Zum Hauptinhalt springen
openclaw security audit gibt strukturierte Befunde aus, die nach checkId geschlüsselt sind. Diese Seite ist der Referenzkatalog für diese IDs. Das übergeordnete Bedrohungsmodell und Hinweise zur Härtung finden Sie unter Sicherheit. Aussagekräftige checkId-Werte, die Sie in realen Bereitstellungen am ehesten sehen werden (nicht vollständig):
checkIdSchweregradWarum es wichtig istPrimärer Behebungsschlüssel/-pfadAutomatische Behebung
fs.state_dir.perms_world_writablekritischAndere Benutzer/Prozesse können den gesamten OpenClaw-Zustand ändernDateisystemberechtigungen für ~/.openclawja
fs.state_dir.perms_group_writableWarnungGruppenbenutzer können den gesamten OpenClaw-Zustand ändernDateisystemberechtigungen für ~/.openclawja
fs.state_dir.perms_readableWarnungDas Zustandsverzeichnis ist für andere lesbarDateisystemberechtigungen für ~/.openclawja
fs.state_dir.symlinkWarnungDas Ziel des Zustandsverzeichnisses wird zu einer weiteren VertrauensgrenzeDateisystemlayout des Zustandsverzeichnissesnein
fs.config.perms_writablekritischAndere können Auth-/Tool-Richtlinien/Konfiguration ändernDateisystemberechtigungen für ~/.openclaw/openclaw.jsonja
fs.config.symlinkWarnungPer Symlink verknüpfte Konfigurationsdateien werden für Schreibvorgänge nicht unterstützt und fügen eine weitere Vertrauensgrenze hinzudurch eine reguläre Konfigurationsdatei ersetzen oder OPENCLAW_CONFIG_PATH auf die echte Datei zeigennein
fs.config.perms_group_readableWarnungGruppenbenutzer können Konfigurationstokens/-einstellungen lesenDateisystemberechtigungen für die Konfigurationsdateija
fs.config.perms_world_readablekritischDie Konfiguration kann Tokens/Einstellungen offenlegenDateisystemberechtigungen für die Konfigurationsdateija
fs.config_include.perms_writablekritischDie eingebundene Konfigurationsdatei kann von anderen geändert werdenBerechtigungen der Include-Datei, auf die aus openclaw.json verwiesen wirdja
fs.config_include.perms_group_readableWarnungGruppenbenutzer können eingebundene Secrets/Einstellungen lesenBerechtigungen der Include-Datei, auf die aus openclaw.json verwiesen wirdja
fs.config_include.perms_world_readablekritischEingebundene Secrets/Einstellungen sind weltweit lesbarBerechtigungen der Include-Datei, auf die aus openclaw.json verwiesen wirdja
fs.auth_profiles.perms_writablekritischAndere können gespeicherte Modell-Zugangsdaten einschleusen oder ersetzenBerechtigungen für agents/<agentId>/agent/auth-profiles.jsonja
fs.auth_profiles.perms_readableWarnungAndere können API-Schlüssel und OAuth-Tokens lesenBerechtigungen für agents/<agentId>/agent/auth-profiles.jsonja
fs.credentials_dir.perms_writablekritischAndere können Channel-Pairing-/Zugangsdatenzustand ändernDateisystemberechtigungen für ~/.openclaw/credentialsja
fs.credentials_dir.perms_readableWarnungAndere können Channel-Zugangsdatenzustand lesenDateisystemberechtigungen für ~/.openclaw/credentialsja
fs.sessions_store.perms_readableWarnungAndere können Sitzungstranskripte/-metadaten lesenBerechtigungen des Sitzungsspeichersja
fs.log_file.perms_readableWarnungAndere können redigierte, aber weiterhin sensible Logs lesenBerechtigungen der Gateway-Logdateija
