MITRE ATLASフレームワーク
バージョン: 1.0-draft 最終更新: 2026-02-04 方法論: MITRE ATLAS + データフロー図 フレームワーク: MITRE ATLAS (Adversarial Threat Landscape for AI Systems)
フレームワークの帰属
この脅威モデルは、AI/MLシステムに対する敵対的脅威を文書化する業界標準フレームワークであるMITRE ATLASに基づいて構築されています。ATLASはMITREがAIセキュリティコミュニティと協力して維持しています。主要なATLASリソース:
この脅威モデルへの貢献
これはOpenClawコミュニティによって維持されるライブドキュメントです。貢献に関するガイドラインはCONTRIBUTING-THREAT-MODEL.mdを参照してください:
- 新たな脅威の報告
- 既存の脅威の更新
- 攻撃連鎖の提案
- 緩和策の提案
1. はじめに
1.1 目的
この脅威モデルは、AI/MLシステム向けに特別に設計されたMITRE ATLASフレームワークを使用して、OpenClaw AIエージェントプラットフォームおよびClawHubスキルマーケットプレイスに対する敵対的脅威を文書化します。
1.2 範囲
| コンポーネント | 含まれるか | 備考 |
|---|
| OpenClaw エージェントランタイム | はい | コアエージェント実行、ツール呼び出し、セッション |
| ゲートウェイ | はい | 認証、ルーティング、チャネル統合 |
| チャネル統合 | はい | WhatsApp、Telegram、Discord、Signal、Slackなど |
| ClawHub マーケットプレイス | はい | スキル公開、モデレーション、配布 |
| MCP サーバー | はい | 外部ツールプロバイダー |
| ユーザーデバイス | 部分的 | モバイルアプリ、デスクトップクライアント |
1.3 範囲外
この脅威モデルでは、明示的に範囲外とされるものはありません。
2. システムアーキテクチャ
2.1 信頼境界
┌─────────────────────────────────────────────────────────────────┐
│ 信頼されないゾーン │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ WhatsApp │ │ Telegram │ │ Discord │ ... │
│ └──────┬──────┘ └──────┬──────┘ └──────┬──────┘ │
│ │ │ │ │
└─────────┼────────────────┼────────────────┼──────────────────────┘
│ │ │
▼ ▼ ▼
┌─────────────────────────────────────────────────────────────────┐
│ 信頼境界 1: チャネルアクセス │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ ゲートウェイ │ │
│ │ • デバイスペアリング (30秒猶予期間) │ │
│ │ • AllowFrom / AllowList 検証 │ │
│ │ • トークン/パスワード/Tailscale 認証 │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ 信頼境界 2: セッション分離 │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ エージェントセッション │ │
│ │ • セッションキー = エージェント:チャネル:ピア │ │
│ │ • エージェントごとのツールポリシー │ │
│ │ • トランスクリプトロギング │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ 信頼境界 3: ツール実行 │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 実行サンドボックス │ │
│ │ • Dockerサンドボックス OR ホスト (exec-approvals) │ │
│ │ • Nodeリモート実行 │ │
│ │ • SSRF保護 (DNSピニング + IPブロッキング) │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ 信頼境界 4: 外部コンテンツ │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ 取得されたURL / メール / Webhook │ │
│ │ • 外部コンテンツラッピング (XMLタグ) │ │
