T-RECON-001

代理端点发现

侦察

AML.T0006

中

侦察

攻击者扫描暴露的OpenClaw网关端点

网络扫描、Shodan查询、DNS枚举

网关、暴露的API端点

Tailscale认证选项、默认绑定到本地回环地址

公共网关可被发现

记录安全部署文档，在发现端点添加速率限制

T-RECON-002

渠道集成探测

侦察

AML.T0006

低

侦察

攻击者探测消息渠道，以识别AI管理的账号

发送测试消息、观察响应模式

所有渠道集成

无特定缓解措施

仅发现本身价值有限

考虑响应时间随机化

T-RECON-003

技能能力侦察

侦察

AML.T0006

低

侦察

攻击者分析ClawHub，以识别高价值目标和热门技能

浏览ClawHub、分析下载统计数据、识别具有敏感权限的技能

ClawHub公开列表

无——设计上即为公开

攻击者可优先选择目标

监控可疑浏览模式，限制API访问速率

T-ACCESS-001

配对码拦截

初始访问

AML.T0040

中

访问

攻击者在30秒宽限期内拦截配对码

肩窥、网络嗅探、社会工程学

设备配对系统

30秒过期、通过现有渠道发送代码

宽限期可被利用

缩短宽限期、添加确认步骤

T-ACCESS-002

允许来源伪造

初始访问

AML.T0040

中

访问

攻击者在渠道中伪造允许的发送者身份

电话号码伪造、用户名冒充（取决于渠道）

每个渠道的允许来源验证

基于渠道的身份验证

部分渠道易受伪造攻击

记录基于渠道的风险，尽可能添加加密验证

T-ACCESS-003

令牌窃取

初始访问

AML.T0040

高

访问

攻击者从配置文件中窃取认证令牌

恶意软件、未授权设备访问、配置备份泄露

~/.openclaw/credentials/、配置存储

文件权限控制

令牌以明文形式存储

实现令牌静态加密、添加令牌轮换机制

T-ACCESS-004

恶意技能作为入口点

初始访问

AML.T0010.001

严重

访问

用户从ClawHub安装恶意技能，授予攻击者初始访问权限

社会工程学、拼写欺骗、伪造热门技能、SEO操纵

ClawHub发现、技能安装流程

GitHub账号年龄验证、下载统计可见性

用户可能未经验证就安装

突出显示安全警告、已验证发布者徽章、安装确认步骤

T-ACCESS-005

受 compromise 技能更新

初始访问

AML.T0010.001

高

访问

攻击者 compromise 合法技能，并向现有用户推送恶意更新

技能发布者账号接管、社会工程学、凭证窃取

ClawHub更新机制、现有技能安装

版本指纹识别

可信技能成为攻击向量

更新签名、发布者双因素认证要求、更新差异审核

T-ACCESS-006

通过渠道的提示注入

初始访问

AML.T0051.000

高

访问

攻击者通过消息渠道发送恶意提示，获取初始访问权限

向AI管理的渠道（WhatsApp、Telegram、Discord）发送直接消息

所有渠道集成

允许来源列表、配对要求

配置不当的允许列表、通过社会工程学被添加到列表中

默认拒绝渠道访问、记录新发送者的审计日志

T-EXEC-001

直接提示注入

执行

AML.T0051.000

严重

执行

攻击者发送精心设计的提示，操纵代理行为

包含对抗性指令的渠道消息

代理LLM、所有输入界面

模式检测、外部内容包装

仅检测，不拦截；复杂攻击可绕过

实现多层防御、输出验证、敏感操作的用户确认

T-EXEC-002

间接提示注入

执行

AML.T0051.001

高

执行

攻击者在获取的内容中嵌入恶意指令

恶意URL、中毒邮件、compromise webhook

web_fetch、邮件接收、外部数据源

用XML标签和安全通知包装内容

LLM可能忽略包装指令

实现内容净化、分离执行上下文

T-EXEC-003

工具参数注入

执行

AML.T0051.000

高

执行

攻击者通过提示注入操纵工具参数

精心设计的提示，影响工具参数值

所有工具调用

危险命令的执行审批

依赖用户判断

