> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Sicherheitsaudit-Prüfungen

`openclaw security audit` gibt strukturierte Befunde aus, die nach `checkId` geschlüsselt sind. Diese
Seite ist der Referenzkatalog für diese IDs. Das übergeordnete Bedrohungsmodell
und Hinweise zur Härtung finden Sie unter [Sicherheit](/de/gateway/security).

Aussagekräftige `checkId`-Werte, die Sie in realen Bereitstellungen am ehesten sehen werden (nicht
vollständig):

| `checkId`                                                     | Schweregrad      | Warum es wichtig ist                                                                                                                    | Primärer Behebungsschlüssel/-pfad                                                                                       | Automatische Behebung |
| ------------------------------------------------------------- | ---------------- | --------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------- | --------------------- |
| `fs.state_dir.perms_world_writable`                           | kritisch         | Andere Benutzer/Prozesse können den gesamten OpenClaw-Zustand ändern                                                                    | Dateisystemberechtigungen für `~/.openclaw`                                                                             | ja                    |
| `fs.state_dir.perms_group_writable`                           | Warnung          | Gruppenbenutzer können den gesamten OpenClaw-Zustand ändern                                                                             | Dateisystemberechtigungen für `~/.openclaw`                                                                             | ja                    |
| `fs.state_dir.perms_readable`                                 | Warnung          | Das Zustandsverzeichnis ist für andere lesbar                                                                                           | Dateisystemberechtigungen für `~/.openclaw`                                                                             | ja                    |
| `fs.state_dir.symlink`                                        | Warnung          | Das Ziel des Zustandsverzeichnisses wird zu einer weiteren Vertrauensgrenze                                                             | Dateisystemlayout des Zustandsverzeichnisses                                                                            | nein                  |
| `fs.config.perms_writable`                                    | kritisch         | Andere können Auth-/Tool-Richtlinien/Konfiguration ändern                                                                               | Dateisystemberechtigungen für `~/.openclaw/openclaw.json`                                                               | ja                    |
| `fs.config.symlink`                                           | Warnung          | Per Symlink verknüpfte Konfigurationsdateien werden für Schreibvorgänge nicht unterstützt und fügen eine weitere Vertrauensgrenze hinzu | durch eine reguläre Konfigurationsdatei ersetzen oder `OPENCLAW_CONFIG_PATH` auf die echte Datei zeigen                 | nein                  |
| `fs.config.perms_group_readable`                              | Warnung          | Gruppenbenutzer können Konfigurationstokens/-einstellungen lesen                                                                        | Dateisystemberechtigungen für die Konfigurationsdatei                                                                   | ja                    |
| `fs.config.perms_world_readable`                              | kritisch         | Die Konfiguration kann Tokens/Einstellungen offenlegen                                                                                  | Dateisystemberechtigungen für die Konfigurationsdatei                                                                   | ja                    |
| `fs.config_include.perms_writable`                            | kritisch         | Die eingebundene Konfigurationsdatei kann von anderen geändert werden                                                                   | Berechtigungen der Include-Datei, auf die aus `openclaw.json` verwiesen wird                                            | ja                    |
| `fs.config_include.perms_group_readable`                      | Warnung          | Gruppenbenutzer können eingebundene Secrets/Einstellungen lesen                                                                         | Berechtigungen der Include-Datei, auf die aus `openclaw.json` verwiesen wird                                            | ja                    |
| `fs.config_include.perms_world_readable`                      | kritisch         | Eingebundene Secrets/Einstellungen sind weltweit lesbar                                                                                 | Berechtigungen der Include-Datei, auf die aus `openclaw.json` verwiesen wird                                            | ja                    |
| `fs.auth_profiles.perms_writable`                             | kritisch         | Andere können gespeicherte Modell-Zugangsdaten einschleusen oder ersetzen                                                               | Berechtigungen für `agents/<agentId>/agent/auth-profiles.json`                                                          | ja                    |
| `fs.auth_profiles.perms_readable`                             | Warnung          | Andere können API-Schlüssel und OAuth-Tokens lesen                                                                                      | Berechtigungen für `agents/<agentId>/agent/auth-profiles.json`                                                          | ja                    |
| `fs.credentials_dir.perms_writable`                           | kritisch         | Andere können Channel-Pairing-/Zugangsdatenzustand ändern                                                                               | Dateisystemberechtigungen für `~/.openclaw/credentials`                                                                 | ja                    |
| `fs.credentials_dir.perms_readable`                           | Warnung          | Andere können Channel-Zugangsdatenzustand lesen                                                                                         | Dateisystemberechtigungen für `~/.openclaw/credentials`                                                                 | ja                    |