│ │ • セキュリティ通知注入 │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ 信頼境界 5: サプライチェーン │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ ClawHub │ │
│ │ • スキル公開 (semver, SKILL.md必須) │ │
│ │ • パターンベースのモデレーションフラグ │ │
│ │ • VirusTotalスキャン (近日公開) │ │
│ │ • GitHubアカウント年齢検証 │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
2.2 データフロー
| フロー | ソース | 宛先 | データ | 保護 |
|---|
| F1 | チャネル | ゲートウェイ | ユーザーメッセージ | TLS, AllowFrom |
| F2 | ゲートウェイ | エージェント | ルーティングされたメッセージ | セッション分離 |
| F3 | エージェント | ツール | ツール呼び出し | ポリシー強制 |
| F4 | エージェント | 外部 | web_fetch リクエスト | SSRFブロッキング |
| F5 | ClawHub | エージェント | スキルコード | モデレーション、スキャン |
| F6 | エージェント | チャネル | 応答 | 出力フィルタリング |
3. ATLAS戦術別脅威分析
3.1 偵察 (AML.TA0002)
T-RECON-001: エージェントエンドポイント発見
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0006 - Active Scanning |
| 説明 | 攻撃者が公開されたOpenClawゲートウェイエンドポイントをスキャンする |
| 攻撃ベクトル | ネットワークスキャン、shodanクエリ、DNS列挙 |
| 影響を受けるコンポーネント | ゲートウェイ、公開されたAPIエンドポイント |
| 現在の緩和策 | Tailscale認証オプション、デフォルトでループバックにバインド |
| 残留リスク | 中 - 公開ゲートウェイは発見可能 |
| 推奨事項 | 安全なデプロイメントを文書化、発見エンドポイントにレート制限を追加 |
T-RECON-002: チャネル統合プロービング
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0006 - Active Scanning |
| 説明 | 攻撃者がメッセージングチャネルをプローブしてAI管理アカウントを特定する |
| 攻撃ベクトル | テストメッセージ送信、応答パターンの観察 |
| 影響を受けるコンポーネント | すべてのチャネル統合 |
| 現在の緩和策 | 特になし |
| 残留リスク | 低 - 発見だけでは価値が限られる |
| 推奨事項 | 応答タイミングのランダム化を検討 |
3.2 初期アクセス (AML.TA0004)
T-ACCESS-001: ペアリングコード傍受
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0040 - AI Model Inference API Access |
| 説明 | 攻撃者が30秒の猶予期間中にペアリングコードを傍受する |
| 攻撃ベクトル | ショルダーハッキング、ネットワーク盗聴、ソーシャルエンジニアリング |
| 影響を受けるコンポーネント | デバイスペアリングシステム |
| 現在の緩和策 | 30秒有効期限、既存チャネル経由でコード送信 |
| 残留リスク | 中 - 猶予期間が悪用可能 |
| 推奨事項 | 猶予期間の短縮、確認ステップの追加 |
T-ACCESS-002: AllowFrom スプーフィング
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0040 - AI Model Inference API Access |
| 説明 | 攻撃者がチャネル内で許可された送信者IDを偽装する |
| 攻撃ベクトル | チャネル依存 - 電話番号スプーフィング、ユーザー名偽装 |
| 影響を受けるコンポーネント | チャネルごとのAllowFrom検証 |
| 現在の緩和策 | チャネル固有のID検証 |
| 残留リスク | 中 - 一部のチャネルはスプーフィングに対して脆弱 |
| 推奨事項 | チャネル固有のリスクを文書化、可能な場合は暗号検証を追加 |
T-ACCESS-003: トークン盗難
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0040 - AI Model Inference API Access |
| 説明 | 攻撃者が設定ファイルから認証トークンを盗む |
