fs.state_dir.perms_world_writable | kritisch | Andere Benutzer/Prozesse können den gesamten OpenClaw-Zustand ändern | Dateisystemberechtigungen für ~/.openclaw | ja |
fs.state_dir.perms_group_writable | Warnung | Gruppenbenutzer können den gesamten OpenClaw-Zustand ändern | Dateisystemberechtigungen für ~/.openclaw | ja |
fs.state_dir.perms_readable | Warnung | Das Zustandsverzeichnis ist für andere lesbar | Dateisystemberechtigungen für ~/.openclaw | ja |
fs.state_dir.symlink | Warnung | Das Ziel des Zustandsverzeichnisses wird zu einer weiteren Vertrauensgrenze | Dateisystemlayout des Zustandsverzeichnisses | nein |
fs.config.perms_writable | kritisch | Andere können Auth-/Tool-Richtlinien/Konfiguration ändern | Dateisystemberechtigungen für ~/.openclaw/openclaw.json | ja |
fs.config.symlink | Warnung | Per Symlink verknüpfte Konfigurationsdateien werden für Schreibvorgänge nicht unterstützt und fügen eine weitere Vertrauensgrenze hinzu | durch eine reguläre Konfigurationsdatei ersetzen oder OPENCLAW_CONFIG_PATH auf die echte Datei zeigen | nein |
fs.config.perms_group_readable | Warnung | Gruppenbenutzer können Konfigurationstokens/-einstellungen lesen | Dateisystemberechtigungen für die Konfigurationsdatei | ja |
fs.config.perms_world_readable | kritisch | Die Konfiguration kann Tokens/Einstellungen offenlegen | Dateisystemberechtigungen für die Konfigurationsdatei | ja |
fs.config_include.perms_writable | kritisch | Die eingebundene Konfigurationsdatei kann von anderen geändert werden | Berechtigungen der Include-Datei, auf die aus openclaw.json verwiesen wird | ja |
fs.config_include.perms_group_readable | Warnung | Gruppenbenutzer können eingebundene Secrets/Einstellungen lesen | Berechtigungen der Include-Datei, auf die aus openclaw.json verwiesen wird | ja |
fs.config_include.perms_world_readable | kritisch | Eingebundene Secrets/Einstellungen sind weltweit lesbar | Berechtigungen der Include-Datei, auf die aus openclaw.json verwiesen wird | ja |
fs.auth_profiles.perms_writable | kritisch | Andere können gespeicherte Modell-Zugangsdaten einschleusen oder ersetzen | Berechtigungen für agents/<agentId>/agent/auth-profiles.json | ja |
fs.auth_profiles.perms_readable | Warnung | Andere können API-Schlüssel und OAuth-Tokens lesen | Berechtigungen für agents/<agentId>/agent/auth-profiles.json | ja |
fs.credentials_dir.perms_writable | kritisch | Andere können Channel-Pairing-/Zugangsdatenzustand ändern | Dateisystemberechtigungen für ~/.openclaw/credentials | ja |
fs.credentials_dir.perms_readable | Warnung | Andere können Channel-Zugangsdatenzustand lesen | Dateisystemberechtigungen für ~/.openclaw/credentials | ja |
fs.sessions_store.perms_readable | Warnung | Andere können Sitzungstranskripte/-metadaten lesen | Berechtigungen des Sitzungsspeichers | ja |
fs.log_file.perms_readable | Warnung | Andere können redigierte, aber weiterhin sensible Logs lesen | Berechtigungen der Gateway-Logdatei | ja |
fs.synced_dir | Warnung | Zustand/Konfiguration in iCloud/Dropbox/Drive erweitert die Offenlegung von Tokens/Transkripten | Konfiguration/Zustand aus synchronisierten Ordnern verschieben | nein |
gateway.bind_no_auth | kritisch | Remote-Bind ohne gemeinsames Secret | gateway.bind, gateway.auth.* | nein |
gateway.loopback_no_auth | kritisch | Per Reverse Proxy bereitgestellter Loopback kann unauthentifiziert werden | gateway.auth.*, Proxy-Einrichtung | nein |