| `fs.sessions_store.perms_readable`                            | Warnung          | Andere können Sitzungstranskripte/-metadaten lesen                                                                                      | Berechtigungen des Sitzungsspeichers                                                                                    | ja                    |
| `fs.log_file.perms_readable`                                  | Warnung          | Andere können redigierte, aber weiterhin sensible Logs lesen                                                                            | Berechtigungen der Gateway-Logdatei                                                                                     | ja                    |
| `fs.synced_dir`                                               | Warnung          | Zustand/Konfiguration in iCloud/Dropbox/Drive erweitert die Offenlegung von Tokens/Transkripten                                         | Konfiguration/Zustand aus synchronisierten Ordnern verschieben                                                          | nein                  |
| `gateway.bind_no_auth`                                        | kritisch         | Remote-Bind ohne gemeinsames Secret                                                                                                     | `gateway.bind`, `gateway.auth.*`                                                                                        | nein                  |
| `gateway.loopback_no_auth`                                    | kritisch         | Per Reverse Proxy bereitgestellter Loopback kann unauthentifiziert werden                                                               | `gateway.auth.*`, Proxy-Einrichtung                                                                                     | nein                  |
| `gateway.trusted_proxies_missing`                             | Warnung          | Reverse-Proxy-Header sind vorhanden, aber nicht vertrauenswürdig                                                                        | `gateway.trustedProxies`                                                                                                | nein                  |
| `gateway.http.no_auth`                                        | Warnung/kritisch | Gateway-HTTP-APIs sind mit `auth.mode="none"` erreichbar                                                                                | `gateway.auth.mode`, `gateway.http.endpoints.*`, `plugins.entries.admin-http-rpc`                                       | nein                  |
| `gateway.http.session_key_override_enabled`                   | Info             | HTTP-API-Aufrufer können `sessionKey` überschreiben                                                                                     | `gateway.http.allowSessionKeyOverride`                                                                                  | nein                  |
| `gateway.tools_invoke_http.dangerous_allow`                   | Warnung/kritisch | Aktiviert gefährliche Tools über die HTTP-API für Owner-/Admin-Aufrufer erneut                                                          | `gateway.tools.allow`                                                                                                   | nein                  |
| `gateway.nodes.allow_commands_dangerous`                      | Warnung/kritisch | Aktiviert folgenreiche Node-Befehle (Kamera/Bildschirm/Kontakte/Kalender/SMS)                                                           | `gateway.nodes.allowCommands`                                                                                           | nein                  |
| `gateway.nodes.deny_commands_ineffective`                     | Warnung          | Musterähnliche Verweigern-Einträge stimmen nicht mit Shell-Text oder Gruppen überein                                                    | `gateway.nodes.denyCommands`                                                                                            | nein                  |
| `gateway.tailscale_funnel`                                    | kritisch         | Offenlegung im öffentlichen Internet                                                                                                    | `gateway.tailscale.mode`                                                                                                | nein                  |
| `gateway.tailscale_serve`                                     | Info             | Tailnet-Offenlegung ist über Serve aktiviert                                                                                            | `gateway.tailscale.mode`                                                                                                | nein                  |
| `gateway.control_ui.allowed_origins_required`                 | kritisch         | Nicht-Loopback-Control-UI ohne explizite Browser-Origin-Allowlist                                                                       | `gateway.controlUi.allowedOrigins`                                                                                      | nein                  |
| `gateway.control_ui.allowed_origins_wildcard`                 | Warnung/kritisch | `allowedOrigins=["*"]` deaktiviert die Browser-Origin-Allowlist                                                                         | `gateway.controlUi.allowedOrigins`                                                                                      | nein                  |
| `gateway.control_ui.host_header_origin_fallback`              | Warnung/kritisch | Aktiviert den Host-Header-Origin-Fallback (Herabstufung der Härtung gegen DNS-Rebinding)                                                | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`                                                            | nein                  |
| `gateway.control_ui.insecure_auth`                            | Warnung          | Kompatibilitätsschalter für unsichere Authentifizierung ist aktiviert                                                                   | `gateway.controlUi.allowInsecureAuth`                                                                                   | nein                  |
| `gateway.control_ui.device_auth_disabled`                     | kritisch         | Deaktiviert die Geräteidentitätsprüfung                                                                                                 | `gateway.controlUi.dangerouslyDisableDeviceAuth`                                                                        | nein                  |