fs.synced_dirWarnungZustand/Konfiguration in iCloud/Dropbox/Drive erweitert die Offenlegung von Tokens/TranskriptenKonfiguration/Zustand aus synchronisierten Ordnern verschiebennein
gateway.bind_no_authkritischRemote-Bind ohne gemeinsames Secretgateway.bind, gateway.auth.*nein
gateway.loopback_no_authkritischPer Reverse Proxy bereitgestellter Loopback kann unauthentifiziert werdengateway.auth.*, Proxy-Einrichtungnein
gateway.trusted_proxies_missingWarnungReverse-Proxy-Header sind vorhanden, aber nicht vertrauenswürdiggateway.trustedProxiesnein
gateway.http.no_authWarnung/kritischGateway-HTTP-APIs sind mit auth.mode="none" erreichbargateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpcnein
gateway.http.session_key_override_enabledInfoHTTP-API-Aufrufer können sessionKey überschreibengateway.http.allowSessionKeyOverridenein
gateway.tools_invoke_http.dangerous_allowWarnung/kritischAktiviert gefährliche Tools über die HTTP-API für Owner-/Admin-Aufrufer erneutgateway.tools.allownein
gateway.nodes.allow_commands_dangerousWarnung/kritischAktiviert folgenreiche Node-Befehle (Kamera/Bildschirm/Kontakte/Kalender/SMS)gateway.nodes.allowCommandsnein
gateway.nodes.deny_commands_ineffectiveWarnungMusterähnliche Verweigern-Einträge stimmen nicht mit Shell-Text oder Gruppen übereingateway.nodes.denyCommandsnein
gateway.tailscale_funnelkritischOffenlegung im öffentlichen Internetgateway.tailscale.modenein
gateway.tailscale_serveInfoTailnet-Offenlegung ist über Serve aktiviertgateway.tailscale.modenein
gateway.control_ui.allowed_origins_requiredkritischNicht-Loopback-Control-UI ohne explizite Browser-Origin-Allowlistgateway.controlUi.allowedOriginsnein
gateway.control_ui.allowed_origins_wildcardWarnung/kritischallowedOrigins=["*"] deaktiviert die Browser-Origin-Allowlistgateway.controlUi.allowedOriginsnein
gateway.control_ui.host_header_origin_fallbackWarnung/kritischAktiviert den Host-Header-Origin-Fallback (Herabstufung der Härtung gegen DNS-Rebinding)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallbacknein
gateway.control_ui.insecure_authWarnungKompatibilitätsschalter für unsichere Authentifizierung ist aktiviertgateway.controlUi.allowInsecureAuthnein
gateway.control_ui.device_auth_disabledkritischDeaktiviert die Geräteidentitätsprüfunggateway.controlUi.dangerouslyDisableDeviceAuthnein
gateway.real_ip_fallback_enabledWarnung/kritischVertrauen in den X-Real-IP-Fallback kann Source-IP-Spoofing durch Proxy-Fehlkonfiguration ermöglichengateway.allowRealIpFallback, gateway.trustedProxiesnein
gateway.token_too_shortWarnungEin kurzes gemeinsames Token lässt sich leichter per Brute Force angreifengateway.auth.tokennein
gateway.auth_no_rate_limitWarnungOffen zugängliche Authentifizierung ohne Rate Limiting erhöht das Brute-Force-Risikogateway.auth.rateLimitnein
gateway.trusted_proxy_authkritischDie Proxy-Identität wird nun zur Authentifizierungsgrenzegateway.auth.mode="trusted-proxy"nein
gateway.trusted_proxy_no_proxieskritischTrusted-Proxy-Authentifizierung ohne vertrauenswürdige Proxy-IPs ist unsichergateway.trustedProxiesnein
gateway.trusted_proxy_no_user_headerkritischTrusted-Proxy-Authentifizierung kann Benutzeridentität nicht sicher auflösengateway.auth.trustedProxy.userHeadernein