gateway.trusted_proxies_missing | Warnung | Reverse-Proxy-Header sind vorhanden, aber nicht vertrauenswürdig | gateway.trustedProxies | nein |
gateway.http.no_auth | Warnung/kritisch | Gateway-HTTP-APIs sind mit auth.mode="none" erreichbar | gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpc | nein |
gateway.http.session_key_override_enabled | Info | HTTP-API-Aufrufer können sessionKey überschreiben | gateway.http.allowSessionKeyOverride | nein |
gateway.tools_invoke_http.dangerous_allow | Warnung/kritisch | Aktiviert gefährliche Tools über die HTTP-API für Owner-/Admin-Aufrufer erneut | gateway.tools.allow | nein |
gateway.nodes.allow_commands_dangerous | Warnung/kritisch | Aktiviert folgenreiche Node-Befehle (Kamera/Bildschirm/Kontakte/Kalender/SMS) | gateway.nodes.allowCommands | nein |
gateway.nodes.deny_commands_ineffective | Warnung | Musterähnliche Verweigern-Einträge stimmen nicht mit Shell-Text oder Gruppen überein | gateway.nodes.denyCommands | nein |
gateway.tailscale_funnel | kritisch | Offenlegung im öffentlichen Internet | gateway.tailscale.mode | nein |
gateway.tailscale_serve | Info | Tailnet-Offenlegung ist über Serve aktiviert | gateway.tailscale.mode | nein |
gateway.control_ui.allowed_origins_required | kritisch | Nicht-Loopback-Control-UI ohne explizite Browser-Origin-Allowlist | gateway.controlUi.allowedOrigins | nein |
gateway.control_ui.allowed_origins_wildcard | Warnung/kritisch | allowedOrigins=["*"] deaktiviert die Browser-Origin-Allowlist | gateway.controlUi.allowedOrigins | nein |
gateway.control_ui.host_header_origin_fallback | Warnung/kritisch | Aktiviert den Host-Header-Origin-Fallback (Herabstufung der Härtung gegen DNS-Rebinding) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback | nein |
gateway.control_ui.insecure_auth | Warnung | Kompatibilitätsschalter für unsichere Authentifizierung ist aktiviert | gateway.controlUi.allowInsecureAuth | nein |
gateway.control_ui.device_auth_disabled | kritisch | Deaktiviert die Geräteidentitätsprüfung | gateway.controlUi.dangerouslyDisableDeviceAuth | nein |
gateway.real_ip_fallback_enabled | Warnung/kritisch | Vertrauen in den X-Real-IP-Fallback kann Source-IP-Spoofing durch Proxy-Fehlkonfiguration ermöglichen | gateway.allowRealIpFallback, gateway.trustedProxies | nein |
gateway.token_too_short | Warnung | Ein kurzes gemeinsames Token lässt sich leichter per Brute Force angreifen | gateway.auth.token | nein |
gateway.auth_no_rate_limit | Warnung | Offen zugängliche Authentifizierung ohne Rate Limiting erhöht das Brute-Force-Risiko | gateway.auth.rateLimit | nein |
gateway.trusted_proxy_auth | kritisch | Die Proxy-Identität wird nun zur Authentifizierungsgrenze | gateway.auth.mode="trusted-proxy" | nein |
gateway.trusted_proxy_no_proxies | kritisch | Trusted-Proxy-Authentifizierung ohne vertrauenswürdige Proxy-IPs ist unsicher | gateway.trustedProxies | nein |
gateway.trusted_proxy_no_user_header | kritisch | Trusted-Proxy-Authentifizierung kann Benutzeridentität nicht sicher auflösen | gateway.auth.trustedProxy.userHeader | nein |
gateway.trusted_proxy_no_allowlist | Warnung | Trusted-Proxy-Authentifizierung akzeptiert jeden authentifizierten Upstream-Benutzer | gateway.auth.trustedProxy.allowUsers | nein |
gateway.trusted_proxy_allow_loopback | warn | Trusted-Proxy-Authentifizierung akzeptiert explizit erlaubte Loopback-Proxy-Quellen | gateway.auth.trustedProxy.allowLoopback | nein |
