MITRE ATLAS フレームワーク
バージョン: 1.0 ドラフト 最終更新日: 2026-02-04 方法論: MITRE ATLAS + データ フロー図 フレームワーク: MITRE ATLAS (AI システムに対する敵対的脅威の状況)フレームワークの帰属
この脅威モデルは、AI/ML システムに対する敵対的な脅威を文書化するための業界標準フレームワークである MITRE ATLAS に基づいて構築されています。 ATLAS は、MITRE によって AI セキュリティ コミュニティと協力して維持されています。 主要な ATLAS リソース:この脅威モデルへの貢献
これは OpenClaw コミュニティによって維持されている生きた文書です。貢献に関するガイドラインについては、CONTRIBUTING-THREAT-MODEL.md を参照してください。- 新たな脅威の報告
- 既存の脅威の更新
- 攻撃チェーンの提案
- 緩和策の提案
1. はじめに
1.1 目的
この脅威モデルは、AI/ML システム専用に設計された MITRE ATLAS フレームワークを使用して、OpenClaw AI エージェント プラットフォームと ClawHub スキル マーケットプレイスに対する敵対的な脅威を文書化します。1.2 範囲|コンポーネント |含まれています |メモ |
| ---------------------- | -------- | ------------------------------------------------ | | OpenClaw エージェント ランタイム |はい |コア エージェントの実行、ツール呼び出し、セッション | |ゲートウェイ |はい |認証、ルーティング、チャネル統合 | |チャネル統合 |はい | WhatsApp、Telegram、Discord、Signal、Slack など | | ClawHub マーケットプレイス |はい |スキルの公開、モデレーション、配布 | | MCPサーバー |はい |外部ツールプロバイダー | |ユーザーデバイス |部分的 |モバイル アプリ、デスクトップ クライアント |1.3 範囲外
この脅威モデルの範囲を明示的に外れるものはありません。2. システムアーキテクチャ
2.1 信頼境界
2.2 データフロー|フロー |出典 |目的地 |データ |保護 |
| ---- | ------- | ----------- | ------------------ | -------------------- | | F1 |チャンネル |ゲートウェイ |ユーザーメッセージ | TLS、AllowFrom | | F2 |ゲートウェイ |エージェント |ルーティングされたメッセージ |セッション分離 | | F3 |エージェント |ツール |ツールの呼び出し |ポリシーの施行 | | F4 |エージェント |外部 | web_fetch リクエスト | SSRF ブロック | | F5 |クローハブ |エージェント |スキルコード |モデレーション、スキャン | | F6 |エージェント |チャンネル |回答 |出力フィルタリング |3. ATLAS Tactic による脅威分析
3.1 偵察 (AML.TA0002)
T-RECON-001: エージェント エンドポイントの検出|属性 |値 |
| ----------------------- | -------------------------------------------------------------------- | | アトラス ID | AML.T0006 - アクティブ スキャン | | 説明 |攻撃者は公開された OpenClaw ゲートウェイ エンドポイントをスキャンします。 | 攻撃ベクトル |ネットワーク スキャン、初段クエリ、DNS 列挙 | | 影響を受けるコンポーネント |ゲートウェイ、公開された API エンドポイント | | 現在の緩和策 | Tailscale 認証オプション、デフォルトでループバックにバインド | | 残留リスク |中 - パブリック ゲートウェイが検出可能 | | 推奨事項 |安全な展開を文書化し、検出エンドポイントにレート制限を追加します。T-RECON-002: チャネル統合プローブ|属性 |値 |
| ----------------------- | ------------------------------------------------------------------ | | アトラス ID | AML.T0006 - アクティブ スキャン | | 説明 |攻撃者はメッセージング チャネルを調査して AI 管理のアカウントを特定 | | 攻撃ベクトル |テスト メッセージを送信し、応答パターンを観察する | | 影響を受けるコンポーネント |すべてのチャネル統合 | | 現在の緩和策 |特になし | | 残留リスク |低い - 発見だけで得られる価値は限られている | | 推奨事項 |応答タイミングのランダム化を考慮する |3.2 初期アクセス (AML.TA0004)
T-ACCESS-001: ペアリング コードの傍受|属性 |値 |