gateway.trusted_proxy_no_allowlistWarnungTrusted-Proxy-Authentifizierung akzeptiert jeden authentifizierten Upstream-Benutzergateway.auth.trustedProxy.allowUsersnein
gateway.trusted_proxy_allow_loopbackwarnTrusted-Proxy-Authentifizierung akzeptiert explizit erlaubte Loopback-Proxy-Quellengateway.auth.trustedProxy.allowLoopbacknein
gateway.probe_auth_secretref_unavailablewarnDeep-Probe konnte Auth-SecretRefs in diesem Befehlspfad nicht auflösenDeep-Probe-Auth-Quelle / SecretRef-Verfügbarkeitnein
gateway.probe_failedwarn/criticalLive-Gateway-Prüfung fehlgeschlagenGateway-Erreichbarkeit/-Authentifizierungnein
discovery.mdns_full_modewarn/criticalmDNS-Vollmodus kündigt cliPath/sshPort-Metadaten im lokalen Netzwerk andiscovery.mdns.mode, gateway.bindnein
config.insecure_or_dangerous_flagswarnEin unsicheres/gefährliches Debug-Flag ist aktiviertim Befunddetail benannter Schlüsselnein
security.audit.suppressions.activeinfoAudit-Ausgabe hat konfigurierte Unterdrückungen und kann gefiltert seinsecurity.audit.suppressionsnein
config.secrets.gateway_password_in_configwarnGateway-Passwort wird direkt in der Konfiguration gespeichertgateway.auth.passwordnein
config.secrets.hooks_token_in_configwarnHook-Bearer-Token wird direkt in der Konfiguration gespeicherthooks.tokennein
hooks.token_reuse_gateway_tokencriticalHook-Ingress-Token entsperrt auch die Gateway-Authentifizierunghooks.token, gateway.auth.token, gateway.auth.passwordnein
hooks.token_too_shortwarnEinfacheres Brute-Forcing auf Hook-Ingresshooks.tokennein
hooks.default_session_key_unsetwarnHook-Agent-Läufe fächern in generierte Sitzungen pro Anfrage aufhooks.defaultSessionKeynein
hooks.allowed_agent_ids_unrestrictedwarn/criticalAuthentifizierte Hook-Aufrufer können an jeden konfigurierten Agent weiterleitenhooks.allowedAgentIdsnein
hooks.request_session_key_enabledwarn/criticalExterner Aufrufer kann sessionKey wählenhooks.allowRequestSessionKeynein
hooks.request_session_key_prefixes_missingwarn/criticalKeine Begrenzung für Formen externer Sitzungsschlüsselhooks.allowedSessionKeyPrefixesnein
hooks.path_rootcriticalHook-Pfad ist /, wodurch Ingress leichter kollidieren oder fehlgeleitet werden kannhooks.pathnein
hooks.installs_unpinned_npm_specswarnHook-Installationsdatensätze sind nicht an unveränderliche npm-Spezifikationen gebundenHook-Installationsmetadatennein
hooks.installs_missing_integritywarnHook-Installationsdatensätzen fehlen IntegritätsmetadatenHook-Installationsmetadatennein
hooks.installs_version_driftwarnHook-Installationsdatensätze weichen von installierten Paketen abHook-Installationsmetadatennein
logging.redact_offwarnSensible Werte gelangen in Protokolle/Statuslogging.redactSensitiveja
browser.control_invalid_configwarnBrowser-Control-Konfiguration ist vor der Laufzeit ungültigbrowser.*nein
browser.control_no_authcriticalBrowser-Control ohne Token-/Passwortauthentifizierung offengelegtgateway.auth.*nein
browser.remote_cdp_httpwarnRemote-CDP über einfaches HTTP hat keine TransportverschlüsselungBrowser-Profil cdpUrlnein
browser.remote_cdp_private_hostwarnRemote-CDP zielt auf einen privaten/internen HostBrowser-Profil cdpUrl, browser.ssrfPolicy.*nein
sandbox.docker_config_mode_offwarnSandbox-Docker-Konfiguration vorhanden, aber inaktivagents.*.sandbox.modenein
