说明:基于 OpenClaw 官方威胁模型(MITRE ATLAS 框架),共28条威胁,按战术分类整理。
| 威胁ID | 威胁名称(中文) | 战术(中文) | ATLAS标识 | 风险等级 | 分类 | 威胁描述(中文) | 攻击向量(中文) | 受影响资产(中文) | 缓解措施(中文) | 剩余风险(中文) | 建议(中文) |
|---|---|---|---|---|---|---|---|---|---|---|---|
| T-RECON-001 | 代理端点发现 | 侦察 | AML.T0006 | 中 | 侦察 | 攻击者扫描暴露的OpenClaw网关端点 | 网络扫描、Shodan查询、DNS枚举 | 网关、暴露的API端点 | Tailscale认证选项、默认绑定到本地回环地址 | 公共网关可被发现 | 记录安全部署文档,在发现端点添加速率限制 |
| T-RECON-002 | 渠道集成探测 | 侦察 | AML.T0006 | 低 | 侦察 | 攻击者探测消息渠道,以识别AI管理的账号 | 发送测试消息、观察响应模式 | 所有渠道集成 | 无特定缓解措施 | 仅发现本身价值有限 | 考虑响应时间随机化 |
| T-RECON-003 | 技能能力侦察 | 侦察 | AML.T0006 | 低 | 侦察 | 攻击者分析ClawHub,以识别高价值目标和热门技能 | 浏览ClawHub、分析下载统计数据、识别具有敏感权限的技能 | ClawHub公开列表 | 无------设计上即为公开 | 攻击者可优先选择目标 | 监控可疑浏览模式,限制API访问速率 |
| T-ACCESS-001 | 配对码拦截 | 初始访问 | AML.T0040 | 中 | 访问 | 攻击者在30秒宽限期内拦截配对码 | 肩窥、网络嗅探、社会工程学 | 设备配对系统 | 30秒过期、通过现有渠道发送代码 | 宽限期可被利用 | 缩短宽限期、添加确认步骤 |
| T-ACCESS-002 | 允许来源伪造 | 初始访问 | AML.T0040 | 中 | 访问 | 攻击者在渠道中伪造允许的发送者身份 | 电话号码伪造、用户名冒充(取决于渠道) | 每个渠道的允许来源验证 | 基于渠道的身份验证 | 部分渠道易受伪造攻击 | 记录基于渠道的风险,尽可能添加加密验证 |
| T-ACCESS-003 | 令牌窃取 | 初始访问 | AML.T0040 | 高 | 访问 | 攻击者从配置文件中窃取认证令牌 | 恶意软件、未授权设备访问、配置备份泄露 | ~/.openclaw/credentials/、配置存储 | 文件权限控制 | 令牌以明文形式存储 | 实现令牌静态加密、添加令牌轮换机制 |
| T-ACCESS-004 | 恶意技能作为入口点 | 初始访问 | AML.T0010.001 | 严重 | 访问 | 用户从ClawHub安装恶意技能,授予攻击者初始访问权限 | 社会工程学、拼写欺骗、伪造热门技能、SEO操纵 | ClawHub发现、技能安装流程 | GitHub账号年龄验证、下载统计可见性 | 用户可能未经验证就安装 | 突出显示安全警告、已验证发布者徽章、安装确认步骤 |
| T-ACCESS-005 | 受 compromise 技能更新 | 初始访问 | AML.T0010.001 | 高 | 访问 | 攻击者 compromise 合法技能,并向现有用户推送恶意更新 | 技能发布者账号接管、社会工程学、凭证窃取 | ClawHub更新机制、现有技能安装 | 版本指纹识别 | 可信技能成为攻击向量 | 更新签名、发布者双因素认证要求、更新差异审核 |
| T-ACCESS-006 | 通过渠道的提示注入 | 初始访问 | AML.T0051.000 | 高 | 访问 | 攻击者通过消息渠道发送恶意提示,获取初始访问权限 | 向AI管理的渠道(WhatsApp、Telegram、Discord)发送直接消息 | 所有渠道集成 | 允许来源列表、配对要求 | 配置不当的允许列表、通过社会工程学被添加到列表中 | 默认拒绝渠道访问、记录新发送者的审计日志 |
| T-EXEC-001 | 直接提示注入 | 执行 | AML.T0051.000 | 严重 | 执行 | 攻击者发送精心设计的提示,操纵代理行为 | 包含对抗性指令的渠道消息 | 代理LLM、所有输入界面 | 模式检测、外部内容包装 | 仅检测,不拦截;复杂攻击可绕过 | 实现多层防御、输出验证、敏感操作的用户确认 |
| T-EXEC-002 | 间接提示注入 | 执行 | AML.T0051.001 | 高 | 执行 | 攻击者在获取的内容中嵌入恶意指令 | 恶意URL、中毒邮件、compromise webhook | web_fetch、邮件接收、外部数据源 | 用XML标签和安全通知包装内容 | LLM可能忽略包装指令 | 实现内容净化、分离执行上下文 |