| ----------------------- | -------------------------------------------------------- | | アトラス ID | AML.T0040 - AI モデル推論 API アクセス | | 説明 |攻撃者が 30 秒の猶予期間中にペアリング コードを傍受 | | 攻撃ベクトル |ショルダーサーフィン、ネットワークスニッフィング、ソーシャルエンジニアリング | | 影響を受けるコンポーネント |デバイスペアリングシステム | | 現在の緩和策 | 30 秒の有効期限、コードは既存のチャネル経由で送信 | | 残留リスク |中 - 猶予期間を悪用可能 | | 推奨事項 |猶予期間を短縮し、確認ステップを追加 |T-ACCESS-002:AllowFrom スプーフィング|属性 |値 |
| ----------------------- | ------------------------------------------------------------------------------ | | アトラス ID | AML.T0040 - AI モデル推論 API アクセス | | 説明 |攻撃者によるスプーフィングにより、チャネル内の送信者 ID が許可される | | 攻撃ベクトル |チャネルに依存 - 電話番号のなりすまし、ユーザー名のなりすまし | | 影響を受けるコンポーネント |チャネルごとのAllowFrom検証 | | 現在の緩和策 |チャネル固有の ID 検証 | | 残留リスク |中 - 一部のチャネルはスプーフィングに対して脆弱です | | 推奨事項 |チャネル固有のリスクを文書化し、可能な場合は暗号検証を追加します。T-ACCESS-003: トークンの盗難|属性 |値 |
| ----------------------- | -------------------------------------------------------- | | アトラス ID | AML.T0040 - AI モデル推論 API アクセス | | 説明 |攻撃者が設定ファイルから認証トークンを盗む | | 攻撃ベクトル |マルウェア、不正なデバイス アクセス、設定バックアップの露出 | | 影響を受けるコンポーネント | ~/.openclaw/credentials/、設定ストレージ | | 現在の緩和策 |ファイル権限 | | 残留リスク |高 - トークンは平文で保存されます。 | 推奨事項 |保存時のトークン暗号化を実装し、トークン ローテーションを追加 |3.3 実行 (AML.TA0005)
T-EXEC-001: ダイレクト プロンプト インジェクション|属性 |値 |
| ----------------------- | ----------------------------------------------------------------------------------------- | | アトラス ID | AML.T0051.000 - LLM プロンプト インジェクション: 直接 | | 説明 |攻撃者は、エージェントの動作を操作するために細工されたプロンプトを送信します。 | 攻撃ベクトル |敵対的な命令を含むチャネル メッセージ | | 影響を受けるコンポーネント |エージェント LLM、すべての入力サーフェス | | 現在の緩和策 |パターン検出、外部コンテンツのラッピング | | 残留リスク |クリティカル - 検出のみ、ブロックなし。高度な攻撃を回避 | | 推奨事項 |多層防御、出力検証、機密性の高いアクションに対するユーザー確認を実装する |T-EXEC-002: 間接的なプロンプト インジェクション|属性 |値 |
| ----------------------- | -------------------------------------------------------- | | アトラス ID | AML.T0051.001 - LLM プロンプト インジェクション: 間接 | | 説明 |攻撃者は取得したコンテンツに悪意のある命令を埋め込む | | 攻撃ベクトル |悪意のある URL、有害な電子メール、侵害された Webhook | | 影響を受けるコンポーネント | web_fetch、電子メール取り込み、外部データ ソース | | 現在の緩和策 | XML タグによるコンテンツのラッピングとセキュリティに関する注意事項 | | 残留リスク |高 - LLM はラッパー命令を無視する可能性があります。 | 推奨事項 |コンテンツのサニタイズを実装し、実行コンテキストを分離 |T-EXEC-003: ツール引数の挿入|属性 |値 |
| ----------------------- | -------------------------------------------------------------- | | アトラス ID | AML.T0051.000 - LLM プロンプト インジェクション: 直接 | | 説明 |攻撃者はプロンプト インジェクションを通じてツールの引数を操作します。 | 攻撃ベクトル |ツールパラメータ値に影響を与える作成されたプロンプト | | 影響を受けるコンポーネント |すべてのツールの呼び出し | | 現在の緩和策 |危険なコマンドの実行承認 | | 残留リスク |高 - ユーザーの判断に依存します | | 推奨事項 |引数の検証、パラメータ化されたツール呼び出しを実装する |T-EXEC-004: 実行承認バイパス|属性 |値 |
