Vai al contenuto principale
openclaw security audit emette risultati strutturati indicizzati da checkId. Questa pagina è il catalogo di riferimento per questi ID. Per il modello di minaccia di alto livello e le indicazioni di hardening, consulta Sicurezza. Valori checkId ad alto segnale che molto probabilmente vedrai nelle distribuzioni reali (non esaustivo):
checkIdGravitàPerché è importanteChiave/percorso di correzione principaleCorrezione automatica
fs.state_dir.perms_world_writablecriticoAltri utenti/processi possono modificare l’intero stato di OpenClawpermessi del filesystem su ~/.openclaw
fs.state_dir.perms_group_writableavvisoGli utenti del gruppo possono modificare l’intero stato di OpenClawpermessi del filesystem su ~/.openclaw
fs.state_dir.perms_readableavvisoLa directory di stato è leggibile da altripermessi del filesystem su ~/.openclaw
fs.state_dir.symlinkavvisoLa destinazione della directory di stato diventa un altro confine di fiducialayout del filesystem della directory di statono
fs.config.perms_writablecriticoAltri possono modificare criteri/configurazione di autenticazione/strumentipermessi del filesystem su ~/.openclaw/openclaw.json
fs.config.symlinkavvisoI file di configurazione con symlink non sono supportati per la scrittura e aggiungono un altro confine di fiduciasostituire con un file di configurazione normale o puntare OPENCLAW_CONFIG_PATH al file realeno
fs.config.perms_group_readableavvisoGli utenti del gruppo possono leggere token/impostazioni di configurazionepermessi del filesystem sul file di configurazione
fs.config.perms_world_readablecriticoLa configurazione può esporre token/impostazionipermessi del filesystem sul file di configurazione
fs.config_include.perms_writablecriticoIl file incluso nella configurazione può essere modificato da altripermessi del file incluso referenziato da openclaw.json
fs.config_include.perms_group_readableavvisoGli utenti del gruppo possono leggere segreti/impostazioni inclusipermessi del file incluso referenziato da openclaw.json
fs.config_include.perms_world_readablecriticoI segreti/impostazioni inclusi sono leggibili da tuttipermessi del file incluso referenziato da openclaw.json
fs.auth_profiles.perms_writablecriticoAltri possono inserire o sostituire credenziali modello archiviatepermessi di agents/<agentId>/agent/auth-profiles.json
fs.auth_profiles.perms_readableavvisoAltri possono leggere chiavi API e token OAuthpermessi di agents/<agentId>/agent/auth-profiles.json
fs.credentials_dir.perms_writablecriticoAltri possono modificare lo stato di associazione/credenziali del canalepermessi del filesystem su ~/.openclaw/credentials
fs.credentials_dir.perms_readableavvisoAltri possono leggere lo stato delle credenziali del canalepermessi del filesystem su ~/.openclaw/credentials
fs.sessions_store.perms_readableavvisoAltri possono leggere trascrizioni/metadati delle sessionipermessi dell’archivio delle sessioni
fs.log_file.perms_readableavvisoAltri possono leggere log oscurati ma ancora sensibilipermessi del file di log del Gateway
fs.synced_diravvisoStato/configurazione in iCloud/Dropbox/Drive amplia l’esposizione di token/trascrizionispostare configurazione/stato fuori dalle cartelle sincronizzateno
gateway.bind_no_authcriticoBind remoto senza segreto condivisogateway.bind, gateway.auth.*no
gateway.loopback_no_authcriticoIl loopback dietro proxy inverso può diventare non autenticatogateway.auth.*, configurazione del proxyno
gateway.trusted_proxies_missingavvisoSono presenti header del proxy inverso ma non sono considerati attendibiligateway.trustedProxiesno
gateway.http.no_authavviso/criticoAPI HTTP del Gateway raggiungibili con auth.mode="none"gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpcno
gateway.http.session_key_override_enabledinformativoI chiamanti dell’API HTTP possono sovrascrivere sessionKeygateway.http.allowSessionKeyOverrideno