gateway.probe_auth_secretref_unavailable | warn | Deep-Probe konnte Auth-SecretRefs in diesem Befehlspfad nicht auflösen | Deep-Probe-Auth-Quelle / SecretRef-Verfügbarkeit | nein |
gateway.probe_failed | warn/critical | Live-Gateway-Prüfung fehlgeschlagen | Gateway-Erreichbarkeit/-Authentifizierung | nein |
discovery.mdns_full_mode | warn/critical | mDNS-Vollmodus kündigt cliPath/sshPort-Metadaten im lokalen Netzwerk an | discovery.mdns.mode, gateway.bind | nein |
config.insecure_or_dangerous_flags | warn | Ein unsicheres/gefährliches Debug-Flag ist aktiviert | im Befunddetail benannter Schlüssel | nein |
security.audit.suppressions.active | info | Audit-Ausgabe hat konfigurierte Unterdrückungen und kann gefiltert sein | security.audit.suppressions | nein |
config.secrets.gateway_password_in_config | warn | Gateway-Passwort wird direkt in der Konfiguration gespeichert | gateway.auth.password | nein |
config.secrets.hooks_token_in_config | warn | Hook-Bearer-Token wird direkt in der Konfiguration gespeichert | hooks.token | nein |
hooks.token_reuse_gateway_token | critical | Hook-Ingress-Token entsperrt auch die Gateway-Authentifizierung | hooks.token, gateway.auth.token, gateway.auth.password | nein |
hooks.token_too_short | warn | Einfacheres Brute-Forcing auf Hook-Ingress | hooks.token | nein |
hooks.default_session_key_unset | warn | Hook-Agent-Läufe fächern in generierte Sitzungen pro Anfrage auf | hooks.defaultSessionKey | nein |
hooks.allowed_agent_ids_unrestricted | warn/critical | Authentifizierte Hook-Aufrufer können an jeden konfigurierten Agent weiterleiten | hooks.allowedAgentIds | nein |
hooks.request_session_key_enabled | warn/critical | Externer Aufrufer kann sessionKey wählen | hooks.allowRequestSessionKey | nein |
hooks.request_session_key_prefixes_missing | warn/critical | Keine Begrenzung für Formen externer Sitzungsschlüssel | hooks.allowedSessionKeyPrefixes | nein |
hooks.path_root | critical | Hook-Pfad ist /, wodurch Ingress leichter kollidieren oder fehlgeleitet werden kann | hooks.path | nein |
hooks.installs_unpinned_npm_specs | warn | Hook-Installationsdatensätze sind nicht an unveränderliche npm-Spezifikationen gebunden | Hook-Installationsmetadaten | nein |
hooks.installs_missing_integrity | warn | Hook-Installationsdatensätzen fehlen Integritätsmetadaten | Hook-Installationsmetadaten | nein |
hooks.installs_version_drift | warn | Hook-Installationsdatensätze weichen von installierten Paketen ab | Hook-Installationsmetadaten | nein |
logging.redact_off | warn | Sensible Werte gelangen in Protokolle/Status | logging.redactSensitive | ja |
browser.control_invalid_config | warn | Browser-Control-Konfiguration ist vor der Laufzeit ungültig | browser.* | nein |
browser.control_no_auth | critical | Browser-Control ohne Token-/Passwortauthentifizierung offengelegt | gateway.auth.* | nein |
browser.remote_cdp_http | warn | Remote-CDP über einfaches HTTP hat keine Transportverschlüsselung | Browser-Profil cdpUrl | nein |
browser.remote_cdp_private_host | warn | Remote-CDP zielt auf einen privaten/internen Host | Browser-Profil cdpUrl, browser.ssrfPolicy.* | nein |
sandbox.docker_config_mode_off | warn | Sandbox-Docker-Konfiguration vorhanden, aber inaktiv | agents.*.sandbox.mode | nein |
sandbox.bind_mount_non_absolute | warn | Relative Bind-Mounts können unvorhersehbar aufgelöst werden | agents.*.sandbox.docker.binds[] | nein |