实现参数验证、参数化工具调用

T-EXEC-004

执行审批绕过

执行

AML.T0043

高

执行

攻击者精心设计命令，绕过审批允许列表

命令混淆、别名利用、路径操纵

exec-approvals.ts、命令允许列表

允许列表+询问模式

无命令净化

实现命令标准化、扩展拦截列表

T-EXEC-005

恶意技能代码执行

执行

AML.T0010.001

严重

执行

恶意技能在被代理加载时执行任意代码

技能包含混淆的恶意代码，在加载或调用时运行

技能运行时、代理进程、主机系统

基于模式的审核（易被绕过）

技能以代理的全部权限执行，无沙箱保护

VirusTotal代码洞察、技能沙箱化、基于能力的权限

T-EXEC-006

MCP服务器命令注入

执行

AML.T0051.000

高

执行

攻击者利用MCP服务器，通过工具调用执行命令

提示注入导致代理调用带有恶意参数的MCP工具

MCP服务器集成、外部工具提供商

工具策略执行

MCP服务器可能具有广泛权限

MCP服务器允许列表、参数验证、最小权限MCP配置

T-PERSIST-001

基于技能的持久化

持久化

AML.T0010.001

严重

持久化

恶意技能保持安装状态，在代理重启时重新执行

技能保存在用户配置中，在代理启动时自动加载

技能安装、代理启动

无——技能设计上即为持久化

恶意技能可在重启、更新后存活

加载时的技能完整性验证、定期重新扫描、移除工具

T-PERSIST-002

中毒技能更新持久化

持久化

AML.T0010.001

高

持久化

合法技能的恶意更新维持持久访问

自动更新拉取compromise版本，在会话间持久化

ClawHub版本控制、自动更新流程

版本指纹识别

可信技能成为持久后门

更新签名、版本固定、更新通知

T-PERSIST-003

代理配置篡改

持久化

AML.T0010.002

中

持久化

攻击者修改代理配置，以维持访问权限

配置文件修改、通过compromise技能注入设置

代理配置、工具策略、允许列表

文件权限控制

需要本地访问或先前的compromise

配置完整性验证、配置更改的审计日志

T-PERSIST-004

窃取令牌持久化

持久化

AML.T0040

高

持久化

攻击者使用窃取的认证令牌维持访问权限

通过T-ACCESS-003窃取的令牌用于持续访问

网关认证、API访问

无——令牌默认不会过期

攻击者在令牌被手动撤销前保持访问权限

令牌过期、轮换策略、异常检测

T-PERSIST-005

提示注入内存中毒

持久化

AML.T0051.000

中

持久化

攻击者注入在代理内存/上下文中持久化的指令

注入修改代理行为的提示，影响后续交互

会话上下文、代理内存系统

按发送者隔离会话

会话内持久化可能发生

上下文净化、内存边界、会话超时

T-EVADE-001

审核模式绕过

防御规避

AML.T0043

高

规避

攻击者精心设计技能内容，绕过审核模式

Unicode同形字、编码技巧、动态加载、代码混淆

ClawHub moderation.ts

基于模式的FLAG_RULES

简单正则表达式易被绕过

添加行为分析（VirusTotal代码洞察）、基于AST的检测

T-EVADE-002

内容包装逃逸

防御规避

AML.T0043

中

规避

攻击者精心设计内容，逃逸XML包装上下文

标签操纵、上下文混淆、指令覆盖

外部内容包装

XML标签+安全通知

新的逃逸方式不断被发现

多层包装、输出端验证

T-EVADE-003

审批提示操纵

防御规避

AML.T0043

中

规避

攻击者精心设计请求，使其在审批提示中显示为良性

误导性命令描述、在长命令中隐藏恶意标志

执行审批UI、用户决策

审批提示显示完整命令

用户可能未仔细审核就批准

突出显示危险标志、命令摘要、风险评分

T-EVADE-004

分阶段有效载荷交付

防御规避

AML.T0043

高

规避

技能在通过初始扫描后下载恶意有效载荷

干净的技能通过审核，然后在运行时获取恶意代码