| `gateway.real_ip_fallback_enabled`                            | Warnung/kritisch | Vertrauen in den `X-Real-IP`-Fallback kann Source-IP-Spoofing durch Proxy-Fehlkonfiguration ermöglichen                                 | `gateway.allowRealIpFallback`, `gateway.trustedProxies`                                                                 | nein                  |
| `gateway.token_too_short`                                     | Warnung          | Ein kurzes gemeinsames Token lässt sich leichter per Brute Force angreifen                                                              | `gateway.auth.token`                                                                                                    | nein                  |
| `gateway.auth_no_rate_limit`                                  | Warnung          | Offen zugängliche Authentifizierung ohne Rate Limiting erhöht das Brute-Force-Risiko                                                    | `gateway.auth.rateLimit`                                                                                                | nein                  |
| `gateway.trusted_proxy_auth`                                  | kritisch         | Die Proxy-Identität wird nun zur Authentifizierungsgrenze                                                                               | `gateway.auth.mode="trusted-proxy"`                                                                                     | nein                  |
| `gateway.trusted_proxy_no_proxies`                            | kritisch         | Trusted-Proxy-Authentifizierung ohne vertrauenswürdige Proxy-IPs ist unsicher                                                           | `gateway.trustedProxies`                                                                                                | nein                  |
| `gateway.trusted_proxy_no_user_header`                        | kritisch         | Trusted-Proxy-Authentifizierung kann Benutzeridentität nicht sicher auflösen                                                            | `gateway.auth.trustedProxy.userHeader`                                                                                  | nein                  |
| `gateway.trusted_proxy_no_allowlist`                          | Warnung          | Trusted-Proxy-Authentifizierung akzeptiert jeden authentifizierten Upstream-Benutzer                                                    | `gateway.auth.trustedProxy.allowUsers`                                                                                  | nein                  |
| `gateway.trusted_proxy_allow_loopback`                        | warn             | Trusted-Proxy-Authentifizierung akzeptiert explizit erlaubte Loopback-Proxy-Quellen                                                     | `gateway.auth.trustedProxy.allowLoopback`                                                                               | nein                  |
| `gateway.probe_auth_secretref_unavailable`                    | warn             | Deep-Probe konnte Auth-SecretRefs in diesem Befehlspfad nicht auflösen                                                                  | Deep-Probe-Auth-Quelle / SecretRef-Verfügbarkeit                                                                        | nein                  |
| `gateway.probe_failed`                                        | warn/critical    | Live-Gateway-Prüfung fehlgeschlagen                                                                                                     | Gateway-Erreichbarkeit/-Authentifizierung                                                                               | nein                  |
| `discovery.mdns_full_mode`                                    | warn/critical    | mDNS-Vollmodus kündigt `cliPath`/`sshPort`-Metadaten im lokalen Netzwerk an                                                             | `discovery.mdns.mode`, `gateway.bind`                                                                                   | nein                  |
| `config.insecure_or_dangerous_flags`                          | warn             | Ein unsicheres/gefährliches Debug-Flag ist aktiviert                                                                                    | im Befunddetail benannter Schlüssel                                                                                     | nein                  |
| `security.audit.suppressions.active`                          | info             | Audit-Ausgabe hat konfigurierte Unterdrückungen und kann gefiltert sein                                                                 | `security.audit.suppressions`                                                                                           | nein                  |
| `config.secrets.gateway_password_in_config`                   | warn             | Gateway-Passwort wird direkt in der Konfiguration gespeichert                                                                           | `gateway.auth.password`                                                                                                 | nein                  |
| `config.secrets.hooks_token_in_config`                        | warn             | Hook-Bearer-Token wird direkt in der Konfiguration gespeichert                                                                          | `hooks.token`                                                                                                           | nein                  |
| `hooks.token_reuse_gateway_token`                             | critical         | Hook-Ingress-Token entsperrt auch die Gateway-Authentifizierung                                                                         | `hooks.token`, `gateway.auth.token`, `gateway.auth.password`                                                            | nein                  |
| `hooks.token_too_short`                                       | warn             | Einfacheres Brute-Forcing auf Hook-Ingress                                                                                              | `hooks.token`                                                                                                           | nein                  |
| `hooks.default_session_key_unset`                             | warn             | Hook-Agent-Läufe fächern in generierte Sitzungen pro Anfrage auf                                                                        | `hooks.defaultSessionKey`                                                                                               | nein                  |
