓解措施	执行审批、Docker 沙箱选项
残余风险	严重 - 无沙箱时的主机执行
建议	默认使用沙箱、改进审批用户体验

T-IMPACT-002：资源耗尽（DoS）

属性	值
ATLAS ID	AML.T0031 - Erode AI Model Integrity
描述	攻击者耗尽 API 额度或计算资源
攻击向量	自动消息洪水、昂贵的工具调用
受影响组件	Gateway、代理会话、API 提供者
当前缓解措施	无
残余风险	高 - 无速率限制
建议	实现每发送者速率限制、成本预算

T-IMPACT-003：声誉损害

属性	值
ATLAS ID	AML.T0031 - Erode AI Model Integrity
描述	攻击者导致代理发送有害/冒犯性内容
攻击向量	提示注入导致不当响应
受影响组件	输出生成、频道消息
当前缓解措施	LLM 提供者内容政策
残余风险	中 - 提供者过滤不完美
建议	输出过滤层、用户控制

4. ClawHub 供应链分析

4.1 当前安全控制

控制	实现	有效性
GitHub 账户年龄	`requireGitHubAccountAge()`	中 - 提高新攻击者的门槛
路径净化	`sanitizePath()`	高 - 防止路径遍历
文件类型验证	`isTextFile()`	中 - 仅文本文件，但仍可能是恶意的
大小限制	总包 50MB	高 - 防止资源耗尽
必需 SKILL.md	强制性说明文件	安全价值低 - 仅提供信息
模式审核	moderation.ts 中的 FLAG_RULES	低 - 容易被绕过
审核状态	`moderationStatus` 字段	中 - 可进行人工审查

4.2 审核标记模式

moderation.ts 中的当前模式：

// Known-bad identifiers
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i

// Suspicious keywords
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i

局限性：

仅检查 slug、displayName、summary、frontmatter、metadata、文件路径
不分析实际 Skill 代码内容
简单正则容易通过混淆绕过
无行为分析

4.3 计划改进

改进	状态	影响
VirusTotal 集成	进行中	高 - Code Insight 行为分析
社区举报	部分（`skillReports` 表已存在）	中
审计日志	部分（`auditLogs` 表已存在）	中
徽章系统	已实现	中 - `highlighted`、`official`、`deprecated`、`redactionApproved`

5. 风险矩阵

5.1 可能性 vs 影响

威胁 ID	可能性	影响	风险级别	优先级
T-EXEC-001	高	严重	严重	P0
T-PERSIST-001	高	严重	严重	P0
T-EXFIL-003	中	严重	严重	P0
T-IMPACT-001	中	严重	高	P1
T-EXEC-002	高	高	高	P1
T-EXEC-004	中	高	高	P1
T-ACCESS-003	中	高	高	P1
T-EXFIL-001	中	高	高	P1
T-IMPACT-002	高	中	高	P1
T-EVADE-001	高	中	中	P2
T-ACCESS-001	低	高	中	P2
T-ACCESS-002	低	高	中	P2
T-PERSIST-002	低	高	中	P2

5.2 关键路径攻击链

攻击链 1：基于 Skill 的数据窃取

T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
（发布恶意 Skill）→（规避审核）→（收割凭据）

攻击链 2：提示注入到远程代码执行

T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
（注入提示）→（绕过执行审批）→（执行命令）

攻击链 3：通过获取内容的间接注入

T-EXEC-002 → T-EXFIL-001 → 外部数据窃取
（投毒 URL 内容）→（代理获取并遵循指令）→（数据发送给攻击者）

6. 建议摘要

6.1 立即（P0）

ID	建议	解决
R-001	完成 VirusTotal 集成	T-PERSIST-001、T-EVADE-001
R-002	实现 Skill 沙箱化	T-PERSIST-001、T-EXFIL-003
R-003	为敏感操作添加输出验证	T-EXEC-001、T-EXEC-002

6.2 短期（P1）

ID	建议	解决
R-004	实现速率限制	T-IMPACT-002
R-005	添加静态令牌加密	T-ACCESS-003
R-006	改进执行审批用户体验和验证	T-EXEC-004
R-007	为 web_fetch 实现 URL 白名单	T-EXFIL-001

6.3 中期（P2）

ID	建议	解决
R-008	在可能的情况下添加加密频道验证	T-ACCESS-002
R-009	实现配置完整性验证	T-PERSIST-003
R-010	添加更新签名和版本固定	T-PERSIST-002

7. 附录

7.1 ATLAS 技术映射

ATLAS ID	技术名称	OpenClaw 威胁
AML.T0006	Active Scanning	T-RECON-001、T-RECON-002
AML.T0009	Collection	T-EXFIL-001、T-EXFIL-002、T-EXFIL-003
AML.T0010.001	Supply Chain: AI Software	T-PERSIST-001、T-PERSIST-002
AML.T0010.002	Supply Chain: Data	T-PERSIST-003
AML.T0031	Erode AI Model Integrity	T-IMPACT-001、T-IMPACT-002、T-IMPACT-003
AML.T0040	AI Model Inference API Access	T-ACCESS-001、T-ACCESS-002、T-ACCESS-003、T-DISC-001、T-DISC-002
AML.T0043	Craft Adversarial Data	T-EXEC-004、T-EVADE-001、T-EVADE-002
AML.T0051.000	LLM Prompt Injection: Direct	T-EXEC-001、T-EXEC-003
AML.T0051.001	LLM Prompt Injection: Indirect	T-EXEC-002

7.2 关键安全文件

路径	用途	风险级别
`src/infra/exec-approvals.ts`	命令审批逻辑	严重
`src/gateway/auth.ts`	Gateway 认证	严重
`src/web/inbound/access-control.ts`	频道访问控制	严重
`src/infra/net/ssrf.ts`	SSRF 保护	严重
`src/security/external-content.ts`	提示注入缓解	严重
`src/agents/sandbox/tool-policy.ts`	工具策略执行	严重
`convex/lib/moderation.ts`	ClawHub 审核	高
`convex/lib/skillPublish.ts`	Skill 发布流程	高
`src/routing/resolve-route.ts`	会话隔离	中

7.3 术语表

术语	定义
ATLAS	MITRE 的 AI 系统对抗性威胁态势
ClawHub	OpenClaw 的 Skill 市场
Gateway	OpenClaw 的消息路由和认证层
MCP	Model Context Protocol - 工具提供者接口
提示注入	在输入中嵌入恶意指令的攻击
Skill	OpenClaw 代理的可下载扩展
SSRF	服务端请求伪造

本威胁模型是持续更新的文档。请向 security@openclaw.ai 报告安全问题