gateway.tools_invoke_http.dangerous_allowavviso/criticoRiabilita strumenti pericolosi tramite API HTTP per chiamanti proprietari/amministratorigateway.tools.allowno
gateway.nodes.allow_commands_dangerousavviso/criticoAbilita comandi nodo ad alto impatto (fotocamera/schermo/contatti/calendario/SMS)gateway.nodes.allowCommandsno
gateway.nodes.deny_commands_ineffectiveavvisoLe voci di negazione simili a pattern non corrispondono al testo shell o ai gruppigateway.nodes.denyCommandsno
gateway.tailscale_funnelcriticoEsposizione a Internet pubblicogateway.tailscale.modeno
gateway.tailscale_serveinformativoL’esposizione alla tailnet è abilitata tramite Servegateway.tailscale.modeno
gateway.control_ui.allowed_origins_requiredcriticoControl UI non loopback senza allowlist esplicita delle origini browsergateway.controlUi.allowedOriginsno
gateway.control_ui.allowed_origins_wildcardavviso/criticoallowedOrigins=["*"] disabilita l’allowlist delle origini browsergateway.controlUi.allowedOriginsno
gateway.control_ui.host_header_origin_fallbackavviso/criticoAbilita il fallback dell’origine tramite header Host (riduzione dell’irrobustimento contro DNS rebinding)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallbackno
gateway.control_ui.insecure_authavvisoToggle di compatibilità per autenticazione non sicura abilitatogateway.controlUi.allowInsecureAuthno
gateway.control_ui.device_auth_disabledcriticoDisabilita il controllo dell’identità del dispositivogateway.controlUi.dangerouslyDisableDeviceAuthno
gateway.real_ip_fallback_enabledavviso/criticoConsiderare attendibile il fallback X-Real-IP può abilitare lo spoofing dell’IP di origine tramite configurazione errata del proxygateway.allowRealIpFallback, gateway.trustedProxiesno
gateway.token_too_shortavvisoUn token condiviso breve è più facile da forzaregateway.auth.tokenno
gateway.auth_no_rate_limitavvisoL’autenticazione esposta senza limitazione della frequenza aumenta il rischio di attacchi brute-forcegateway.auth.rateLimitno
gateway.trusted_proxy_authcriticoL’identità del proxy diventa ora il confine di autenticazionegateway.auth.mode="trusted-proxy"no
gateway.trusted_proxy_no_proxiescriticoL’autenticazione trusted-proxy senza IP di proxy attendibili non è sicuragateway.trustedProxiesno
gateway.trusted_proxy_no_user_headercriticoL’autenticazione trusted-proxy non può risolvere in sicurezza l’identità utentegateway.auth.trustedProxy.userHeaderno
gateway.trusted_proxy_no_allowlistavvisoL’autenticazione trusted-proxy accetta qualsiasi utente upstream autenticatogateway.auth.trustedProxy.allowUsersno
gateway.trusted_proxy_allow_loopbackwarnL’autenticazione tramite proxy attendibile accetta sorgenti proxy loopback esplicitamente consentitegateway.auth.trustedProxy.allowLoopbackno
gateway.probe_auth_secretref_unavailablewarnIl probe approfondito non ha potuto risolvere gli auth SecretRef in questo percorso di comandosorgente di autenticazione deep-probe / disponibilità SecretRefno
gateway.probe_failedwarn/criticalIl probe live del Gateway non è riuscitoraggiungibilità/autenticazione del gatewayno
discovery.mdns_full_modewarn/criticalLa modalità completa mDNS pubblicizza i metadati cliPath/sshPort sulla rete localediscovery.mdns.mode, gateway.bindno
config.insecure_or_dangerous_flagswarnÈ abilitato un flag di debug non sicuro/pericolosochiave indicata nel dettaglio del rilievono
security.audit.suppressions.activeinfoL’output dell’audit ha soppressioni configurate e potrebbe essere filtratosecurity.audit.suppressionsno
config.secrets.gateway_password_in_configwarnLa password del Gateway è archiviata direttamente nella configurazionegateway.auth.passwordno
config.secrets.hooks_token_in_configwarnIl bearer token dell’hook è archiviato direttamente nella configurazionehooks.tokenno
