الانتقال إلى المحتوى الرئيسي
openclaw security audit يُصدر نتائج منظَّمة مفهرسة حسب checkId. هذه الصفحة هي فهرس المرجع لتلك المعرّفات. للاطلاع على نموذج التهديد عالي المستوى وإرشادات التقوية، راجع الأمان. قيم checkId عالية الدلالة التي سترجّح رؤيتها في عمليات النشر الفعلية (ليست شاملة):
checkIdالخطورةسبب الأهميةمفتاح/مسار الإصلاح الأساسيالإصلاح التلقائي
fs.state_dir.perms_world_writableحرجةيمكن لمستخدمين/عمليات أخرى تعديل حالة OpenClaw كاملةأذونات نظام الملفات على ~/.openclawنعم
fs.state_dir.perms_group_writableتحذيريمكن لمستخدمي المجموعة تعديل حالة OpenClaw كاملةأذونات نظام الملفات على ~/.openclawنعم
fs.state_dir.perms_readableتحذيردليل الحالة قابل للقراءة من الآخرينأذونات نظام الملفات على ~/.openclawنعم
fs.state_dir.symlinkتحذيريصبح هدف دليل الحالة حد ثقة آخرتخطيط نظام ملفات دليل الحالةلا
fs.config.perms_writableحرجةيمكن للآخرين تغيير سياسة/تكوين المصادقة أو الأدواتأذونات نظام الملفات على ~/.openclaw/openclaw.jsonنعم
fs.config.symlinkتحذيرملفات التكوين ذات الروابط الرمزية غير مدعومة للكتابة وتضيف حد ثقة آخراستبدلها بملف تكوين عادي أو وجّه OPENCLAW_CONFIG_PATH إلى الملف الحقيقيلا
fs.config.perms_group_readableتحذيريمكن لمستخدمي المجموعة قراءة رموز/إعدادات التكوينأذونات نظام الملفات على ملف التكويننعم
fs.config.perms_world_readableحرجةيمكن أن يكشف التكوين الرموز/الإعداداتأذونات نظام الملفات على ملف التكويننعم
fs.config_include.perms_writableحرجةيمكن للآخرين تعديل ملف تضمين التكوينأذونات ملف التضمين المشار إليه من openclaw.jsonنعم
fs.config_include.perms_group_readableتحذيريمكن لمستخدمي المجموعة قراءة الأسرار/الإعدادات المضمّنةأذونات ملف التضمين المشار إليه من openclaw.jsonنعم
fs.config_include.perms_world_readableحرجةالأسرار/الإعدادات المضمّنة قابلة للقراءة من الجميعأذونات ملف التضمين المشار إليه من openclaw.jsonنعم
fs.auth_profiles.perms_writableحرجةيمكن للآخرين حقن بيانات اعتماد النماذج المخزنة أو استبدالهاأذونات agents/<agentId>/agent/auth-profiles.jsonنعم
fs.auth_profiles.perms_readableتحذيريمكن للآخرين قراءة مفاتيح API ورموز OAuthأذونات agents/<agentId>/agent/auth-profiles.jsonنعم
fs.credentials_dir.perms_writableحرجةيمكن للآخرين تعديل حالة إقران/بيانات اعتماد القنواتأذونات نظام الملفات على ~/.openclaw/credentialsنعم
fs.credentials_dir.perms_readableتحذيريمكن للآخرين قراءة حالة بيانات اعتماد القنواتأذونات نظام الملفات على ~/.openclaw/credentialsنعم
fs.sessions_store.perms_readableتحذيريمكن للآخرين قراءة نصوص الجلسات/بياناتها الوصفيةأذونات مخزن الجلساتنعم
fs.log_file.perms_readableتحذيريمكن للآخرين قراءة سجلات منقّحة لكنها ما زالت حساسةأذونات ملف سجل Gatewayنعم
fs.synced_dirتحذيروجود الحالة/التكوين في iCloud/Dropbox/Drive يوسّع نطاق انكشاف الرموز/النصوصانقل التكوين/الحالة خارج المجلدات المتزامنةلا
gateway.bind_no_authحرجةربط بعيد بدون سر مشتركgateway.bind, gateway.auth.*لا