| T-EXEC-003 | 工具参数注入 | 执行 | AML.T0051.000 | 高 | 执行 | 攻击者通过提示注入操纵工具参数 | 精心设计的提示,影响工具参数值 | 所有工具调用 | 危险命令的执行审批 | 依赖用户判断 | 实现参数验证、参数化工具调用 |
| T-EXEC-004 | 执行审批绕过 | 执行 | AML.T0043 | 高 | 执行 | 攻击者精心设计命令,绕过审批允许列表 | 命令混淆、别名利用、路径操纵 | exec-approvals.ts、命令允许列表 | 允许列表+询问模式 | 无命令净化 | 实现命令标准化、扩展拦截列表 |
| T-EXEC-005 | 恶意技能代码执行 | 执行 | AML.T0010.001 | 严重 | 执行 | 恶意技能在被代理加载时执行任意代码 | 技能包含混淆的恶意代码,在加载或调用时运行 | 技能运行时、代理进程、主机系统 | 基于模式的审核(易被绕过) | 技能以代理的全部权限执行,无沙箱保护 | VirusTotal代码洞察、技能沙箱化、基于能力的权限 |
| T-EXEC-006 | MCP服务器命令注入 | 执行 | AML.T0051.000 | 高 | 执行 | 攻击者利用MCP服务器,通过工具调用执行命令 | 提示注入导致代理调用带有恶意参数的MCP工具 | MCP服务器集成、外部工具提供商 | 工具策略执行 | MCP服务器可能具有广泛权限 | MCP服务器允许列表、参数验证、最小权限MCP配置 |
| T-PERSIST-001 | 基于技能的持久化 | 持久化 | AML.T0010.001 | 严重 | 持久化 | 恶意技能保持安装状态,在代理重启时重新执行 | 技能保存在用户配置中,在代理启动时自动加载 | 技能安装、代理启动 | 无------技能设计上即为持久化 | 恶意技能可在重启、更新后存活 | 加载时的技能完整性验证、定期重新扫描、移除工具 |
| T-PERSIST-002 | 中毒技能更新持久化 | 持久化 | AML.T0010.001 | 高 | 持久化 | 合法技能的恶意更新维持持久访问 | 自动更新拉取compromise版本,在会话间持久化 | ClawHub版本控制、自动更新流程 | 版本指纹识别 | 可信技能成为持久后门 | 更新签名、版本固定、更新通知 |
| T-PERSIST-003 | 代理配置篡改 | 持久化 | AML.T0010.002 | 中 | 持久化 | 攻击者修改代理配置,以维持访问权限 | 配置文件修改、通过compromise技能注入设置 | 代理配置、工具策略、允许列表 | 文件权限控制 | 需要本地访问或先前的compromise | 配置完整性验证、配置更改的审计日志 |
| T-PERSIST-004 | 窃取令牌持久化 | 持久化 | AML.T0040 | 高 | 持久化 | 攻击者使用窃取的认证令牌维持访问权限 | 通过T-ACCESS-003窃取的令牌用于持续访问 | 网关认证、API访问 | 无------令牌默认不会过期 | 攻击者在令牌被手动撤销前保持访问权限 | 令牌过期、轮换策略、异常检测 |
| T-PERSIST-005 | 提示注入内存中毒 | 持久化 | AML.T0051.000 | 中 | 持久化 | 攻击者注入在代理内存/上下文中持久化的指令 | 注入修改代理行为的提示,影响后续交互 | 会话上下文、代理内存系统 | 按发送者隔离会话 | 会话内持久化可能发生 | 上下文净化、内存边界、会话超时 |
| T-EVADE-001 | 审核模式绕过 | 防御规避 | AML.T0043 | 高 | 规避 | 攻击者精心设计技能内容,绕过审核模式 | Unicode同形字、编码技巧、动态加载、代码混淆 | ClawHub moderation.ts | 基于模式的FLAG_RULES | 简单正则表达式易被绕过 | 添加行为分析(VirusTotal代码洞察)、基于AST的检测 |
| T-EVADE-002 | 内容包装逃逸 | 防御规避 | AML.T0043 | 中 | 规避 | 攻击者精心设计内容,逃逸XML包装上下文 | 标签操纵、上下文混淆、指令覆盖 | 外部内容包装 | XML标签+安全通知 | 新的逃逸方式不断被发现 | 多层包装、输出端验证 |
| T-EVADE-003 | 审批提示操纵 | 防御规避 | AML.T0043 | 中 | 规避 | 攻击者精心设计请求,使其在审批提示中显示为良性 | 误导性命令描述、在长命令中隐藏恶意标志 | 执行审批UI、用户决策 | 审批提示显示完整命令 | 用户可能未仔细审核就批准 | 突出显示危险标志、命令摘要、风险评分 |
| T-EVADE-004 | 分阶段有效载荷交付 | 防御规避 | AML.T0043 | 高 | 规避 | 技能在通过初始扫描后下载恶意有效载荷 | 干净的技能通过审核,然后在运行时获取恶意代码 | ClawHub扫描、技能运行时 | 无------运行时获取未被监控 | 扫描仅检查初始代码 | 运行时网络监控、限制技能的出站获取 |
