Passer au contenu principal
openclaw security audit émet des constats structurés indexés par checkId. Cette page est le catalogue de référence pour ces ID. Pour le modèle de menace général et les recommandations de durcissement, consultez Sécurité. Valeurs checkId à signal fort que vous verrez le plus probablement dans les déploiements réels (liste non exhaustive) :
checkIdGravitéPourquoi c’est importantClé/chemin du correctif principalCorrection automatique
fs.state_dir.perms_world_writablecritiqueD’autres utilisateurs/processus peuvent modifier tout l’état OpenClawpermissions du système de fichiers sur ~/.openclawoui
fs.state_dir.perms_group_writableavertissementLes utilisateurs du groupe peuvent modifier tout l’état OpenClawpermissions du système de fichiers sur ~/.openclawoui
fs.state_dir.perms_readableavertissementLe répertoire d’état est lisible par d’autrespermissions du système de fichiers sur ~/.openclawoui
fs.state_dir.symlinkavertissementLa cible du répertoire d’état devient une autre frontière de confianceagencement du système de fichiers du répertoire d’étatnon
fs.config.perms_writablecritiqueD’autres peuvent modifier la politique/configuration d’authentification et d’outilspermissions du système de fichiers sur ~/.openclaw/openclaw.jsonoui
fs.config.symlinkavertissementLes fichiers de configuration liés par symlink ne sont pas pris en charge pour les écritures et ajoutent une autre frontière de confianceremplacer par un fichier de configuration normal ou pointer OPENCLAW_CONFIG_PATH vers le vrai fichiernon
fs.config.perms_group_readableavertissementLes utilisateurs du groupe peuvent lire les jetons/paramètres de configurationpermissions du système de fichiers sur le fichier de configurationoui
fs.config.perms_world_readablecritiqueLa configuration peut exposer des jetons/paramètrespermissions du système de fichiers sur le fichier de configurationoui
fs.config_include.perms_writablecritiqueLe fichier d’inclusion de configuration peut être modifié par d’autrespermissions du fichier d’inclusion référencé depuis openclaw.jsonoui
fs.config_include.perms_group_readableavertissementLes utilisateurs du groupe peuvent lire les secrets/paramètres incluspermissions du fichier d’inclusion référencé depuis openclaw.jsonoui
fs.config_include.perms_world_readablecritiqueLes secrets/paramètres inclus sont lisibles par touspermissions du fichier d’inclusion référencé depuis openclaw.jsonoui
fs.auth_profiles.perms_writablecritiqueD’autres peuvent injecter ou remplacer les identifiants de modèle stockéspermissions de agents/<agentId>/agent/auth-profiles.jsonoui
fs.auth_profiles.perms_readableavertissementD’autres peuvent lire les clés API et les jetons OAuthpermissions de agents/<agentId>/agent/auth-profiles.jsonoui
fs.credentials_dir.perms_writablecritiqueD’autres peuvent modifier l’état d’appairage/d’identifiants du canalpermissions du système de fichiers sur ~/.openclaw/credentialsoui
fs.credentials_dir.perms_readableavertissementD’autres peuvent lire l’état des identifiants du canalpermissions du système de fichiers sur ~/.openclaw/credentialsoui
fs.sessions_store.perms_readableavertissementD’autres peuvent lire les transcriptions/métadonnées de sessionpermissions du magasin de sessionsoui
fs.log_file.perms_readableavertissementD’autres peuvent lire des journaux expurgés mais toujours sensiblespermissions du fichier journal du Gatewayoui
fs.synced_diravertissementL’état/configuration dans iCloud/Dropbox/Drive élargit l’exposition des jetons/transcriptionsdéplacer la configuration/l’état hors des dossiers synchronisésnon
gateway.bind_no_authcritiqueLiaison distante sans secret partagégateway.bind, gateway.auth.*non
gateway.loopback_no_authcritiqueUne boucle locale derrière un proxy inverse peut ne plus être authentifiéegateway.auth.*, configuration du proxynon
gateway.trusted_proxies_missingavertissementDes en-têtes de proxy inverse sont présents mais ne sont pas approuvésgateway.trustedProxiesnon
gateway.http.no_authavertissement/critiqueAPI HTTP du Gateway accessibles avec auth.mode="none"gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpcnon
gateway.http.session_key_override_enabledinformationLes appelants de l’API HTTP peuvent remplacer sessionKeygateway.http.allowSessionKeyOverridenon