gateway.loopback_no_authحرجةقد يصبح local loopback عبر وكيل عكسي بلا مصادقةgateway.auth.*, إعداد الوكيللا
gateway.trusted_proxies_missingتحذيرترويسات الوكيل العكسي موجودة لكنها غير موثوقةgateway.trustedProxiesلا
gateway.http.no_authتحذير/حرجةواجهات HTTP API الخاصة بـ Gateway يمكن الوصول إليها مع auth.mode="none"gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpcلا
gateway.http.session_key_override_enabledمعلوماتيمكن لمستدعي HTTP API تجاوز sessionKeygateway.http.allowSessionKeyOverrideلا
gateway.tools_invoke_http.dangerous_allowتحذير/حرجةيعيد تمكين الأدوات الخطرة عبر HTTP API لمستدعي المالك/المسؤولgateway.tools.allowلا
gateway.nodes.allow_commands_dangerousتحذير/حرجةيمكّن أوامر عقد عالية التأثير (الكاميرا/الشاشة/جهات الاتصال/التقويم/SMS)gateway.nodes.allowCommandsلا
gateway.nodes.deny_commands_ineffectiveتحذيرإدخالات المنع الشبيهة بالأنماط لا تطابق نص shell أو المجموعاتgateway.nodes.denyCommandsلا
gateway.tailscale_funnelحرجةانكشاف على الإنترنت العامgateway.tailscale.modeلا
gateway.tailscale_serveمعلوماتتم تمكين انكشاف tailnet عبر Servegateway.tailscale.modeلا
gateway.control_ui.allowed_origins_requiredحرجةControl UI خارج local loopback بدون قائمة سماح صريحة لأصول المتصفحgateway.controlUi.allowedOriginsلا
gateway.control_ui.allowed_origins_wildcardتحذير/حرجةيعطّل allowedOrigins=["*"] قائمة سماح أصول المتصفحgateway.controlUi.allowedOriginsلا
gateway.control_ui.host_header_origin_fallbackتحذير/حرجةيمكّن احتياطي أصل ترويسة Host (خفض مستوى التحصين ضد إعادة ربط DNS)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallbackلا
gateway.control_ui.insecure_authتحذيرمفعّل تبديل توافق المصادقة غير الآمنةgateway.controlUi.allowInsecureAuthلا
gateway.control_ui.device_auth_disabledحرجةيعطّل فحص هوية الجهازgateway.controlUi.dangerouslyDisableDeviceAuthلا
gateway.real_ip_fallback_enabledتحذير/حرجةالثقة باحتياطي X-Real-IP قد تتيح انتحال IP المصدر عبر سوء تكوين الوكيلgateway.allowRealIpFallback, gateway.trustedProxiesلا
gateway.token_too_shortتحذيرالرمز المشترك القصير أسهل في هجمات التخمين بالقوةgateway.auth.tokenلا
gateway.auth_no_rate_limitتحذيرالمصادقة المكشوفة بدون تحديد معدل تزيد خطر التخمين بالقوةgateway.auth.rateLimitلا
gateway.trusted_proxy_authحرجةتصبح هوية الوكيل الآن حد المصادقةgateway.auth.mode="trusted-proxy"لا
gateway.trusted_proxy_no_proxiesحرجةمصادقة الوكيل الموثوق بدون عناوين IP للوكلاء الموثوقين غير آمنةgateway.trustedProxiesلا
gateway.trusted_proxy_no_user_headerحرجةلا تستطيع مصادقة الوكيل الموثوق تحديد هوية المستخدم بأمانgateway.auth.trustedProxy.userHeaderلا
gateway.trusted_proxy_no_allowlistتحذيرتقبل مصادقة الوكيل الموثوق أي مستخدم upstream مُصادَق عليهgateway.auth.trustedProxy.allowUsersلا
gateway.trusted_proxy_allow_loopbackتحذيرتقبل مصادقة الوكيل الموثوق مصادر وكيل loopback المسموح بها صراحةgateway.auth.trustedProxy.allowLoopbackلا