sandbox.dangerous_bind_mount | critical | Sandbox-Bind-Mount zielt auf blockierte System-, Anmeldeinformations- oder Docker-Socket-Pfade | agents.*.sandbox.docker.binds[] | nein |
sandbox.dangerous_network_mode | critical | Sandbox-Docker-Netzwerk verwendet host- oder container:*-Namespace-Join-Modus | agents.*.sandbox.docker.network | nein |
sandbox.dangerous_seccomp_profile | critical | Sandbox-seccomp-Profil schwächt Container-Isolation | agents.*.sandbox.docker.securityOpt | nein |
sandbox.dangerous_apparmor_profile | critical | Sandbox-AppArmor-Profil schwächt Container-Isolation | agents.*.sandbox.docker.securityOpt | nein |
sandbox.browser_cdp_bridge_unrestricted | warn | Sandbox-Browser-Bridge ist ohne Quellbereichsbeschränkung offengelegt | sandbox.browser.cdpSourceRange | nein |
sandbox.browser_container.non_loopback_publish | critical | Vorhandener Browser-Container veröffentlicht CDP auf Nicht-Loopback-Schnittstellen | Veröffentlichungs-Konfiguration des Browser-Sandbox-Containers | nein |
sandbox.browser_container.hash_label_missing | warn | Vorhandener Browser-Container stammt aus der Zeit vor den aktuellen Konfigurations-Hash-Labels | openclaw sandbox recreate --browser --all | nein |
sandbox.browser_container.hash_epoch_stale | warn | Vorhandener Browser-Container stammt aus der Zeit vor der aktuellen Browser-Konfigurationsepoche | openclaw sandbox recreate --browser --all | nein |
tools.exec.host_sandbox_no_sandbox_defaults | warn | exec host=sandbox schlägt geschlossen fehl, wenn die Sandbox deaktiviert ist | tools.exec.host, agents.defaults.sandbox.mode | nein |
tools.exec.host_sandbox_no_sandbox_agents | warn | Agent-spezifisches exec host=sandbox schlägt geschlossen fehl, wenn die Sandbox deaktiviert ist | agents.list[].tools.exec.host, agents.list[].sandbox.mode | nein |
tools.exec.security_full_configured | warn/critical | Host-Exec läuft mit security="full" | tools.exec.security, agents.list[].tools.exec.security | nein |
tools.exec.agent_skill_mcp_boundary_drift | warn | Agent-Skill-Erlaubnislisten sind vorhanden, während Host-Exec MCP-Clients/-Registrierungen erreichen kann | agents.list[].tools.exec.*, Sandbox-/OS-Isolation, MCP-Server-Anmeldeinformationen | nein |
tools.exec.fs_tools_disabled_but_exec_enabled | warn | Dateisystem-Tool-Richtlinie macht Shell-Ausführung nicht schreibgeschützt | tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess | nein |
tools.exec.auto_allow_skills_enabled | warn | Exec-Genehmigungen vertrauen Skill-Binärdateien implizit | Host-Genehmigungsdatei | nein |
tools.exec.allowlist_interpreter_without_strict_inline_eval | warn | Interpreter-Erlaubnislisten erlauben Inline-Eval ohne erzwungene erneute Genehmigung | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, Exec-Genehmigungs-Erlaubnisliste | nein |
tools.exec.safe_bins_interpreter_unprofiled | warn | Interpreter-/Laufzeit-Binärdateien in safeBins ohne explizite Profile erweitern das Exec-Risiko | tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* | nein |
tools.exec.safe_bins_broad_behavior | warn | Tools mit breitem Verhalten in safeBins schwächen das Low-Risk-Vertrauensmodell mit stdin-Filter | tools.exec.safeBins, agents.list[].tools.exec.safeBins | nein |
tools.exec.safe_bin_trusted_dirs_risky | warn | safeBinTrustedDirs enthält veränderbare oder riskante Verzeichnisse | tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs | no |