| T-DISC-001 | 工具枚举 | 发现 | AML.T0040 | 低 | 发现 | 攻击者通过提示枚举可用工具 | "你有哪些工具?"类查询 | 代理工具注册表 | 无特定缓解措施 | 工具通常有文档记录 | 考虑工具可见性控制 |
| T-DISC-002 | 会话数据提取 | 发现 | AML.T0040 | 中 | 发现 | 攻击者从会话上下文中提取敏感数据 | "我们讨论了什么?"类查询、上下文探测 | 会话记录、上下文窗口 | 按发送者隔离会话 | 会话内数据可被访问 | 在上下文中实现敏感数据脱敏 |
| T-DISC-003 | 系统提示提取 | 发现 | AML.T0040 | 中 | 发现 | 攻击者提取系统提示,以了解代理的能力和限制 | 提示注入,要求代理泄露指令 | 代理系统提示、安全策略 | LLM指令遵循 | 系统提示通常可通过创造性提示提取 | 系统提示强化、提取检测 |
| T-DISC-004 | 环境枚举 | 发现 | AML.T0040 | 中 | 发现 | 攻击者枚举环境变量和系统配置 | 提示注入导致代理运行env、printenv或读取配置文件 | 主机环境、环境变量中的凭证 | 执行审批 | 已批准的命令可能泄露敏感信息 | 敏感环境变量过滤、输出脱敏 |
| T-EXFIL-001 | 通过web_fetch的数据窃取 | 渗出 | AML.T0009 | 高 | 渗出 | 攻击者通过指示代理发送数据到外部URL,实现数据窃取 | 提示注入导致代理向攻击者服务器POST数据 | web_fetch工具 | 对内部网络的SSRF拦截 | 外部URL被允许 | 实现URL允许列表、数据分类感知 |
| T-EXFIL-002 | 未授权消息发送 | 渗出 | AML.T0009 | 中 | 渗出 | 攻击者导致代理发送包含敏感数据的消息 | 提示注入导致代理向攻击者发送消息 | 消息工具、渠道集成 | 出站消息网关 | 网关可能被绕过 | 对新接收者要求明确确认 |
| T-EXFIL-003 | 通过技能的凭证收集 | 渗出 | AML.T0009 | 严重 | 渗出 | 恶意技能从代理上下文和环境中收集凭证 | 技能代码读取环境变量、配置文件、API密钥 | 技能执行环境、~/.openclaw/ | 无特定于技能的缓解措施 | 技能以代理权限运行 | 技能沙箱化、凭证隔离、基于能力的访问 |
| T-EXFIL-004 | 记录渗出 | 渗出 | AML.T0009 | 高 | 渗出 | 攻击者渗出包含敏感数据的对话记录 | 技能或提示注入读取并发送记录文件 | 会话记录、~/.openclaw/sessions/ | 文件权限控制 | 技能可读取记录文件 | 记录加密、技能文件系统隔离 |
| T-IMPACT-001 | 未授权命令执行 | 影响 | AML.T0031 | 严重 | 影响 | 攻击者在用户系统上执行任意命令 | 提示注入结合执行审批绕过 | Bash工具、命令执行、主机系统 | 执行审批、Docker沙箱选项 | 无沙箱时在主机上执行 | 默认使用沙箱、改进审批用户体验 |
| T-IMPACT-002 | 资源耗尽(拒绝服务) | 影响 | AML.T0031 | 高 | 影响 | 攻击者耗尽API额度或计算资源 | 自动消息泛洪、高开销工具调用、无限循环 | 网关、代理会话、API提供商、用户账单 | 无 | 无速率限制 | 实现按发送者速率限制、成本预算、熔断机制 |
| T-IMPACT-003 | 声誉损害 | 影响 | AML.T0031 | 中 | 影响 | 攻击者导致代理发送有害/冒犯性内容 | 提示注入导致向联系人发送不当响应 | 输出生成、渠道消息、用户声誉 | LLM提供商内容政策 | 提供商过滤不完善 | 输出过滤层、用户控制、消息审核队列 |
| T-IMPACT-004 | 数据破坏 | 影响 | AML.T0031 | 高 | 影响 | 攻击者导致代理删除或损坏用户数据 | 提示注入导致执行rm、格式化或破坏性数据库操作 | 用户文件、数据库、配置 | 破坏性命令的执行审批 | 已批准的破坏性命令可能被伪装 | 破坏性命令确认、备份建议、撤销功能 |
| T-IMPACT-005 | 通过代理的财务欺诈 | 影响 | AML.T0031 | 高 | 影响 | 攻击者使用代理执行未授权财务交易 | 提示注入导致代理与财务API或服务交互 | 财务集成、支付工具 | 工具特定政策 | 代理可能有权访问财务工具 | 财务操作确认、交易限制、单独审批流程 |
补充说明:1. 风险等级对应关系:Critical=严重,High=高,Medium=中,Low=低;2. 战术分类严格遵循MITRE ATLAS框架,与OpenClaw官方威胁模型一致;3. 专业术语翻译参考网络安全行业标准,确保准确性和一致性。