gateway.probe_auth_secretref_unavailableتحذيرتعذر على الفحص العميق حلّ SecretRefs المصادقة في مسار هذا الأمرمصدر مصادقة الفحص العميق / توفر SecretRefلا
gateway.probe_failedتحذير/حرجفشل فحص Gateway الحيقابلية الوصول إلى Gateway/المصادقةلا
discovery.mdns_full_modeتحذير/حرجيعلن وضع mDNS الكامل بيانات cliPath/sshPort الوصفية على الشبكة المحليةdiscovery.mdns.mode, gateway.bindلا
config.insecure_or_dangerous_flagsتحذيرتم تمكين علامة تصحيح غير آمنة/خطرة واحدةالمفتاح المسمى في تفاصيل النتيجةلا
security.audit.suppressions.activeمعلوماتيحتوي خرج التدقيق على عمليات كتم مكوّنة وقد يكون مرشحاsecurity.audit.suppressionsلا
config.secrets.gateway_password_in_configتحذيركلمة مرور Gateway مخزنة مباشرة في الإعداداتgateway.auth.passwordلا
config.secrets.hooks_token_in_configتحذيررمز حامل الخطاف مخزن مباشرة في الإعداداتhooks.tokenلا
hooks.token_reuse_gateway_tokenحرجرمز دخول الخطاف يفتح أيضا مصادقة Gatewayhooks.token, gateway.auth.token, gateway.auth.passwordلا
hooks.token_too_shortتحذيريجعل كسر القوة الغاشمة على دخول الخطاف أسهلhooks.tokenلا
hooks.default_session_key_unsetتحذيرتتفرع تشغيلات وكيل الخطاف إلى جلسات مولدة لكل طلبhooks.defaultSessionKeyلا
hooks.allowed_agent_ids_unrestrictedتحذير/حرجيمكن لمستدعي الخطاف المصادق عليهم التوجيه إلى أي وكيل مكوّنhooks.allowedAgentIdsلا
hooks.request_session_key_enabledتحذير/حرجيمكن للمستدعي الخارجي اختيار sessionKeyhooks.allowRequestSessionKeyلا
hooks.request_session_key_prefixes_missingتحذير/حرجلا يوجد قيد على أشكال مفاتيح الجلسات الخارجيةhooks.allowedSessionKeyPrefixesلا
hooks.path_rootحرجمسار الخطاف هو /، مما يجعل الدخول أسهل في التصادم أو سوء التوجيهhooks.pathلا
hooks.installs_unpinned_npm_specsتحذيرسجلات تثبيت الخطاف غير مثبتة على مواصفات npm غير قابلة للتغييربيانات تعريف تثبيت الخطافلا
hooks.installs_missing_integrityتحذيرتفتقر سجلات تثبيت الخطاف إلى بيانات تعريف التكاملبيانات تعريف تثبيت الخطافلا
hooks.installs_version_driftتحذيرتنحرف سجلات تثبيت الخطاف عن الحزم المثبتةبيانات تعريف تثبيت الخطافلا
logging.redact_offتحذيرتتسرب القيم الحساسة إلى السجلات/الحالةlogging.redactSensitiveنعم
browser.control_invalid_configتحذيرإعدادات التحكم في المتصفح غير صالحة قبل وقت التشغيلbrowser.*لا
browser.control_no_authحرجالتحكم في المتصفح مكشوف دون مصادقة برمز أو كلمة مرورgateway.auth.*لا
browser.remote_cdp_httpتحذيريفتقر CDP البعيد عبر HTTP العادي إلى تشفير النقلملف تعريف المتصفح cdpUrlلا
browser.remote_cdp_private_hostتحذيريستهدف CDP البعيد مضيفا خاصا/داخلياملف تعريف المتصفح cdpUrl, browser.ssrfPolicy.*لا
sandbox.docker_config_mode_offتحذيرإعدادات Sandbox Docker موجودة لكنها غير نشطةagents.*.sandbox.modeلا
sandbox.bind_mount_non_absoluteتحذيريمكن أن تتحلل عمليات ربط التحميل النسبية بشكل غير متوقعagents.*.sandbox.docker.binds[]لا
sandbox.dangerous_bind_mountحرجيستهدف ربط تحميل Sandbox مسارات نظام أو بيانات اعتماد أو مقبس Docker محظورةagents.*.sandbox.docker.binds[]لا