ClawHub扫描、技能运行时

无——运行时获取未被监控

扫描仅检查初始代码

运行时网络监控、限制技能的出站获取

T-DISC-001

工具枚举

发现

AML.T0040

低

发现

攻击者通过提示枚举可用工具

“你有哪些工具？”类查询

代理工具注册表

无特定缓解措施

工具通常有文档记录

考虑工具可见性控制

T-DISC-002

会话数据提取

发现

AML.T0040

中

发现

攻击者从会话上下文中提取敏感数据

“我们讨论了什么？”类查询、上下文探测

会话记录、上下文窗口

按发送者隔离会话

会话内数据可被访问

在上下文中实现敏感数据脱敏

T-DISC-003

系统提示提取

发现

AML.T0040

中

发现

攻击者提取系统提示，以了解代理的能力和限制

提示注入，要求代理泄露指令

代理系统提示、安全策略

LLM指令遵循

系统提示通常可通过创造性提示提取

系统提示强化、提取检测

T-DISC-004

环境枚举

发现

AML.T0040

中

发现

攻击者枚举环境变量和系统配置

提示注入导致代理运行env、printenv或读取配置文件

主机环境、环境变量中的凭证

执行审批

已批准的命令可能泄露敏感信息

敏感环境变量过滤、输出脱敏

T-EXFIL-001

通过web_fetch的数据窃取

渗出

AML.T0009

高

渗出

攻击者通过指示代理发送数据到外部URL，实现数据窃取

提示注入导致代理向攻击者服务器POST数据

web_fetch工具

对内部网络的SSRF拦截

外部URL被允许

实现URL允许列表、数据分类感知

T-EXFIL-002

未授权消息发送

渗出

AML.T0009

中

渗出

攻击者导致代理发送包含敏感数据的消息

提示注入导致代理向攻击者发送消息

消息工具、渠道集成

出站消息网关

网关可能被绕过

对新接收者要求明确确认

T-EXFIL-003

通过技能的凭证收集

渗出

AML.T0009

严重

渗出

恶意技能从代理上下文和环境中收集凭证

技能代码读取环境变量、配置文件、API密钥

技能执行环境、~/.openclaw/

无特定于技能的缓解措施

技能以代理权限运行

技能沙箱化、凭证隔离、基于能力的访问

T-EXFIL-004

记录渗出

渗出

AML.T0009

高

渗出

攻击者渗出包含敏感数据的对话记录

技能或提示注入读取并发送记录文件

会话记录、~/.openclaw/sessions/

文件权限控制

技能可读取记录文件

记录加密、技能文件系统隔离

T-IMPACT-001

未授权命令执行

影响

AML.T0031

严重

影响

攻击者在用户系统上执行任意命令

提示注入结合执行审批绕过

Bash工具、命令执行、主机系统

执行审批、Docker沙箱选项

无沙箱时在主机上执行

默认使用沙箱、改进审批用户体验

T-IMPACT-002

资源耗尽（拒绝服务）

影响

AML.T0031

高

影响

攻击者耗尽API额度或计算资源

自动消息泛洪、高开销工具调用、无限循环

网关、代理会话、API提供商、用户账单

无

无速率限制

实现按发送者速率限制、成本预算、熔断机制

T-IMPACT-003

声誉损害

影响

AML.T0031

中

影响

攻击者导致代理发送有害/冒犯性内容

提示注入导致向联系人发送不当响应

输出生成、渠道消息、用户声誉

LLM提供商内容政策

提供商过滤不完善

输出过滤层、用户控制、消息审核队列

T-IMPACT-004

数据破坏

影响

AML.T0031

高

影响

攻击者导致代理删除或损坏用户数据

提示注入导致执行rm、格式化或破坏性数据库操作

用户文件、数据库、配置

破坏性命令的执行审批

已批准的破坏性命令可能被伪装

破坏性命令确认、备份建议、撤销功能

T-IMPACT-005

通过代理的财务欺诈

影响

AML.T0031

高

影响

攻击者使用代理执行未授权财务交易

提示注入导致代理与财务API或服务交互

财务集成、支付工具

工具特定政策

代理可能有权访问财务工具

财务操作确认、交易限制、单独审批流程