威胁模型
AI 代理安全的 MITRE ATLAS 框架
v1.0-draft MITRE ATLAS 2025
37
威胁总数
6
严重风险
16
高风险
12
中风险
3
低风险
严重
高
中
低
按 ATLAS 战术分类的威胁矩阵
侦察
AML.TA0002
T-RECON-001
代理端点发现
T-RECON-002
渠道集成探测
T-RECON-003
技能能力侦察
初始访问
AML.TA0004
T-ACCESS-001
配对码拦截
T-ACCESS-002
AllowFrom 欺骗
T-ACCESS-003
令牌窃取
T-ACCESS-004
恶意技能作为入口点
T-ACCESS-005
受损的技能更新
T-ACCESS-006
通过渠道进行提示词注入
执行
AML.TA0005
T-EXEC-001
直接提示词注入
T-EXEC-002
间接提示词注入
T-EXEC-003
工具参数注入
T-EXEC-004
执行审批绕过
T-EXEC-005
恶意技能代码执行
T-EXEC-006
MCP 服务器命令注入
持久化
AML.TA0006
T-PERSIST-001
基于技能的持久化
T-PERSIST-002
被污染的技能更新持久化
T-PERSIST-003
代理配置篡改
T-PERSIST-004
被盗令牌持久化
T-PERSIST-005
提示词注入记忆污染
防御规避
AML.TA0007
T-EVADE-001
审核模式绕过
T-EVADE-002
内容包装逃逸
T-EVADE-003
审批提示操纵
T-EVADE-004
分阶段载荷投递
发现
AML.TA0008
T-DISC-001
工具枚举
T-DISC-002
会话数据提取
T-DISC-003
系统提示词提取
T-DISC-004
环境枚举
数据窃取
AML.TA0010
T-EXFIL-001
通过 web_fetch 窃取数据
T-EXFIL-002
未授权消息发送
T-EXFIL-003
通过技能窃取凭据
T-EXFIL-004
对话记录窃取
影响
AML.TA0011
T-IMPACT-001
未授权命令执行
T-IMPACT-002
资源耗尽(拒绝服务)
T-IMPACT-003
声誉损害
T-IMPACT-004
数据销毁
T-IMPACT-005
通过代理进行金融欺诈
关键攻击链
恶意技能完整攻击链
T-RECON-003→T-EVADE-001→T-ACCESS-004→T-EXEC-005→T-PERSIST-001→T-EXFIL-003
侦察 ClawHub → 构造规避性技能 → 用户安装 → 代码执行 → 持久化 → 窃取凭据
技能供应链攻击
T-ACCESS-005→T-EVADE-004→T-EXEC-005→T-PERSIST-002→T-EXFIL-004
入侵发布者 → 推送分阶段载荷 → 更新时执行 → 维持持久化 → 窃取对话记录
提示词注入到远程代码执行
T-ACCESS-006→T-EXEC-001→T-EVADE-003→T-EXEC-004→T-IMPACT-001
通过渠道访问 → 注入提示词 → 操纵审批 → 绕过检查 → 执行命令
间接注入数据窃取
T-EXEC-002→T-DISC-004→T-EXFIL-001
污染获取的内容 → 枚举环境 → 通过 web_fetch 窃取数据
令牌窃取持久访问
T-ACCESS-003→T-PERSIST-004→T-DISC-002→T-EXFIL-002
窃取令牌 → 维持访问 → 提取会话数据 → 通过消息窃取
金融欺诈链
T-ACCESS-006→T-EXEC-001→T-DISC-001→T-IMPACT-005
获取渠道访问 → 注入提示词 → 枚举金融工具 → 执行欺诈
信任边界
1
供应链
ClawHub
- 技能发布(语义版本、SKILL.md 必需)
- 基于模式的审核标记
- VirusTotal Code Insight
- GitHub 账户注册时间验证
2
渠道访问控制
Gateway
- 设备配对(30 秒有效期)
- AllowFrom / AllowList 验证
- 令牌/密码/Tailscale 认证
3
会话隔离
Agent Sessions
- 会话密钥 = agent:channel:peer
- 每个代理的工具策略
- 对话记录日志
4
工具执行
Execution Sandbox
- Docker 沙箱或宿主(执行审批)
- Node 远程执行
- SSRF 保护(DNS 固定 + IP 阻止)
5
外部内容
Fetched URLs / Emails / Webhooks
- 外部内容包装(XML 标签)
- 安全提示注入