| `hooks.allowed_agent_ids_unrestricted`                        | warn/critical    | Authentifizierte Hook-Aufrufer können an jeden konfigurierten Agent weiterleiten                                                        | `hooks.allowedAgentIds`                                                                                                 | nein                  |
| `hooks.request_session_key_enabled`                           | warn/critical    | Externer Aufrufer kann sessionKey wählen                                                                                                | `hooks.allowRequestSessionKey`                                                                                          | nein                  |
| `hooks.request_session_key_prefixes_missing`                  | warn/critical    | Keine Begrenzung für Formen externer Sitzungsschlüssel                                                                                  | `hooks.allowedSessionKeyPrefixes`                                                                                       | nein                  |
| `hooks.path_root`                                             | critical         | Hook-Pfad ist `/`, wodurch Ingress leichter kollidieren oder fehlgeleitet werden kann                                                   | `hooks.path`                                                                                                            | nein                  |
| `hooks.installs_unpinned_npm_specs`                           | warn             | Hook-Installationsdatensätze sind nicht an unveränderliche npm-Spezifikationen gebunden                                                 | Hook-Installationsmetadaten                                                                                             | nein                  |
| `hooks.installs_missing_integrity`                            | warn             | Hook-Installationsdatensätzen fehlen Integritätsmetadaten                                                                               | Hook-Installationsmetadaten                                                                                             | nein                  |
| `hooks.installs_version_drift`                                | warn             | Hook-Installationsdatensätze weichen von installierten Paketen ab                                                                       | Hook-Installationsmetadaten                                                                                             | nein                  |
| `logging.redact_off`                                          | warn             | Sensible Werte gelangen in Protokolle/Status                                                                                            | `logging.redactSensitive`                                                                                               | ja                    |
| `browser.control_invalid_config`                              | warn             | Browser-Control-Konfiguration ist vor der Laufzeit ungültig                                                                             | `browser.*`                                                                                                             | nein                  |
| `browser.control_no_auth`                                     | critical         | Browser-Control ohne Token-/Passwortauthentifizierung offengelegt                                                                       | `gateway.auth.*`                                                                                                        | nein                  |
| `browser.remote_cdp_http`                                     | warn             | Remote-CDP über einfaches HTTP hat keine Transportverschlüsselung                                                                       | Browser-Profil `cdpUrl`                                                                                                 | nein                  |
| `browser.remote_cdp_private_host`                             | warn             | Remote-CDP zielt auf einen privaten/internen Host                                                                                       | Browser-Profil `cdpUrl`, `browser.ssrfPolicy.*`                                                                         | nein                  |
| `sandbox.docker_config_mode_off`                              | warn             | Sandbox-Docker-Konfiguration vorhanden, aber inaktiv                                                                                    | `agents.*.sandbox.mode`                                                                                                 | nein                  |
| `sandbox.bind_mount_non_absolute`                             | warn             | Relative Bind-Mounts können unvorhersehbar aufgelöst werden                                                                             | `agents.*.sandbox.docker.binds[]`                                                                                       | nein                  |
| `sandbox.dangerous_bind_mount`                                | critical         | Sandbox-Bind-Mount zielt auf blockierte System-, Anmeldeinformations- oder Docker-Socket-Pfade                                          | `agents.*.sandbox.docker.binds[]`                                                                                       | nein                  |
| `sandbox.dangerous_network_mode`                              | critical         | Sandbox-Docker-Netzwerk verwendet `host`- oder `container:*`-Namespace-Join-Modus                                                       | `agents.*.sandbox.docker.network`                                                                                       | nein                  |
| `sandbox.dangerous_seccomp_profile`                           | critical         | Sandbox-seccomp-Profil schwächt Container-Isolation                                                                                     | `agents.*.sandbox.docker.securityOpt`                                                                                   | nein                  |