skills.workspace.symlink_escape | warn | Workspace skills/**/SKILL.md wird außerhalb des Workspace-Stammverzeichnisses aufgelöst (Symlink-Ketten-Abweichung) | Dateisystemzustand von Workspace skills/** | no |
plugins.extensions_no_allowlist | warn | Plugins werden ohne explizite Plugin-Allowlist installiert | plugins.allowlist | no |
plugins.installs_unpinned_npm_specs | warn | Plugin-Indexeinträge sind nicht auf unveränderliche npm-Spezifikationen fixiert | Plugin-Installationsmetadaten | no |
plugins.installs_missing_integrity | warn | Plugin-Indexeinträgen fehlen Integritätsmetadaten | Plugin-Installationsmetadaten | no |
plugins.installs_version_drift | warn | Plugin-Indexeinträge weichen von installierten Paketen ab | Plugin-Installationsmetadaten | no |
plugins.code_safety | warn/critical | Plugin-Code-Scan hat verdächtige oder gefährliche Muster gefunden | Plugin-Code / Installationsquelle | no |
plugins.code_safety.entry_path | warn | Plugin-Einstiegspfad verweist auf versteckte Speicherorte oder node_modules-Speicherorte | Plugin-Manifest entry | no |
plugins.code_safety.entry_escape | critical | Plugin-Einstieg verlässt das Plugin-Verzeichnis | Plugin-Manifest entry | no |
plugins.code_safety.scan_failed | warn | Plugin-Code-Scan konnte nicht abgeschlossen werden | Plugin-Pfad / Scan-Umgebung | no |
skills.code_safety | warn/critical | Skill-Installer-Metadaten/-Code enthält verdächtige oder gefährliche Muster | Skill-Installationsquelle | no |
skills.code_safety.scan_failed | warn | Skill-Code-Scan konnte nicht abgeschlossen werden | Skill-Scan-Umgebung | no |
security.exposure.open_channels_with_exec | warn/critical | Gemeinsame/öffentliche Räume können Agenten mit aktivierter Ausführung erreichen | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* | no |
security.exposure.open_groups_with_elevated | critical | Offene DMs/Gruppen + erhöhte Tools erzeugen Prompt-Injection-Pfade mit hoher Auswirkung | DM-Richtlinienpfade auf oberster Ebene oder verschachtelt, Konto-Overrides, channels.*.groupPolicy | no |
security.exposure.open_groups_with_runtime_or_fs | critical/warn | Offene DMs/Gruppen können Befehls-/Datei-Tools ohne Sandbox-/Workspace-Schutzmaßnahmen erreichen | DM-/Gruppen-Richtlinienpfade, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode | no |
security.trust_model.multi_user_heuristic | warn | Konfiguration wirkt wie Mehrbenutzerbetrieb, während das Gateway-Vertrauensmodell ein persönlicher Assistent ist | getrennte Vertrauensgrenzen oder Absicherung für gemeinsame Benutzer (sandbox.mode, Tool-Deny-/Workspace-Eingrenzung) | no |
tools.profile_minimal_overridden | warn | Agent-Overrides umgehen das globale Minimalprofil | agents.list[].tools.profile | no |
plugins.tools_reachable_permissive_policy | warn | Extension-Tools sind in permissiven Kontexten erreichbar | tools.profile + Tool-Allow/Deny | no |
models.legacy | warn | Legacy-Modellfamilien sind weiterhin konfiguriert | Modellauswahl | no |
models.weak_tier | warn | Konfigurierte Modelle liegen unter den derzeit empfohlenen Stufen | Modellauswahl | no |
models.small_params | critical/info | Kleine Modelle + unsichere Tool-Oberflächen erhöhen das Injection-Risiko | Modellwahl + Sandbox-/Tool-Richtlinie | no |
summary.attack_surface | info | Zusammenfassende Übersicht über Authentifizierungs-, Kanal-, Tool- und Exposure-Status | mehrere Schlüssel (siehe Befunddetails) | no |