| 攻撃ベクトル | マルウェア、不正なデバイスアクセス、設定バックアップの露出 |
| 影響を受けるコンポーネント | ~/.openclaw/credentials/, 設定ストレージ |
| 現在の緩和策 | ファイルパーミッション |
| 残留リスク | 高 - トークンは平文で保存される |
| 推奨事項 | 保存時のトークン暗号化を実装、トークンローテーションを追加 |
3.3 実行 (AML.TA0005)
T-EXEC-001: 直接プロンプトインジェクション
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0051.000 - LLM Prompt Injection: Direct |
| 説明 | 攻撃者が細工されたプロンプトを送信してエージェントの動作を操作する |
| 攻撃ベクトル | 敵対的な指示を含むチャネルメッセージ |
| 影響を受けるコンポーネント | エージェントLLM、すべての入力面 |
| 現在の緩和策 | パターン検出、外部コンテンツラッピング |
| 残留リスク | 致命的 - 検出のみ、ブロッキングなし;高度な攻撃は回避可能 |
| 推奨事項 | 多層防御の実装、出力検証、機密性の高いアクションに対するユーザー確認 |
T-EXEC-002: 間接プロンプトインジェクション
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0051.001 - LLM Prompt Injection: Indirect |
| 説明 | 攻撃者が取得したコンテンツに悪意のある指示を埋め込む |
| 攻撃ベクトル | 悪意のあるURL、汚染されたメール、侵害されたWebhook |
| 影響を受けるコンポーネント | web_fetch、メール取り込み、外部データソース |
| 現在の緩和策 | XMLタグとセキュリティ通知によるコンテンツラッピング |
| 残留リスク | 高 - LLMがラッパー指示を無視する可能性 |
| 推奨事項 | コンテンツサニタイズの実装、実行コンテキストの分離 |
T-EXEC-003: ツール引数インジェクション
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0051.000 - LLM Prompt Injection: Direct |
| 説明 | 攻撃者がプロンプトインジェクションを通じてツール引数を操作する |
| 攻撃ベクトル | ツールパラメータ値に影響を与える細工されたプロンプト |
| 影響を受けるコンポーネント | すべてのツール呼び出し |
| 現在の緩和策 | 危険なコマンドに対する実行承認 |
| 残留リスク | 高 - ユーザーの判断に依存 |
| 推奨事項 | 引数検証の実装、パラメータ化されたツール呼び出し |
T-EXEC-004: 実行承認バイパス
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0043 - Craft Adversarial Data |
| 説明 | 攻撃者が許可リストをバイパスするコマンドを作成する |
| 攻撃ベクトル | コマンド難読化、エイリアス悪用、パス操作 |
| 影響を受けるコンポーネント | exec-approvals.ts、コマンド許可リスト |
| 現在の緩和策 | 許可リスト + 確認モード |
| 残留リスク | 高 - コマンドサニタイズなし |
| 推奨事項 | コマンド正規化の実装、ブロックリストの拡張 |
3.4 持続性 (AML.TA0006)
T-PERSIST-001: 悪意のあるスキルインストール
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0010.001 - Supply Chain Compromise: AI Software |
| 説明 | 攻撃者が悪意のあるスキルをClawHubに公開する |
| 攻撃ベクトル | アカウント作成、隠れた悪意のあるコードを含むスキル公開 |
| 影響を受けるコンポーネント | ClawHub、スキルロード、エージェント実行 |
| 現在の緩和策 | GitHubアカウント年齢検証、パターンベースのモデレーションフラグ |
| 残留リスク | 致命的 - サンドボックスなし、限定的なレビュー |
| 推奨事項 | VirusTotal統合 (進行中)、スキルサンドボックス化、コミュニティレビュー |
T-PERSIST-002: スキル更新汚染
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0010.001 - Supply Chain Compromise: AI Software |
| 説明 | 攻撃者が人気スキルを侵害し、悪意のある更新をプッシュする |