| ----------------------- | -------------------------------------------------------- | | アトラス ID | AML.T0043 - 敵対的データの作成 | | 説明 |攻撃者は承認許可リストを回避するコマンドを作成します。 | 攻撃ベクトル |コマンド難読化、エイリアス悪用、パス操作 | | 影響を受けるコンポーネント | exec-approvals.ts、コマンド許可リスト | | 現在の緩和策 |ホワイトリスト + 質問モード | | 残留リスク |高 - コマンドサニタイズなし | | 推奨事項 |コマンド正規化を実装し、ブロックリストを拡張 |3.4 永続性 (AML.TA0006)
T-PERSIST-001: 悪意のあるスキルのインストール|属性 |値 |
| ----------------------- | ---------------------------------------------------------------------- | | アトラス ID | AML.T0010.001 - サプライ チェーンの侵害: AI ソフトウェア | | 説明 |攻撃者が悪意のあるスキルを ClawHub に公開 | | 攻撃ベクトル |アカウントを作成し、悪意のあるコードを隠したスキルを公開 | | 影響を受けるコンポーネント | ClawHub、スキル読み込み、エージェント実行 | | 現在の緩和策 | GitHub アカウントの年齢確認、パターンベースのモデレーション フラグ | | 残留リスク |重大 - サンドボックスなし、レビューが限定的 | | 推奨事項 | VirusTotal の統合 (進行中)、スキル サンドボックス、コミュニティ レビュー |T-PERSIST-002: スキルアップデート中毒|属性 |値 |
| ----------------------- | -------------------------------------------------------------- | | アトラス ID | AML.T0010.001 - サプライ チェーンの侵害: AI ソフトウェア | | 説明 |攻撃者が人気のスキルを侵害し、悪意のあるアップデートをプッシュ | | 攻撃ベクトル |アカウント侵害、スキル所有者のソーシャル エンジニアリング | | 影響を受けるコンポーネント | ClawHub のバージョン管理、自動更新フロー | | 現在の緩和策 |バージョンフィンガープリンティング | | 残留リスク |高 - 自動更新により悪意のあるバージョンがプルされる可能性があります。 | 推奨事項 |更新署名、ロールバック機能、バージョン固定を実装 |T-PERSIST-003: エージェント構成の改ざん|属性 |値 |
| ----------------------- | -------------------------------------------------------------- | | アトラス ID | AML.T0010.002 - サプライ チェーンの侵害: データ | | 説明 |攻撃者はアクセスを維持するためにエージェント構成を変更します。 | 攻撃ベクトル |構成ファイルの変更、設定の挿入 | | 影響を受けるコンポーネント |エージェント構成、ツールポリシー | | 現在の緩和策 |ファイル権限 | | 残留リスク |中 - ローカル アクセスが必要 | | 推奨事項 |構成の整合性検証、構成変更の監査ログ |3.5 防御回避 (AML.TA0007)
T-EVADE-001: モデレーション パターン バイパス|属性 |値 |
| ----------------------- | ---------------------------------------------------------------------- | | アトラス ID | AML.T0043 - 敵対的データの作成 | | 説明 |攻撃者はモデレーション パターンを回避するスキル コンテンツを作成します | | 攻撃ベクトル | Unicode の同形文字、エンコードのトリック、動的読み込み | | 影響を受けるコンポーネント | ClawHub モデレーション.ts | | 現在の緩和策 |パターンベースの FLAG_RULES | | 残留リスク |高 - 単純な正規表現は簡単にバイパスされます。 | 推奨事項 |動作分析 (VirusTotal Code Insight)、AST ベースの検出を追加 |T-EVADE-002: コンテンツ ラッパー エスケープ|属性 |値 |
| ----------------------- | -------------------------------------------------------- | | アトラス ID | AML.T0043 - 敵対的データの作成 | | 説明 |攻撃者は XML ラッパー コンテキストをエスケープするコンテンツを作成します。 | 攻撃ベクトル |タグの操作、コンテキストの混乱、命令のオーバーライド | | 影響を受けるコンポーネント |外部コンテンツのラッピング | | 現在の緩和策 | XML タグ + セキュリティ通知 | | 残留リスク |中 - 定期的に発見される斬新な脱出 | | 推奨事項 |複数のラッパー層、出力側の検証 |3.6 ディスカバリー (AML.TA0008)