gateway.tools_invoke_http.dangerous_allowavertissement/critiqueRéactive les outils dangereux via l’API HTTP pour les appelants propriétaire/admingateway.tools.allownon
gateway.nodes.allow_commands_dangerousavertissement/critiqueActive des commandes de nœud à fort impact (caméra/écran/contacts/calendrier/SMS)gateway.nodes.allowCommandsnon
gateway.nodes.deny_commands_ineffectiveavertissementLes entrées de refus de type motif ne correspondent pas au texte shell ni aux groupesgateway.nodes.denyCommandsnon
gateway.tailscale_funnelcritiqueExposition à l’Internet publicgateway.tailscale.modenon
gateway.tailscale_serveinformationL’exposition au Tailnet est activée via Servegateway.tailscale.modenon
gateway.control_ui.allowed_origins_requiredcritiqueControl UI hors boucle locale sans liste d’autorisation explicite des origines navigateurgateway.controlUi.allowedOriginsnon
gateway.control_ui.allowed_origins_wildcardavertissement/critiqueallowedOrigins=["*"] désactive la liste d’autorisation des origines navigateurgateway.controlUi.allowedOriginsnon
gateway.control_ui.host_header_origin_fallbackavertissement/critiqueActive le repli d’origine par en-tête Host (affaiblissement du durcissement contre le DNS rebinding)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallbacknon
gateway.control_ui.insecure_authavertissementBascule de compatibilité d’authentification non sécurisée activéegateway.controlUi.allowInsecureAuthnon
gateway.control_ui.device_auth_disabledcritiqueDésactive la vérification de l’identité de l’appareilgateway.controlUi.dangerouslyDisableDeviceAuthnon
gateway.real_ip_fallback_enabledavertissement/critiqueFaire confiance au repli X-Real-IP peut permettre l’usurpation d’adresse IP source via une mauvaise configuration du proxygateway.allowRealIpFallback, gateway.trustedProxiesnon
gateway.token_too_shortavertissementUn jeton partagé court est plus facile à attaquer par force brutegateway.auth.tokennon
gateway.auth_no_rate_limitavertissementUne authentification exposée sans limitation de débit augmente le risque d’attaque par force brutegateway.auth.rateLimitnon
gateway.trusted_proxy_authcritiqueL’identité du proxy devient maintenant la frontière d’authentificationgateway.auth.mode="trusted-proxy"non
gateway.trusted_proxy_no_proxiescritiqueL’authentification par proxy approuvé sans IP de proxy approuvé est dangereusegateway.trustedProxiesnon
gateway.trusted_proxy_no_user_headercritiqueL’authentification par proxy approuvé ne peut pas résoudre l’identité utilisateur en sécuritégateway.auth.trustedProxy.userHeadernon
gateway.trusted_proxy_no_allowlistavertissementL’authentification par proxy approuvé accepte n’importe quel utilisateur amont authentifiégateway.auth.trustedProxy.allowUsersnon
gateway.trusted_proxy_allow_loopbackwarnL’authentification par proxy de confiance accepte les sources de proxy loopback explicitement autoriséesgateway.auth.trustedProxy.allowLoopbacknon
gateway.probe_auth_secretref_unavailablewarnLa sonde approfondie n’a pas pu résoudre les SecretRefs d’authentification dans ce chemin de commandesource d’authentification de sonde approfondie / disponibilité des SecretRefnon
gateway.probe_failedwarn/criticalLa sonde Gateway en direct a échouéaccessibilité/authentification du gatewaynon
discovery.mdns_full_modewarn/criticalLe mode complet mDNS annonce les métadonnées cliPath/sshPort sur le réseau localdiscovery.mdns.mode, gateway.bindnon
config.insecure_or_dangerous_flagswarnUn indicateur de débogage non sécurisé/dangereux est activéclé nommée dans le détail du constatnon
security.audit.suppressions.activeinfoLa sortie d’audit comporte des suppressions configurées et peut être filtréesecurity.audit.suppressionsnon
config.secrets.gateway_password_in_configwarnLe mot de passe Gateway est stocké directement dans la configurationgateway.auth.passwordnon
config.secrets.hooks_token_in_configwarnLe jeton bearer du hook est stocké directement dans la configurationhooks.tokennon
hooks.token_reuse_gateway_tokencriticalLe jeton d’entrée du hook déverrouille aussi l’authentification Gatewayhooks.token, gateway.auth.token, gateway.auth.passwordnon
hooks.token_too_shortwarnForce brute facilitée sur l’entrée du hookhooks.tokennon
hooks.default_session_key_unsetwarnLes exécutions de l’agent du hook se dispersent dans des sessions par requête généréeshooks.defaultSessionKeynon
