Skip to main content

OpenClaw Threat Model v1.0

MITRE ATLAS 框架

版本: 1.0-draft 最後更新: 2026-02-04 方法論: MITRE ATLAS + 資料流圖 框架: MITRE ATLAS(敵對 AI 系統威脅景觀)

框架歸屬

此威脅模型建置在 MITRE ATLAS,記錄 AI/ML 系統敵對威脅的業界標準框架。ATLAS 由 MITRE 與 AI 安全社群合作維護。 關鍵 ATLAS 資源:

對此威脅模型的貢獻

這是由 OpenClaw 社群維護的活文件。參考 CONTRIBUTING-THREAT-MODEL.md,取得指導:
  • 報告新威脅
  • 更新現有威脅
  • 提議攻擊鏈
  • 建議緩解措施

1. 介紹

1.1 目的

此威脅模型記錄對 OpenClaw AI agent 平台與 ClawHub 技能市場的敵對威脅,使用專為 AI/ML 系統設計的 MITRE ATLAS 框架。

1.2 範疇

元件包括註記
OpenClaw Agent Runtime核心 agent 執行、工具呼叫、工作階段
Gateway認證、路由、channel 整合
Channel 整合WhatsApp、Telegram、Discord、Signal、Slack 等
ClawHub 市場技能發佈、版主、分發
MCP Servers外部工具提供者
使用者裝置部分Mobile apps、desktop clients

1.3 不在範疇內

此威脅模型沒有明確排除任何事項。

2. 系統架構

2.1 信任邊界

┌─────────────────────────────────────────────────────────────────┐
│                    不受信任區域                                    │
│  ┌─────────────┐  ┌─────────────┐  ┌─────────────┐              │
│  │  WhatsApp   │  │  Telegram   │  │   Discord   │  ...         │
│  └──────┬──────┘  └──────┬──────┘  └──────┬──────┘              │
│         │                │                │                      │
└─────────┼────────────────┼────────────────┼──────────────────────┘
          │                │                │
          ▼                ▼                ▼
┌─────────────────────────────────────────────────────────────────┐
│                 信任邊界 1:Channel 存取                         │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      GATEWAY                              │   │
│  │  • 裝置配對(30 秒寬限期)                                │   │
│  │  • AllowFrom / AllowList 驗證                             │   │
│  │  • Token/Password/Tailscale auth                          │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信任邊界 2:工作階段隔離                         │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                   AGENT 工作階段                          │   │
│  │  • 工作階段鍵 = agent:channel:peer                        │   │
│  │  • 每 agent 工具策略                                      │   │
│  │  • Transcript 記錄                                       │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信任邊界 3:工具執行                             │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                  執行沙盒                                  │   │
│  │  • Docker 沙盒 OR Host(exec-approvals)                  │   │
│  │  • Node 遠端執行                                         │   │
│  │  • SSRF 保護(DNS pinning + IP 阻止)                    │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信任邊界 4:外部內容                             │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              已取得 URLs / EMAILS / WEBHOOKS              │   │
│  │  • 外部內容包裝(XML 標籤)                              │   │
│  │  • 安全通知注入                                         │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘


┌─────────────────────────────────────────────────────────────────┐
│                 信任邊界 5:供應鏈                               │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │                      CLAWHUB                              │   │
│  │  • 技能發佈(semver、SKILL.md 必須)                    │   │
│  │  • 模式基版主標誌                                        │   │
│  │  • VirusTotal 掃描(即將推出)                          │   │
│  │  • GitHub 帳號年齡驗證                                   │   │
│  └──────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────┘

2.2 資料流

來源目的地資料保護
F1ChannelGateway使用者訊息TLS、AllowFrom
F2GatewayAgent路由訊息工作階段隔離
F3AgentTools工具叫用策略強制
F4Agent外部web_fetch 請求SSRF 阻止
F5ClawHubAgent技能代碼版主、掃描
F6AgentChannel回覆輸出過濾

3. ATLAS 戰術的威脅分析

3.1 偵察(AML.TA0002)

T-RECON-001:Agent 端點發現

屬性
ATLAS IDAML.T0006 - 主動掃描
說明攻擊者掃描暴露的 OpenClaw gateway 端點
攻擊向量網路掃描、shodan 查詢、DNS 列舉
受影響元件Gateway、暴露的 API 端點
目前緩解Tailscale auth 選項、預設綁定到 loopback
剩餘風險中等 - 公開 gateways 可發現
建議記錄安全部署、加入發現端點上的速率限制

T-RECON-002:Channel 整合探測

屬性
ATLAS IDAML.T0006 - 主動掃描
說明攻擊者探測傳訊 channels 以識別 AI 管理帳號
攻擊向量傳送測試訊息、觀察回覆模式
受影響元件所有 channel 整合
目前緩解無特定
剩餘風險低 - 發現單獨價值有限
建議考慮回覆計時隨機化

3.2 初始存取(AML.TA0004)

T-ACCESS-001:配對代碼攔截

屬性
ATLAS IDAML.T0040 - AI 模型推理 API 存取
說明攻擊者在 30 秒寬限期期間攔截配對代碼
攻擊向量肩膀衝浪、網路嗅探、社會工程
受影響元件裝置配對系統
目前緩解30 秒過期、代碼透過現有 channel 傳送
剩餘風險中等 - 寬限期可利用
建議減少寬限期、加入確認步驟

T-ACCESS-002:AllowFrom 欺騙

屬性
ATLAS IDAML.T0040 - AI 模型推理 API 存取
說明攻擊者在 channel 中欺騙允許的寄件者身分
攻擊向量取決於 channel - 電話號碼欺騙、使用者名稱模仿
受影響元件按 channel AllowFrom 驗證
目前緩解Channel 特定身分驗證
剩餘風險中等 - 某些 channels 易受欺騙
建議記錄 channel 特定風險、在可能的地方加入加密驗證

相關資源

更多詳細資訊,包括完整的威脅表、緩解策略與建議,請參考英文版本的完整威脅模型文件。 此威脅模型是持續演變的文件。社群貢獻被歡迎。