T-DISC-001: ツールの列挙|属性 |値 |
| ----------------------- | ----------------------------------------------------- | | アトラス ID | AML.T0040 - AI モデル推論 API アクセス | | 説明 |攻撃者はプロンプトを介して利用可能なツールを列挙します。 | 攻撃ベクトル | 「どんな道具を持っていますか?」スタイルクエリ | | 影響を受けるコンポーネント |エージェントツールレジストリ | | 現在の緩和策 |特になし | | 残留リスク |低 - 一般的に文書化されたツール | | 推奨事項 |ツールの可視性コントロールを検討する |T-DISC-002: セッション データの抽出|属性 |値 |
| ----------------------- | ----------------------------------------------------- | | アトラス ID | AML.T0040 - AI モデル推論 API アクセス | | 説明 |攻撃者がセッション コンテキストから機密データを抽出します。 | 攻撃ベクトル | 「私たちは何を話し合ったのでしょうか?」クエリ、コンテキストプローブ | | 影響を受けるコンポーネント |セッショントランスクリプト、コンテキストウィンドウ | | 現在の緩和策 |送信者ごとのセッション分離 | | 残留リスク |中 - セッション内データにアクセス可能 | | 推奨事項 |機密データの編集をコンテキスト内で実装する |3.7 収集と抽出 (AML.TA0009、AML.TA0010)
T-EXFIL-001: web_fetch によるデータ盗難|属性 |値 |
| ----------------------- | ---------------------------------------------------------------------- | | アトラス ID | AML.T0009 - コレクション | | 説明 |攻撃者はエージェントに外部 URL に送信するよう指示してデータを抜き出す | | 攻撃ベクトル |プロンプト インジェクションによりエージェントが攻撃者のサーバーにデータを POST する | | 影響を受けるコンポーネント | web_fetch ツール | | 現在の緩和策 |内部ネットワークの SSRF ブロック | | 残留リスク |高 - 外部 URL が許可される | | 推奨事項 | URL ホワイトリスト、データ分類の認識を実装する |T-EXFIL-002: 不正なメッセージ送信|属性 |値 |
| ----------------------- | -------------------------------------------------------------- | | アトラス ID | AML.T0009 - コレクション | | 説明 |攻撃者はエージェントに機密データを含むメッセージを送信させます。 | 攻撃ベクトル |プロンプト インジェクションによりエージェントが攻撃者にメッセージを送信する | | 影響を受けるコンポーネント |メッセージツール、チャネル統合 | | 現在の緩和策 |アウトバウンドメッセージングゲート | | 残留リスク |中 - ゲートがバイパスされる可能性があります | | 推奨事項 |新しい受信者には明示的な確認を要求する |T-EXFIL-003: 資格情報の収集|属性 |値 |
| ----------------------- | -------------------------------------------------------- | | アトラス ID | AML.T0009 - コレクション | | 説明 |悪意のあるスキルがエージェント コンテキストから認証情報を収集します。 | 攻撃ベクトル |スキルコードは環境変数、設定ファイルを読み取ります。 | 影響を受けるコンポーネント |スキル実行環境 | | 現在の緩和策 |スキルに固有のものはありません | | 残留リスク |クリティカル - スキルはエージェント権限で実行されます | | 推奨事項 |スキルのサンドボックス化、認証情報の分離 |3.8 影響 (AML.TA0011)
T-IMPACT-001: 不正なコマンド実行|属性 |値 |
| ----------------------- | --------------------------------------------------- | | アトラス ID | AML.T0031 - AI モデルの整合性を侵食する | | 説明 |攻撃者がユーザーシステム上で任意のコマンドを実行 | | 攻撃ベクトル |執行承認バイパスと組み合わせた即時注入 | | 影響を受けるコンポーネント | Bash ツール、コマンド実行 | | 現在の緩和策 |実行承認、Docker サンドボックス オプション | | 残留リスク |重大 - サンドボックスなしでのホストの実行 | | 推奨事項 |デフォルトをサンドボックスにし、承認 UX を改善 |T-IMPACT-002: リソース枯渇 (DoS)|属性 |値 |