| 攻撃ベクトル | アカウント侵害、スキル所有者へのソーシャルエンジニアリング |
| 影響を受けるコンポーネント | ClawHubバージョニング、自動更新フロー |
| 現在の緩和策 | バージョンフィンガープリント |
| 残留リスク | 高 - 自動更新が悪意のあるバージョンを取得する可能性 |
| 推奨事項 | 更新署名の実装、ロールバック機能、バージョンピニング |
T-PERSIST-003: エージェント設定改ざん
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0010.002 - Supply Chain Compromise: Data |
| 説明 | 攻撃者がエージェント設定を変更してアクセスを維持する |
| 攻撃ベクトル | 設定ファイル変更、設定インジェクション |
| 影響を受けるコンポーネント | エージェント設定、ツールポリシー |
| 現在の緩和策 | ファイルパーミッション |
| 残留リスク | 中 - ローカルアクセスが必要 |
| 推奨事項 | 設定完全性検証、設定変更の監査ロギング |
3.5 防御回避 (AML.TA0007)
T-EVADE-001: モデレーションパターンバイパス
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0043 - Craft Adversarial Data |
| 説明 | 攻撃者がモデレーションパターンを回避するスキルコンテンツを作成する |
| 攻撃ベクトル | Unicodeホモグリフ、エンコーディングトリック、動的ロード |
| 影響を受けるコンポーネント | ClawHub moderation.ts |
| 現在の緩和策 | パターンベースのFLAG_RULES |
| 残留リスク | 高 - 単純な正規表現は容易にバイパス可能 |
| 推奨事項 | 行動分析の追加 (VirusTotal Code Insight)、ASTベースの検出 |
T-EVADE-002: コンテンツラッパーエスケープ
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0043 - Craft Adversarial Data |
| 説明 | 攻撃者がXMLラッパーコンテキストからエスケープするコンテンツを作成する |
| 攻撃ベクトル | タグ操作、コンテキスト混乱、指示の上書き |
| 影響を受けるコンポーネント | 外部コンテンツラッピング |
| 現在の緩和策 | XMLタグ + セキュリティ通知 |
| 残留リスク | 中 - 新しいエスケープが定期的に発見される |
| 推奨事項 | 複数層のラッパー、出力側検証 |
3.6 発見 (AML.TA0008)
T-DISC-001: ツール列挙
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0040 - AI Model Inference API Access |
| 説明 | 攻撃者がプロンプトを通じて利用可能なツールを列挙する |
| 攻撃ベクトル | 「利用可能なツールは?」スタイルのクエリ |
| 影響を受けるコンポーネント | エージェントツールレジストリ |
| 現在の緩和策 | 特になし |
| 残留リスク | 低 - ツールは一般的に文書化されている |
| 推奨事項 | ツール可視性制御の検討 |
T-DISC-002: セッションデータ抽出
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0040 - AI Model Inference API Access |
| 説明 | 攻撃者がセッションコンテキストから機密データを抽出する |
| 攻撃ベクトル | 「何について話しましたか?」クエリ、コンテキストプロービング |
| 影響を受けるコンポーネント | セッショントランスクリプト、コンテキストウィンドウ |
| 現在の緩和策 | 送信者ごとのセッション分離 |
| 残留リスク | 中 - セッション内データはアクセス可能 |
| 推奨事項 | コンテキスト内での機密データ編集を実装 |
3.7 収集 & 外部送信 (AML.TA0009, AML.TA0010)
T-EXFIL-001: web_fetch経由のデータ窃取
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0009 - Collection |
| 説明 | 攻撃者がエージェントに外部URLにデータを送信するよう指示してデータを外部送信する |
| 攻撃ベクトル | エージェントに攻撃者サーバーにデータをPOSTさせるプロンプトインジェクション |
| 影響を受けるコンポーネント | web_fetchツール |
| 現在の緩和策 | 内部ネットワーク向けSSRFブロッキング |
| 残留リスク | 高 - 外部URLが許可される |