sandbox.dangerous_network_modeحرجتستخدم شبكة Sandbox Docker وضع host أو وضع ضم مساحة الأسماء container:*agents.*.sandbox.docker.networkلا
sandbox.dangerous_seccomp_profileحرجيضعف ملف تعريف seccomp الخاص بـ Sandbox عزل الحاويةagents.*.sandbox.docker.securityOptلا
sandbox.dangerous_apparmor_profileحرجيضعف ملف تعريف AppArmor الخاص بـ Sandbox عزل الحاويةagents.*.sandbox.docker.securityOptلا
sandbox.browser_cdp_bridge_unrestrictedتحذيرجسر متصفح Sandbox مكشوف دون تقييد لنطاق المصدرsandbox.browser.cdpSourceRangeلا
sandbox.browser_container.non_loopback_publishحرجتنشر حاوية المتصفح الحالية CDP على واجهات غير loopbackإعدادات نشر حاوية Sandbox المتصفحلا
sandbox.browser_container.hash_label_missingتحذيرتسبق حاوية المتصفح الحالية تسميات تجزئة الإعدادات الحاليةopenclaw sandbox recreate --browser --allلا
sandbox.browser_container.hash_epoch_staleتحذيرتسبق حاوية المتصفح الحالية حقبة إعدادات المتصفح الحاليةopenclaw sandbox recreate --browser --allلا
tools.exec.host_sandbox_no_sandbox_defaultsتحذيريفشل exec host=sandbox بإغلاق آمن عندما يكون Sandbox متوقفاtools.exec.host, agents.defaults.sandbox.modeلا
tools.exec.host_sandbox_no_sandbox_agentsتحذيريفشل exec host=sandbox لكل وكيل بإغلاق آمن عندما يكون Sandbox متوقفاagents.list[].tools.exec.host, agents.list[].sandbox.modeلا
tools.exec.security_full_configuredتحذير/حرجتنفيذ المضيف يعمل مع security="full"tools.exec.security, agents.list[].tools.exec.securityلا
tools.exec.agent_skill_mcp_boundary_driftتحذيرقوائم سماح Skills الوكيل موجودة بينما يمكن لتنفيذ المضيف الوصول إلى عملاء/سجلات MCPagents.list[].tools.exec.*, عزل Sandbox/نظام التشغيل، بيانات اعتماد خادم MCPلا
tools.exec.fs_tools_disabled_but_exec_enabledتحذيرلا تجعل سياسة أداة نظام الملفات تنفيذ shell للقراءة فقطtools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccessلا
tools.exec.auto_allow_skills_enabledتحذيرتثق موافقات التنفيذ بملفات Skills الثنائية ضمنياملف موافقات المضيفلا
tools.exec.allowlist_interpreter_without_strict_inline_evalتحذيرتسمح قوائم سماح المفسر بالتقييم المضمن دون إجبار إعادة الموافقةtools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, قائمة سماح موافقات التنفيذلا
tools.exec.safe_bins_interpreter_unprofiledتحذيرتوسع ملفات المفسر/وقت التشغيل الثنائية في safeBins دون ملفات تعريف صريحة خطر التنفيذtools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.*لا
tools.exec.safe_bins_broad_behaviorتحذيرتضعف أدوات السلوك الواسع في safeBins نموذج ثقة مرشح stdin منخفض المخاطرtools.exec.safeBins, agents.list[].tools.exec.safeBinsلا
tools.exec.safe_bin_trusted_dirs_riskywarnتتضمن safeBinTrustedDirs أدلة قابلة للتعديل أو عالية المخاطرtools.exec.safeBinTrustedDirs، agents.list[].tools.exec.safeBinTrustedDirsلا