hooks.allowed_agent_ids_unrestrictedwarn/criticalLes appelants de hook authentifiés peuvent router vers n’importe quel agent configuréhooks.allowedAgentIdsnon
hooks.request_session_key_enabledwarn/criticalL’appelant externe peut choisir sessionKeyhooks.allowRequestSessionKeynon
hooks.request_session_key_prefixes_missingwarn/criticalAucune limite sur les formes de clés de session externeshooks.allowedSessionKeyPrefixesnon
hooks.path_rootcriticalLe chemin du hook est /, ce qui facilite les collisions ou les erreurs de routage de l’entréehooks.pathnon
hooks.installs_unpinned_npm_specswarnLes enregistrements d’installation du hook ne sont pas épinglés sur des specs npm immuablesmétadonnées d’installation du hooknon
hooks.installs_missing_integritywarnLes enregistrements d’installation du hook n’ont pas de métadonnées d’intégritémétadonnées d’installation du hooknon
hooks.installs_version_driftwarnLes enregistrements d’installation du hook dérivent des packages installésmétadonnées d’installation du hooknon
logging.redact_offwarnLes valeurs sensibles fuient dans les journaux/statutslogging.redactSensitiveoui
browser.control_invalid_configwarnLa configuration du contrôle du navigateur est invalide avant l’exécutionbrowser.*non
browser.control_no_authcriticalContrôle du navigateur exposé sans authentification par jeton/mot de passegateway.auth.*non
browser.remote_cdp_httpwarnLe CDP distant sur HTTP simple n’a pas de chiffrement de transportcdpUrl du profil de navigateurnon
browser.remote_cdp_private_hostwarnLe CDP distant cible un hôte privé/internecdpUrl du profil de navigateur, browser.ssrfPolicy.*non
sandbox.docker_config_mode_offwarnConfiguration Docker de sandbox présente mais inactiveagents.*.sandbox.modenon
sandbox.bind_mount_non_absolutewarnLes montages bind relatifs peuvent se résoudre de manière imprévisibleagents.*.sandbox.docker.binds[]non
sandbox.dangerous_bind_mountcriticalLe montage bind de sandbox cible des chemins système, d’identifiants ou de socket Docker bloquésagents.*.sandbox.docker.binds[]non
sandbox.dangerous_network_modecriticalLe réseau Docker de sandbox utilise le mode host ou container:* de jonction d’espace de nomsagents.*.sandbox.docker.networknon
sandbox.dangerous_seccomp_profilecriticalLe profil seccomp de sandbox affaiblit l’isolation du conteneuragents.*.sandbox.docker.securityOptnon
sandbox.dangerous_apparmor_profilecriticalLe profil AppArmor de sandbox affaiblit l’isolation du conteneuragents.*.sandbox.docker.securityOptnon
sandbox.browser_cdp_bridge_unrestrictedwarnLe pont de navigateur de sandbox est exposé sans restriction de plage sourcesandbox.browser.cdpSourceRangenon
sandbox.browser_container.non_loopback_publishcriticalLe conteneur de navigateur existant publie CDP sur des interfaces non loopbackconfiguration de publication du conteneur de sandbox de navigateurnon
sandbox.browser_container.hash_label_missingwarnLe conteneur de navigateur existant est antérieur aux étiquettes actuelles de hachage de configurationopenclaw sandbox recreate --browser --allnon
sandbox.browser_container.hash_epoch_stalewarnLe conteneur de navigateur existant est antérieur à l’époque de configuration actuelle du navigateuropenclaw sandbox recreate --browser --allnon
tools.exec.host_sandbox_no_sandbox_defaultswarnexec host=sandbox échoue de manière fermée lorsque la sandbox est désactivéetools.exec.host, agents.defaults.sandbox.modenon
tools.exec.host_sandbox_no_sandbox_agentswarnexec host=sandbox par agent échoue de manière fermée lorsque la sandbox est désactivéeagents.list[].tools.exec.host, agents.list[].sandbox.modenon
tools.exec.security_full_configuredwarn/criticalL’exécution hôte s’exécute avec security="full"tools.exec.security, agents.list[].tools.exec.securitynon
tools.exec.agent_skill_mcp_boundary_driftwarnDes listes d’autorisation de skill d’agent sont présentes alors que l’exécution hôte peut atteindre les clients/registres MCPagents.list[].tools.exec.*, isolation sandbox/OS, identifiants de serveur MCPnon
tools.exec.fs_tools_disabled_but_exec_enabledwarnLa politique d’outil de système de fichiers ne rend pas l’exécution shell en lecture seuletools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccessnon
tools.exec.auto_allow_skills_enabledwarnLes approbations d’exécution font implicitement confiance aux binaires de skillfichier d’approbations de l’hôtenon