| 推奨事項 | URL許可リストの実装、データ分類の認識 |
T-EXFIL-002: 不正なメッセージ送信
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0009 - Collection |
| 説明 | 攻撃者がエージェントに機密データを含むメッセージを送信させる |
| 攻撃ベクトル | エージェントに攻撃者にメッセージを送信させるプロンプトインジェクション |
| 影響を受けるコンポーネント | メッセージツール、チャネル統合 |
| 現在の緩和策 | 送信メッセージのゲーティング |
| 残留リスク | 中 - ゲーティングがバイパスされる可能性 |
| 推奨事項 | 新しい受信者への明示的な確認を要求 |
T-EXFIL-003: 認証情報収集
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0009 - Collection |
| 説明 | 悪意のあるスキルがエージェントコンテキストから認証情報を収集する |
| 攻撃ベクトル | スキルコードが環境変数、設定ファイルを読み取る |
| 影響を受けるコンポーネント | スキル実行環境 |
| 現在の緩和策 | スキル固有の対策なし |
| 残留リスク | 致命的 - スキルはエージェント権限で実行される |
| 推奨事項 | スキルサンドボックス化、認証情報の分離 |
3.8 影響 (AML.TA0011)
T-IMPACT-001: 不正なコマンド実行
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0031 - Erode AI Model Integrity |
| 説明 | 攻撃者がユーザーシステム上で任意のコマンドを実行する |
| 攻撃ベクトル | プロンプトインジェクションと実行承認バイパスの組み合わせ |
| 影響を受けるコンポーネント | Bashツール、コマンド実行 |
| 現在の緩和策 | 実行承認、Dockerサンドボックスオプション |
| 残留リスク | 致命的 - サンドボックスなしのホスト実行 |
| 推奨事項 | デフォルトをサンドボックスに、承認UXの改善 |
T-IMPACT-002: リソース枯渇 (DoS)
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0031 - Erode AI Model Integrity |
| 説明 | 攻撃者がAPIクレジットまたは計算リソースを枯渇させる |
| 攻撃ベクトル | 自動化されたメッセージフラッディング、高コストなツール呼び出し |
| 影響を受けるコンポーネント | ゲートウェイ、エージェントセッション、APIプロバイダー |
| 現在の緩和策 | なし |
| 残留リスク | 高 - レート制限なし |
| 推奨事項 | 送信者ごとのレート制限の実装、コスト予算 |
T-IMPACT-003: 評判損害
| 属性 | 値 |
|---|
| ATLAS ID | AML.T0031 - Erode AI Model Integrity |
| 説明 | 攻撃者がエージェントに有害/攻撃的なコンテンツを送信させる |
| 攻撃ベクトル | 不適切な応答を引き起こすプロンプトインジェクション |
| 影響を受けるコンポーネント | 出力生成、チャネルメッセージング |
| 現在の緩和策 | LLMプロバイダーのコンテンツポリシー |
| 残留リスク | 中 - プロバイダーフィルターは不完全 |
| 推奨事項 | 出力フィルタリング層、ユーザー制御 |
4. ClawHubサプライチェーン分析
4.1 現在のセキュリティ制御
| 制御 | 実装 | 有効性 |
|---|
| GitHubアカウント年齢 | requireGitHubAccountAge() | 中 - 新規攻撃者のハードルを上げる |
| パスサニタイズ | sanitizePath() | 高 - パストラバーサルを防止 |
| ファイルタイプ検証 | isTextFile() | 中 - テキストファイルのみ、ただし悪意のある可能性はある |
| サイズ制限 | 50MB 合計バンドル | 高 - リソース枯渇を防止 |
| 必須SKILL.md | 必須readme | セキュリティ価値低 - 情報提供のみ |
| パターンモデレーション | moderation.ts内のFLAG_RULES | 低 - 容易にバイパス可能 |
| モデレーションステータス | moderationStatus フィールド | 中 - 手動レビュー可能 |
4.2 モデレーションフラグパターン
moderation.ts内の現在のパターン:
// 既知の悪意のある識別子
/(keepcold131\/ClawdAuthenticatorTool|ClawdAuthenticatorTool)/i