| `sandbox.dangerous_apparmor_profile`                          | critical         | Sandbox-AppArmor-Profil schwächt Container-Isolation                                                                                    | `agents.*.sandbox.docker.securityOpt`                                                                                   | nein                  |
| `sandbox.browser_cdp_bridge_unrestricted`                     | warn             | Sandbox-Browser-Bridge ist ohne Quellbereichsbeschränkung offengelegt                                                                   | `sandbox.browser.cdpSourceRange`                                                                                        | nein                  |
| `sandbox.browser_container.non_loopback_publish`              | critical         | Vorhandener Browser-Container veröffentlicht CDP auf Nicht-Loopback-Schnittstellen                                                      | Veröffentlichungs-Konfiguration des Browser-Sandbox-Containers                                                          | nein                  |
| `sandbox.browser_container.hash_label_missing`                | warn             | Vorhandener Browser-Container stammt aus der Zeit vor den aktuellen Konfigurations-Hash-Labels                                          | `openclaw sandbox recreate --browser --all`                                                                             | nein                  |
| `sandbox.browser_container.hash_epoch_stale`                  | warn             | Vorhandener Browser-Container stammt aus der Zeit vor der aktuellen Browser-Konfigurationsepoche                                        | `openclaw sandbox recreate --browser --all`                                                                             | nein                  |
| `tools.exec.host_sandbox_no_sandbox_defaults`                 | warn             | `exec host=sandbox` schlägt geschlossen fehl, wenn die Sandbox deaktiviert ist                                                          | `tools.exec.host`, `agents.defaults.sandbox.mode`                                                                       | nein                  |
| `tools.exec.host_sandbox_no_sandbox_agents`                   | warn             | Agent-spezifisches `exec host=sandbox` schlägt geschlossen fehl, wenn die Sandbox deaktiviert ist                                       | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`                                                           | nein                  |
| `tools.exec.security_full_configured`                         | warn/critical    | Host-Exec läuft mit `security="full"`                                                                                                   | `tools.exec.security`, `agents.list[].tools.exec.security`                                                              | nein                  |
| `tools.exec.agent_skill_mcp_boundary_drift`                   | warn             | Agent-Skill-Erlaubnislisten sind vorhanden, während Host-Exec MCP-Clients/-Registrierungen erreichen kann                               | `agents.list[].tools.exec.*`, Sandbox-/OS-Isolation, MCP-Server-Anmeldeinformationen                                    | nein                  |
| `tools.exec.fs_tools_disabled_but_exec_enabled`               | warn             | Dateisystem-Tool-Richtlinie macht Shell-Ausführung nicht schreibgeschützt                                                               | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess`                                            | nein                  |
| `tools.exec.auto_allow_skills_enabled`                        | warn             | Exec-Genehmigungen vertrauen Skill-Binärdateien implizit                                                                                | Host-Genehmigungsdatei                                                                                                  | nein                  |
| `tools.exec.allowlist_interpreter_without_strict_inline_eval` | warn             | Interpreter-Erlaubnislisten erlauben Inline-Eval ohne erzwungene erneute Genehmigung                                                    | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, Exec-Genehmigungs-Erlaubnisliste            | nein                  |
| `tools.exec.safe_bins_interpreter_unprofiled`                 | warn             | Interpreter-/Laufzeit-Binärdateien in `safeBins` ohne explizite Profile erweitern das Exec-Risiko                                       | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`                                       | nein                  |
| `tools.exec.safe_bins_broad_behavior`                         | warn             | Tools mit breitem Verhalten in `safeBins` schwächen das Low-Risk-Vertrauensmodell mit stdin-Filter                                      | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`                                                              | nein                  |
| `tools.exec.safe_bin_trusted_dirs_risky`                      | warn             | `safeBinTrustedDirs` enthält veränderbare oder riskante Verzeichnisse                                                                   | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs`                                          | no                    |
| `skills.workspace.symlink_escape`                             | warn             | Workspace `skills/**/SKILL.md` wird außerhalb des Workspace-Stammverzeichnisses aufgelöst (Symlink-Ketten-Abweichung)                   | Dateisystemzustand von Workspace `skills/**`                                                                            | no                    |
| `plugins.extensions_no_allowlist`                             | warn             | Plugins werden ohne explizite Plugin-Allowlist installiert                                                                              | `plugins.allowlist`                                                                                                     | no                    |
| `plugins.installs_unpinned_npm_specs`                         | warn             | Plugin-Indexeinträge sind nicht auf unveränderliche npm-Spezifikationen fixiert                                                         | Plugin-Installationsmetadaten                                                                                           | no                    |
| `plugins.installs_missing_integrity`                          | warn             | Plugin-Indexeinträgen fehlen Integritätsmetadaten                                                                                       | Plugin-Installationsmetadaten                                                                                           | no                    |