| ----------------------- | -------------------------------------------------- | | アトラス ID | AML.T0031 - AI モデルの整合性を侵食する | | 説明 |攻撃者が API クレジットまたはコンピューティング リソースを使い果たす | | 攻撃ベクトル |自動メッセージフラッディング、高価なツール呼び出し | | 影響を受けるコンポーネント |ゲートウェイ、エージェント セッション、API プロバイダー | | 現在の緩和策 |なし | | 残留リスク |高 - レート制限なし | | 推奨事項 |送信者ごとのレート制限、コスト予算を実装する |T-IMPACT-003: 風評被害|属性 |値 |
| ----------------------- | -------------------------------------------------------- | | アトラス ID | AML.T0031 - AI モデルの整合性を侵食する | | 説明 |攻撃者がエージェントに有害/不快なコンテンツを送信させる | | 攻撃ベクトル |不適切な対応を引き起こす即時注入 | | 影響を受けるコンポーネント |出力生成、チャネルメッセージング | | 現在の緩和策 | LLM プロバイダーのコンテンツ ポリシー | | 残留リスク |中 - プロバイダー フィルターが不完全 | | 推奨事項 |出力フィルタリング層、ユーザーコントロール |4. ClawHub サプライチェーン分析
4.1 現在のセキュリティ管理|コントロール |実装 |有効性 |
| -------------------- | ------------------------- | ---------------------------------------------------- | | GitHub アカウントの年齢 |requireGitHubAccountAge() |中 - 新しい攻撃者の基準を引き上げます |
|パスのサニタイズ | sanitizePath() |高 - パスの横断を防止します。
|ファイルタイプの検証 | isTextFile() |中 - テキスト ファイルのみですが、依然として悪意のあるファイルである可能性があります。
|サイズ制限 |合計 50MB のバンドル |高 - リソースの枯渇を防ぎます |
|必要なSKILL.md |必須の Readme |セキュリティ価値が低い - 情報提供のみ |
|パターンモデレーション | moderation.ts の FLAG_RULES |低 - 簡単にバイパスされる |
|モデレーションステータス | moderationStatus フィールド |中 - 手動レビュー可能 |
4.2 モデレーションフラグのパターン
moderation.ts の現在のパターン:
- スラッグ、表示名、概要、フロントマター、メタデータ、ファイル パスのみをチェックします
- 実際のスキルコードの内容は分析しません
- 単純な正規表現は難読化によって簡単にバイパスされます
- 行動分析はありません
4.3 計画された改善|改善 |ステータス |影響 |
| ---------------------- | ------------------------------------- | --------------------------------------------------------------------- | | VirusTotal の統合 |進行中 |高 - Code Insight 動作分析 | |コミュニティレポート |部分的 (skillReports テーブルが存在します) |中 |
|監査ログ |部分的 (auditLogs テーブルが存在します) |中 |
|バッジシステム |実装済み |中 - highlighted、official、deprecated、redactionApproved |
5. リスクマトリクス
5.1 可能性と影響|脅威ID |可能性 |影響 |リスクレベル |優先順位 |
| ------------- | ---------- | -------- | ------------ | -------- | | T-EXEC-001 |高 |クリティカル | 重大 | P0 | | T-PERSIST-001 |高 |クリティカル | 重大 | P0 | | T-EXFIL-003 |中 |クリティカル | 重大 | P0 | | T-インパクト-001 |中 |クリティカル | 高 | P1 | | T-EXEC-002 |高 |高 | 高 | P1 | | T-EXEC-004 |中 |高 | 高 | P1 | | T-アクセス-003 |中 |高 | 高 | P1 | | T-EXFIL-001 |中 |高 | 高 | P1 | | T-インパクト-002 |高 |中 | 高 | P1 | | T-EVADE-001 |高 |中 | 中 | P2 | | T-アクセス-001 |低い |高 | 中 | P2 | | T-アクセス-002 |低い |高 | 中 | P2 | | T-PERSIST-002 |低い |高 | 中 | P2 |5.2 クリティカル パス攻撃チェーン
攻撃チェーン 1: スキルベースのデータ窃盗6. 推奨事項のまとめ
6.1 即時 (P0)| ID |推薦 |住所 |
