ATA 自动化测试全景实验
AI Agent 安全测试本体论研究 · 白盒威胁分析方法论与案例
📌 威胁报告示例
ATA 分析方法论示范案例 · OC0421 v1 vs v2 对比
正面示例 + 反面示例
以 OpenClaw v2026.4.21 为目标,展示 ATA 威胁分析的完整修订过程。
v1(反面)
:11 项方法论缺陷——Harm 停留在内部状态/未归类 Victim · PoisoningEntry 使用不可达内部对象 · AP 生成同质化 · Source 路径粗糙 · Tag 无图例等。
v2(正面)
:完整修订版,修复全部 11 项缺陷——Harm 归类 User/System/ThirdParty Victim · PoisoningEntry 限定攻击者直接可达入口 · 作为生成高质量报告的参考标准。
v1 · 11 项缺陷
v1 · 6 AP(质量不足)
v2 · 10 AP(修订版)
v2 · Max RS 12.57
Skill 反面 Shot 已存档(Issue 1-11)
❌ v1 威胁分析报告(反面示例)
含 11 项方法论缺陷:Harm 未归类 Victim · PoisoningEntry 用内部不可达对象 · AP 同质化 · Source 路径粗糙 · Tag 无图例
v1
✅ v2 威胁分析报告(正面示例)
修复全部 11 项缺陷:10 AP · Harm → Victim.SubType(User/System/ThirdParty)· PoisoningEntry 限定直接可达入口 · 5 维覆盖 · 完整 Tag 图例
v2
架构设计
ATA 本体论(Ontology)
AI Agent 安全测试本体论,L0-L7 八层架构完整实体定义(AgentCore → Environment / SupplyChain)
v6.0
标签体系(Tag System)
完整标签族定义,含 UI- / SI- / AI- 攻击意图三元组,INJ-CH-* 注入通道标签族(v1.6 新增)
v1.6
RiskScore 评分体系
注入分 + 危害分 + Novelty 三项构成,Sink链难度全链迭乘,感知因子扩展含渠道保真衰减
v1.5
攻击模式(Pattern)全景
F1 注入语义 × F2 载体格式 × F3 强化修饰 三维攻击模式枚举,DIM-A 实验锚点与覆盖矩阵
DIM-A
ATA 功能全景图
AI Agent 安全测试框架全景可视化,系统功能模块与分析流程总览
—
DIM-* 维度速查手册
8 设计自由轴 + 1 E2E 跨主体轴 + 3 事后分析维度,共 12 维测试对比框架(TAG_SYSTEM §13)
v3.0
TC 测试进度
加载中…
测试体系
🏗️
仿真环境 · 建设情况
MockAgent · LocalRunAgent · SC 组件 · 三类仿真对象的建设与部署状态
›
📊
BenchMark · 评估设计与实现
TC 覆盖范围 · E2E 节点 · 对照组 · 十二维评估框架(设计自由轴 9 + 事后分析维 3)
加载中…
›
🔍
最佳实践分析 · 提示词模板安全维度
D1 风险定义 · D2 结构信任层次 · D3 过滤与包装 · HermesAgent vs OC0421 对比评分
›
威胁分析案例 · Hermes Agent
威胁分析报告
12 条攻击路径完整分析,7 个创新点专项,SecurityChecker 有效性评估与 ORP 修订提案
v1.5
Top 12 攻击路径排名
按 RiskScore v1.5 排序的 12 条攻击路径,含三维得分可切换排名、节点序列与测试构建指引
v1.5
Agent 实体全景(Agent Profile)
Hermes Agent L0-L7 架构层源码级实体映射,Ontology v6.0 标签标注与 Mock 构建参考
—
安全机制全景(Security Profile)
Approval Gate · DANGEROUS_PATTERNS · Memory 威胁过滤 · MCP 沙箱隔离机制全景
—
威胁分析案例 · SimpleAgent (s08)
SimpleAgent 安全风险报告
4 条攻击路径(Max RiskScore 12.04),2 个创新点(后台输出注入 + 双通道不对称),3 SC-GAP,ORP-SIM-01 提案
v1.5
Top 4 攻击路径排名
按 RiskScore v1.5 排序的 4 条攻击路径,含攻击流程图、评分分解与意图三元组
v1.5
Agent 实体全景(Agent Profile)
Assembly / Execution / Safety / Correlation 四阶段,6 工具 TOOL-* 标注,安全机制矩阵与 SC-GAP 全景
—
威胁分析案例 · OpenClaw v2026.4.21(OC0421_WithOfficialCC)
OpenClaw 威胁分析报告 v2
10 条攻击路径(Max RiskScore 12.57),AP_FILTER 显式规则,外部情报对比表(5 篇研究),3 ORP 提案,Harm → Victim.SubType 完整映射
v2
Top 10 攻击路径排名 v2
RS 评分柱状图 · Source 精细化到 dist/*.js 函数 · 19 标签完整图例 · PoisoningEntry × Harm 5 维不放回覆盖 · Harm 归类 Victim.SubType(User/System/ThirdParty)
v2
Agent 实体全景 v2(Agent Profile)
L0-L7 架构层(AgentCore→Environment)· Ontology v6.0 标准对象名 · MockAgent 真实资产清单 · SC 三维表
v2
安全机制全景 v2(Security Profile)
SC 三维矩阵(覆盖 × 激活 × 可禁用)· Layer 热力图 · 4 SC-GAP · Harm 追踪到具体资产(SSH/AWS/Gmail)
v2
OpenClaw 威胁分析报告(归档)
v1 · 6 条攻击路径 · 已被 v2 修订替代
v1
威胁分析案例 · TaiChu(华为小艺)端云一体 AI Agent
TaiChu 威胁分析报告
11 条攻击路径(Max RiskScore 17.5),11 个 SC-GAP,端云三层架构安全评估,Keystone 节点分析,与 Hermes/OpenClaw 横向对比
v1.0
Top 11 攻击路径排名
按 RiskScore v1.5 排序的 11 条攻击路径,含 Source×SinkIntent 2D 覆盖矩阵,11 个 SC-GAP 卡片,app_controller VLM 视觉注入等新型攻击链
v2.1
AP-100 D6/D7 注入路径全图 · v2d GT格式 · 17节点完整图
TC-TaiChu-Mock_v2d-AP100_v3 · GLM-5.1 · n=20 · D6+D7全部17节点 · 记忆类注入100%/90% · D7纯READ意图70%突破 · 系统通知类全部0% · 节点演化链可交互
v2d
AP-100 D6/D7 实测结果 · PCS间接注入 · GT格式对齐
TC-TaiChu-Mock_v2d-AP100_v3 · GLM-5.1 · n=20 · D6: 4节点100%突破(记忆类注入)· D7: 纯READ意图70%外发 · 系统通知类全部0% · Mock v2d GT格式
v2d
ATA Ontology v6.0 · RiskScore v1.5 · Tag System v1.8 · 2026-05-25