| `plugins.installs_version_drift`                              | warn             | Plugin-Indexeinträge weichen von installierten Paketen ab                                                                               | Plugin-Installationsmetadaten                                                                                           | no                    |
| `plugins.code_safety`                                         | warn/critical    | Plugin-Code-Scan hat verdächtige oder gefährliche Muster gefunden                                                                       | Plugin-Code / Installationsquelle                                                                                       | no                    |
| `plugins.code_safety.entry_path`                              | warn             | Plugin-Einstiegspfad verweist auf versteckte Speicherorte oder `node_modules`-Speicherorte                                              | Plugin-Manifest `entry`                                                                                                 | no                    |
| `plugins.code_safety.entry_escape`                            | critical         | Plugin-Einstieg verlässt das Plugin-Verzeichnis                                                                                         | Plugin-Manifest `entry`                                                                                                 | no                    |
| `plugins.code_safety.scan_failed`                             | warn             | Plugin-Code-Scan konnte nicht abgeschlossen werden                                                                                      | Plugin-Pfad / Scan-Umgebung                                                                                             | no                    |
| `skills.code_safety`                                          | warn/critical    | Skill-Installer-Metadaten/-Code enthält verdächtige oder gefährliche Muster                                                             | Skill-Installationsquelle                                                                                               | no                    |
| `skills.code_safety.scan_failed`                              | warn             | Skill-Code-Scan konnte nicht abgeschlossen werden                                                                                       | Skill-Scan-Umgebung                                                                                                     | no                    |
| `security.exposure.open_channels_with_exec`                   | warn/critical    | Gemeinsame/öffentliche Räume können Agenten mit aktivierter Ausführung erreichen                                                        | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*`                           | no                    |
| `security.exposure.open_groups_with_elevated`                 | critical         | Offene DMs/Gruppen + erhöhte Tools erzeugen Prompt-Injection-Pfade mit hoher Auswirkung                                                 | DM-Richtlinienpfade auf oberster Ebene oder verschachtelt, Konto-Overrides, `channels.*.groupPolicy`                    | no                    |
| `security.exposure.open_groups_with_runtime_or_fs`            | critical/warn    | Offene DMs/Gruppen können Befehls-/Datei-Tools ohne Sandbox-/Workspace-Schutzmaßnahmen erreichen                                        | DM-/Gruppen-Richtlinienpfade, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode`                   | no                    |
| `security.trust_model.multi_user_heuristic`                   | warn             | Konfiguration wirkt wie Mehrbenutzerbetrieb, während das Gateway-Vertrauensmodell ein persönlicher Assistent ist                        | getrennte Vertrauensgrenzen oder Absicherung für gemeinsame Benutzer (`sandbox.mode`, Tool-Deny-/Workspace-Eingrenzung) | no                    |
| `tools.profile_minimal_overridden`                            | warn             | Agent-Overrides umgehen das globale Minimalprofil                                                                                       | `agents.list[].tools.profile`                                                                                           | no                    |
| `plugins.tools_reachable_permissive_policy`                   | warn             | Extension-Tools sind in permissiven Kontexten erreichbar                                                                                | `tools.profile` + Tool-Allow/Deny                                                                                       | no                    |
| `models.legacy`                                               | warn             | Legacy-Modellfamilien sind weiterhin konfiguriert                                                                                       | Modellauswahl                                                                                                           | no                    |
| `models.weak_tier`                                            | warn             | Konfigurierte Modelle liegen unter den derzeit empfohlenen Stufen                                                                       | Modellauswahl                                                                                                           | no                    |
| `models.small_params`                                         | critical/info    | Kleine Modelle + unsichere Tool-Oberflächen erhöhen das Injection-Risiko                                                                | Modellwahl + Sandbox-/Tool-Richtlinie                                                                                   | no                    |
| `summary.attack_surface`                                      | info             | Zusammenfassende Übersicht über Authentifizierungs-, Kanal-, Tool- und Exposure-Status                                                  | mehrere Schlüssel (siehe Befunddetails)                                                                                 | no                    |

## Verwandte Themen

* [Sicherheit](/de/gateway/security)
* [Konfiguration](/de/gateway/configuration)
* [Authentifizierung über vertrauenswürdigen Proxy](/de/gateway/trusted-proxy-auth)