sandbox.bind_mount_non_absolutewarnRelative Bind-Mounts können unvorhersehbar aufgelöst werdenagents.*.sandbox.docker.binds[]nein
sandbox.dangerous_bind_mountcriticalSandbox-Bind-Mount zielt auf blockierte System-, Anmeldeinformations- oder Docker-Socket-Pfadeagents.*.sandbox.docker.binds[]nein
sandbox.dangerous_network_modecriticalSandbox-Docker-Netzwerk verwendet host- oder container:*-Namespace-Join-Modusagents.*.sandbox.docker.networknein
sandbox.dangerous_seccomp_profilecriticalSandbox-seccomp-Profil schwächt Container-Isolationagents.*.sandbox.docker.securityOptnein
sandbox.dangerous_apparmor_profilecriticalSandbox-AppArmor-Profil schwächt Container-Isolationagents.*.sandbox.docker.securityOptnein
sandbox.browser_cdp_bridge_unrestrictedwarnSandbox-Browser-Bridge ist ohne Quellbereichsbeschränkung offengelegtsandbox.browser.cdpSourceRangenein
sandbox.browser_container.non_loopback_publishcriticalVorhandener Browser-Container veröffentlicht CDP auf Nicht-Loopback-SchnittstellenVeröffentlichungs-Konfiguration des Browser-Sandbox-Containersnein
sandbox.browser_container.hash_label_missingwarnVorhandener Browser-Container stammt aus der Zeit vor den aktuellen Konfigurations-Hash-Labelsopenclaw sandbox recreate --browser --allnein
sandbox.browser_container.hash_epoch_stalewarnVorhandener Browser-Container stammt aus der Zeit vor der aktuellen Browser-Konfigurationsepocheopenclaw sandbox recreate --browser --allnein
tools.exec.host_sandbox_no_sandbox_defaultswarnexec host=sandbox schlägt geschlossen fehl, wenn die Sandbox deaktiviert isttools.exec.host, agents.defaults.sandbox.modenein
tools.exec.host_sandbox_no_sandbox_agentswarnAgent-spezifisches exec host=sandbox schlägt geschlossen fehl, wenn die Sandbox deaktiviert istagents.list[].tools.exec.host, agents.list[].sandbox.modenein
tools.exec.security_full_configuredwarn/criticalHost-Exec läuft mit security="full"tools.exec.security, agents.list[].tools.exec.securitynein
tools.exec.agent_skill_mcp_boundary_driftwarnAgent-Skill-Erlaubnislisten sind vorhanden, während Host-Exec MCP-Clients/-Registrierungen erreichen kannagents.list[].tools.exec.*, Sandbox-/OS-Isolation, MCP-Server-Anmeldeinformationennein
tools.exec.fs_tools_disabled_but_exec_enabledwarnDateisystem-Tool-Richtlinie macht Shell-Ausführung nicht schreibgeschützttools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccessnein
tools.exec.auto_allow_skills_enabledwarnExec-Genehmigungen vertrauen Skill-Binärdateien implizitHost-Genehmigungsdateinein
tools.exec.allowlist_interpreter_without_strict_inline_evalwarnInterpreter-Erlaubnislisten erlauben Inline-Eval ohne erzwungene erneute Genehmigungtools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, Exec-Genehmigungs-Erlaubnislistenein
tools.exec.safe_bins_interpreter_unprofiledwarnInterpreter-/Laufzeit-Binärdateien in safeBins ohne explizite Profile erweitern das Exec-Risikotools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.*nein
tools.exec.safe_bins_broad_behaviorwarnTools mit breitem Verhalten in safeBins schwächen das Low-Risk-Vertrauensmodell mit stdin-Filtertools.exec.safeBins, agents.list[].tools.exec.safeBinsnein
tools.exec.safe_bin_trusted_dirs_riskywarnsafeBinTrustedDirs enthält veränderbare oder riskante Verzeichnissetools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirsno
skills.workspace.symlink_escapewarnWorkspace skills/**/SKILL.md wird außerhalb des Workspace-Stammverzeichnisses aufgelöst (Symlink-Ketten-Abweichung)Dateisystemzustand von Workspace skills/**no
plugins.extensions_no_allowlistwarnPlugins werden ohne explizite Plugin-Allowlist installiertplugins.allowlistno
plugins.installs_unpinned_npm_specswarnPlugin-Indexeinträge sind nicht auf unveränderliche npm-Spezifikationen fixiertPlugin-Installationsmetadatenno
plugins.installs_missing_integritywarnPlugin-Indexeinträgen fehlen IntegritätsmetadatenPlugin-Installationsmetadatenno
plugins.installs_version_driftwarnPlugin-Indexeinträge weichen von installierten Paketen abPlugin-Installationsmetadatenno
plugins.code_safetywarn/criticalPlugin-Code-Scan hat verdächtige oder gefährliche Muster gefundenPlugin-Code / Installationsquelleno
plugins.code_safety.entry_pathwarnPlugin-Einstiegspfad verweist auf versteckte Speicherorte oder node_modules-SpeicherortePlugin-Manifest entryno
plugins.code_safety.entry_escapecriticalPlugin-Einstieg verlässt das Plugin-VerzeichnisPlugin-Manifest entryno
plugins.code_safety.scan_failedwarnPlugin-Code-Scan konnte nicht abgeschlossen werdenPlugin-Pfad / Scan-Umgebungno
skills.code_safetywarn/criticalSkill-Installer-Metadaten/-Code enthält verdächtige oder gefährliche MusterSkill-Installationsquelleno
skills.code_safety.scan_failedwarnSkill-Code-Scan konnte nicht abgeschlossen werdenSkill-Scan-Umgebungno
security.exposure.open_channels_with_execwarn/criticalGemeinsame/öffentliche Räume können Agenten mit aktivierter Ausführung erreichenchannels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.*no
security.exposure.open_groups_with_elevatedcriticalOffene DMs/Gruppen + erhöhte Tools erzeugen Prompt-Injection-Pfade mit hoher AuswirkungDM-Richtlinienpfade auf oberster Ebene oder verschachtelt, Konto-Overrides, channels.*.groupPolicyno
security.exposure.open_groups_with_runtime_or_fscritical/warnOffene DMs/Gruppen können Befehls-/Datei-Tools ohne Sandbox-/Workspace-Schutzmaßnahmen erreichenDM-/Gruppen-Richtlinienpfade, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.modeno
security.trust_model.multi_user_heuristicwarnKonfiguration wirkt wie Mehrbenutzerbetrieb, während das Gateway-Vertrauensmodell ein persönlicher Assistent istgetrennte Vertrauensgrenzen oder Absicherung für gemeinsame Benutzer (sandbox.mode, Tool-Deny-/Workspace-Eingrenzung)no
tools.profile_minimal_overriddenwarnAgent-Overrides umgehen das globale Minimalprofilagents.list[].tools.profileno
plugins.tools_reachable_permissive_policywarnExtension-Tools sind in permissiven Kontexten erreichbartools.profile + Tool-Allow/Denyno
models.legacywarnLegacy-Modellfamilien sind weiterhin konfiguriertModellauswahlno
models.weak_tierwarnKonfigurierte Modelle liegen unter den derzeit empfohlenen StufenModellauswahlno
models.small_paramscritical/infoKleine Modelle + unsichere Tool-Oberflächen erhöhen das Injection-RisikoModellwahl + Sandbox-/Tool-Richtlinieno
summary.attack_surfaceinfoZusammenfassende Übersicht über Authentifizierungs-, Kanal-, Tool- und Exposure-Statusmehrere Schlüssel (siehe Befunddetails)no

Verwandte Themen