tools.exec.allowlist_interpreter_without_strict_inline_evalwarnLes listes d’autorisation d’interpréteurs permettent l’évaluation inline sans nouvelle approbation forcéetools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, liste d’autorisation d’approbations d’exécutionnon
tools.exec.safe_bins_interpreter_unprofiledwarnLes binaires d’interpréteur/runtime dans safeBins sans profils explicites élargissent le risque d’exécutiontools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.*non
tools.exec.safe_bins_broad_behaviorwarnLes outils à comportement large dans safeBins affaiblissent le modèle de confiance à faible risque avec filtrage de stdintools.exec.safeBins, agents.list[].tools.exec.safeBinsnon
tools.exec.safe_bin_trusted_dirs_riskywarnsafeBinTrustedDirs inclut des répertoires modifiables ou risquéstools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirsno
skills.workspace.symlink_escapewarnLe fichier skills/**/SKILL.md de l’espace de travail se résout en dehors de la racine de l’espace de travail (dérive de chaîne de liens symboliques)état du système de fichiers skills/** de l’espace de travailno
plugins.extensions_no_allowlistwarnLes Plugins sont installés sans liste d’autorisation explicite des pluginsplugins.allowlistno
plugins.installs_unpinned_npm_specswarnLes enregistrements d’index de Plugin ne sont pas épinglés sur des spécifications npm immuablesmétadonnées d’installation de pluginno
plugins.installs_missing_integritywarnLes enregistrements d’index de Plugin ne contiennent pas de métadonnées d’intégritémétadonnées d’installation de pluginno
plugins.installs_version_driftwarnLes enregistrements d’index de Plugin divergent des paquets installésmétadonnées d’installation de pluginno
plugins.code_safetywarn/criticalL’analyse du code de Plugin a détecté des motifs suspects ou dangereuxcode du plugin / source d’installationno
plugins.code_safety.entry_pathwarnLe chemin d’entrée du Plugin pointe vers des emplacements cachés ou node_modulesentry du manifeste du pluginno
plugins.code_safety.entry_escapecriticalL’entrée du Plugin s’échappe du répertoire du pluginentry du manifeste du pluginno
plugins.code_safety.scan_failedwarnL’analyse du code de Plugin n’a pas pu se terminerchemin du plugin / environnement d’analyseno
skills.code_safetywarn/criticalLes métadonnées/le code de l’installateur de Skill contiennent des motifs suspects ou dangereuxsource d’installation de skillno
skills.code_safety.scan_failedwarnL’analyse du code de Skill n’a pas pu se terminerenvironnement d’analyse de skillno
security.exposure.open_channels_with_execwarn/criticalLes salons partagés/publics peuvent atteindre des agents avec exec activéchannels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.*no
security.exposure.open_groups_with_elevatedcriticalLes DM/groupes ouverts + outils avec privilèges élevés créent des chemins d’injection de prompt à fort impactchemins de politique DM de niveau supérieur ou imbriqués, remplacements de compte, channels.*.groupPolicyno
security.exposure.open_groups_with_runtime_or_fscritical/warnLes DM/groupes ouverts peuvent atteindre les outils de commande/fichier sans garde de sandbox/espace de travailchemins de politique DM/groupe, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.modeno
security.trust_model.multi_user_heuristicwarnLa configuration semble multi-utilisateur alors que le modèle de confiance du Gateway est de type assistant personnellimites de confiance séparées, ou durcissement pour utilisateur partagé (sandbox.mode, refus d’outils/périmètre d’espace de travail)no
tools.profile_minimal_overriddenwarnLes remplacements d’agent contournent le profil minimal globalagents.list[].tools.profileno
plugins.tools_reachable_permissive_policywarnLes outils d’extension sont accessibles dans des contextes permissifstools.profile + autorisation/refus d’outilno
models.legacywarnDes familles de modèles héritées sont encore configuréessélection du modèleno
models.weak_tierwarnLes modèles configurés sont en dessous des niveaux actuellement recommandéssélection du modèleno
models.small_paramscritical/infoLes petits modèles + surfaces d’outils non sécurisées augmentent le risque d’injectionchoix du modèle + politique de sandbox/outilsno
summary.attack_surfaceinfoRésumé global de la posture d’authentification, de canal, d’outil et d’expositionplusieurs clés (voir les détails du constat)no

Articles associés