// 不審なキーワード
/(malware|stealer|phish|phishing|keylogger)/i
/(api[-_ ]?key|token|password|private key|secret)/i
/(wallet|seed phrase|mnemonic|crypto)/i
/(discord\.gg|webhook|hooks\.slack)/i
/(curl[^\n]+\|\s*(sh|bash))/i
/(bit\.ly|tinyurl\.com|t\.co|goo\.gl|is\.gd)/i
制限事項:
- スラッグ、displayName、summary、frontmatter、metadata、ファイルパスのみをチェック
- 実際のスキルコードコンテンツを分析しない
- 単純な正規表現は難読化で容易にバイパス可能
- 行動分析なし
4.3 計画されている改善
| 改善 | ステータス | 影響 |
|---|
| VirusTotal統合 | 進行中 | 高 - Code Insight行動分析 |
| コミュニティ報告 | 部分的 (skillReportsテーブル存在) | 中 |
| 監査ロギング | 部分的 (auditLogsテーブル存在) | 中 |
| バッジシステム | 実装済み | 中 - highlighted, official, deprecated, redactionApproved |
5. リスクマトリックス
5.1 可能性 vs 影響
| 脅威ID | 可能性 | 影響 | リスクレベル | 優先度 |
|---|
| T-EXEC-001 | 高 | 致命的 | 致命的 | P0 |
| T-PERSIST-001 | 高 | 致命的 | 致命的 | P0 |
| T-EXFIL-003 | 中 | 致命的 | 致命的 | P0 |
| T-IMPACT-001 | 中 | 致命的 | 高 | P1 |
| T-EXEC-002 | 高 | 高 | 高 | P1 |
| T-EXEC-004 | 中 | 高 | 高 | P1 |
| T-ACCESS-003 | 中 | 高 | 高 | P1 |
| T-EXFIL-001 | 中 | 高 | 高 | P1 |
| T-IMPACT-002 | 高 | 中 | 高 | P1 |
| T-EVADE-001 | 高 | 中 | 中 | P2 |
| T-ACCESS-001 | 低 | 高 | 中 | P2 |
| T-ACCESS-002 | 低 | 高 | 中 | P2 |
| T-PERSIST-002 | 低 | 高 | 中 | P2 |
5.2 致命的な攻撃連鎖
攻撃連鎖 1: スキルベースのデータ窃取
T-PERSIST-001 → T-EVADE-001 → T-EXFIL-003
(悪意のあるスキル公開) → (モデレーション回避) → (認証情報収集)
攻撃連鎖 2: プロンプトインジェクションからRCEへ
T-EXEC-001 → T-EXEC-004 → T-IMPACT-001
(プロンプトインジェクション) → (実行承認バイパス) → (コマンド実行)
攻撃連鎖 3: 取得コンテンツ経由の間接インジェクション
T-EXEC-002 → T-EXFIL-001 → 外部送信
(URLコンテンツ汚染) → (エージェントが取得し指示に従う) → (データが攻撃者に送信)
6. 推奨事項まとめ
6.1 即時対応 (P0)
| ID | 推奨事項 | 対応する脅威 |
|---|
| R-001 | VirusTotal統合の完了 | T-PERSIST-001, T-EVADE-001 |
| R-002 | スキルサンドボックス化の実装 | T-PERSIST-001, T-EXFIL-003 |
| R-003 | 機密性の高いアクションに対する出力検証の追加 | T-EXEC-001, T-EXEC-002 |
6.2 短期対応 (P1)
| ID | 推奨事項 | 対応する脅威 |
|---|
| R-004 | レート制限の実装 | T-IMPACT-002 |
| R-005 | 保存時のトークン暗号化の追加 | T-ACCESS-003 |
| R-006 | 実行承認UXと検証の改善 | T-EXEC-004 |
| R-007 | web_fetch用URL許可リストの実装 | T-EXFIL-001 |
6.3 中期対応 (P2)
| ID | 推奨事項 | 対応する脅威 |
|---|
| R-008 | 可能な場合は暗号チャネル検証の追加 | T-ACCESS-002 |
| R-009 | 設定完全性検証の実装 | T-PERSIST-003 |
| R-010 | 更新署名とバージョンピニングの実装 | T-PERSIST-002 |
7. 付録
7.1 ATLASテクニックマッピング
| ATLAS ID | テクニック名 | OpenClaw脅威 |
| --- |