| ----- | ------------------------------------------ | ------------------------ | | R-001 | VirusTotal の完全な統合 | T-PERSIST-001、T-EVADE-001 | | R-002 |スキルサンドボックスの実装 | T-PERSIST-001、T-EXFIL-003 | | R-003 |機密性の高いアクションに対する出力検証を追加する | T-EXEC-001、T-EXEC-002 |6.2 短期 (P1)
| ID | 推薦 | 住所 |
|---|---|---|
| R-004 | レート制限を実装する | T-インパクト-002 |
| R-005 | 保存時のトークン暗号化を追加 | T-アクセス-003 |
| R-006 | 幹部の承認 UX と検証を改善する | T-EXEC-004 |
| R-007 | web_fetch の URL ホワイトリストを実装する | T-EXFIL-001 |
6.3 中期(P2)
| ID | 推薦 | 住所 |
|---|---|---|
| R-008 | 可能な場合は暗号チャネル検証を追加します。 T-アクセス-002 | |
| R-009 | 構成の整合性検証を実装する | T-PERSIST-003 |
| R-010 | 更新署名とバージョン固定を追加 | T-PERSIST-002 |
7. 付録
7.1 ATLAS 技術マッピング|アトラス ID |技名 | OpenClaw の脅威 |
| ------------- | ------------------------------ | -------------------------------------------------------------- | | AML.T0006 |アクティブスキャン | T-RECON-001、T-RECON-002 | | AML.T0009 |コレクション | T-EXFIL-001、T-EXFIL-002、T-EXFIL-003 | | AML.T0010.001 |サプライチェーン: AI ソフトウェア | T-PERSIST-001、T-PERSIST-002 | | AML.T0010.002 |サプライチェーン: データ | T-PERSIST-003 | | AML.T0031 | AI モデルの整合性を侵食する | T-IMPACT-001、T-IMPACT-002、T-IMPACT-003 | | AML.T0040 | AI モデル推論 API アクセス | T-ACCESS-001、T-ACCESS-002、T-ACCESS-003、T-DISC-001、T-DISC-002 | | AML.T0043 |敵対的データを作成する | T-EXEC-004、T-EVADE-001、T-EVADE-002 | | AML.T0051.000 | LLM プロンプト インジェクション: 直接 | T-EXEC-001、T-EXEC-003 | | AML.T0051.001 | LLM プロンプト インジェクション: 間接的 | T-EXEC-002 |7.2 主要なセキュリティ ファイル|パス |目的 |リスクレベル |
| ----------------------------------- | ------------------------- | ------------ | |src/infra/exec-approvals.ts |コマンド承認ロジック | 重大 |
| src/gateway/auth.ts |ゲートウェイ認証 | 重大 |
| src/web/inbound/access-control.ts |チャネルアクセス制御 | 重大 |
| src/infra/net/ssrf.ts | SSRF保護 | 重大 |
| src/security/external-content.ts |即時注入の緩和 | 重大 |
| src/agents/sandbox/tool-policy.ts |ツールポリシーの適用 | 重大 |
| convex/lib/moderation.ts | ClawHub モデレーション | 高 |
| convex/lib/skillPublish.ts |スキル公開の流れ | 高 |
| src/routing/resolve-route.ts |セッション分離 | 中 |
7.3 用語集|用語 |定義 |
| -------------------- | -------------------------------------------------------- | | アトラス | MITRE の AI システムに対する敵対的脅威の状況 | | クローハブ | OpenClaw のスキル マーケットプレイス | | ゲートウェイ | OpenClaw のメッセージ ルーティングと認証層 | | MCP |モデル コンテキスト プロトコル - ツール プロバイダー インターフェイス | | 即時注入 |入力に悪意のある命令を埋め込む攻撃 | | スキル | OpenClaw エージェント用のダウンロード可能な拡張機能 | | SSRF |サーバー側のリクエストフォージェリ |この脅威モデルは生きた文書です。セキュリティの問題を security@openclaw.ai に報告します。