skills.workspace.symlink_escapewarnيتحلل مسار skills/**/SKILL.md في مساحة العمل إلى خارج جذر مساحة العمل (انحراف سلسلة الروابط الرمزية)حالة نظام الملفات skills/** في مساحة العمللا
plugins.extensions_no_allowlistwarnتُثبَّت Plugins من دون قائمة سماح صريحة للـ Pluginplugins.allowlistلا
plugins.installs_unpinned_npm_specswarnسجلات فهرس Plugin غير مثبّتة على مواصفات npm غير قابلة للتغييربيانات تعريف تثبيت Pluginلا
plugins.installs_missing_integritywarnتفتقر سجلات فهرس Plugin إلى بيانات تعريف السلامةبيانات تعريف تثبيت Pluginلا
plugins.installs_version_driftwarnتنحرف سجلات فهرس Plugin عن الحزم المثبّتةبيانات تعريف تثبيت Pluginلا
plugins.code_safetywarn/criticalوجد فحص كود Plugin أنماطًا مشبوهة أو خطرةكود Plugin / مصدر التثبيتلا
plugins.code_safety.entry_pathwarnيشير مسار دخول Plugin إلى مواقع مخفية أو مواقع node_modulesentry في بيان Pluginلا
plugins.code_safety.entry_escapecriticalيخرج مسار دخول Plugin من دليل Pluginentry في بيان Pluginلا
plugins.code_safety.scan_failedwarnتعذّر إكمال فحص كود Pluginمسار Plugin / بيئة الفحصلا
skills.code_safetywarn/criticalتحتوي بيانات تعريف/كود مثبّت Skills على أنماط مشبوهة أو خطرةمصدر تثبيت Skillsلا
skills.code_safety.scan_failedwarnتعذّر إكمال فحص كود Skillsبيئة فحص Skillsلا
security.exposure.open_channels_with_execwarn/criticalيمكن للغرف المشتركة/العامة الوصول إلى وكلاء مفعّل لديهم تنفيذ الأوامرchannels.*.dmPolicy، channels.*.groupPolicy، tools.exec.*، agents.list[].tools.exec.*لا
security.exposure.open_groups_with_elevatedcriticalتنشئ الرسائل المباشرة/المجموعات المفتوحة + الأدوات ذات الصلاحيات المرتفعة مسارات حقن تعليمات عالية التأثيرمسارات سياسة الرسائل المباشرة من المستوى الأعلى أو المتداخلة، تجاوزات الحساب، channels.*.groupPolicyلا
security.exposure.open_groups_with_runtime_or_fscritical/warnيمكن للرسائل المباشرة/المجموعات المفتوحة الوصول إلى أدوات الأوامر/الملفات من دون حواجز sandbox/مساحة العملمسارات سياسة الرسائل المباشرة/المجموعات، tools.profile/deny، tools.fs.workspaceOnly، agents.*.sandbox.modeلا
security.trust_model.multi_user_heuristicwarnيبدو الإعداد متعدد المستخدمين بينما نموذج الثقة في Gateway هو مساعد شخصيحدود ثقة منفصلة، أو تقوية المستخدمين المشتركين (sandbox.mode، نطاق رفض الأدوات/مساحة العمل)لا
tools.profile_minimal_overriddenwarnتتجاوز إعدادات الوكيل ملف التعريف الأدنى العامagents.list[].tools.profileلا
plugins.tools_reachable_permissive_policywarnأدوات الامتداد قابلة للوصول في سياقات متساهلةtools.profile + سماح/رفض الأدواتلا
models.legacywarnلا تزال عائلات النماذج القديمة مهيأةاختيار النموذجلا
models.weak_tierwarnالنماذج المهيأة أدنى من المستويات الموصى بها حاليًااختيار النموذجلا
models.small_paramscritical/infoتزيد النماذج الصغيرة + أسطح الأدوات غير الآمنة من خطر الحقناختيار النموذج + سياسة sandbox/الأدواتلا
summary.attack_surfaceinfoملخص تجميعي لوضع المصادقة والقنوات والأدوات والتعرضمفاتيح متعددة (انظر تفاصيل النتيجة)لا

ذات صلة