hooks.token_reuse_gateway_tokencriticalIl token di ingresso dell’hook sblocca anche l’autenticazione del Gatewayhooks.token, gateway.auth.token, gateway.auth.passwordno
hooks.token_too_shortwarnBrute force più semplice sull’ingresso dell’hookhooks.tokenno
hooks.default_session_key_unsetwarnLe esecuzioni dell’agente hook vengono distribuite in sessioni per richiesta generatehooks.defaultSessionKeyno
hooks.allowed_agent_ids_unrestrictedwarn/criticalI chiamanti hook autenticati possono instradare verso qualsiasi agente configuratohooks.allowedAgentIdsno
hooks.request_session_key_enabledwarn/criticalIl chiamante esterno può scegliere sessionKeyhooks.allowRequestSessionKeyno
hooks.request_session_key_prefixes_missingwarn/criticalNessun limite sulle forme delle chiavi di sessione esternehooks.allowedSessionKeyPrefixesno
hooks.path_rootcriticalIl percorso dell’hook è /, rendendo l’ingresso più facile da collidere o instradare in modo erratohooks.pathno
hooks.installs_unpinned_npm_specswarnI record di installazione degli hook non sono vincolati a specifiche npm immutabilimetadati di installazione degli hookno
hooks.installs_missing_integritywarnI record di installazione degli hook non includono metadati di integritàmetadati di installazione degli hookno
hooks.installs_version_driftwarnI record di installazione degli hook divergono dai pacchetti installatimetadati di installazione degli hookno
logging.redact_offwarnValori sensibili trapelano nei log/statologging.redactSensitive
browser.control_invalid_configwarnLa configurazione del controllo browser non è valida prima del runtimebrowser.*no
browser.control_no_authcriticalControllo browser esposto senza autenticazione tramite token/passwordgateway.auth.*no
browser.remote_cdp_httpwarnCDP remoto su HTTP in chiaro non dispone di crittografia del trasportoprofilo browser cdpUrlno
browser.remote_cdp_private_hostwarnCDP remoto punta a un host privato/internoprofilo browser cdpUrl, browser.ssrfPolicy.*no
sandbox.docker_config_mode_offwarnConfigurazione Docker della sandbox presente ma inattivaagents.*.sandbox.modeno
sandbox.bind_mount_non_absolutewarnI bind mount relativi possono risolversi in modo imprevedibileagents.*.sandbox.docker.binds[]no
sandbox.dangerous_bind_mountcriticalIl bind mount della sandbox punta a percorsi bloccati di sistema, credenziali o socket Dockeragents.*.sandbox.docker.binds[]no
sandbox.dangerous_network_modecriticalLa rete Docker della sandbox usa host o la modalità di join namespace container:*agents.*.sandbox.docker.networkno
sandbox.dangerous_seccomp_profilecriticalIl profilo seccomp della sandbox indebolisce l’isolamento del containeragents.*.sandbox.docker.securityOptno
sandbox.dangerous_apparmor_profilecriticalIl profilo AppArmor della sandbox indebolisce l’isolamento del containeragents.*.sandbox.docker.securityOptno
sandbox.browser_cdp_bridge_unrestrictedwarnIl bridge browser della sandbox è esposto senza restrizione dell’intervallo sorgentesandbox.browser.cdpSourceRangeno
sandbox.browser_container.non_loopback_publishcriticalIl container browser esistente pubblica CDP su interfacce non loopbackconfigurazione di pubblicazione del container della sandbox browserno
sandbox.browser_container.hash_label_missingwarnIl container browser esistente precede le etichette hash di configurazione correntiopenclaw sandbox recreate --browser --allno
sandbox.browser_container.hash_epoch_stalewarnIl container browser esistente precede l’epoca di configurazione browser correnteopenclaw sandbox recreate --browser --allno
tools.exec.host_sandbox_no_sandbox_defaultswarnexec host=sandbox fallisce in modo chiuso quando la sandbox è disattivatatools.exec.host, agents.defaults.sandbox.modeno
tools.exec.host_sandbox_no_sandbox_agentswarnexec host=sandbox per agente fallisce in modo chiuso quando la sandbox è disattivataagents.list[].tools.exec.host, agents.list[].sandbox.modeno
tools.exec.security_full_configuredwarn/criticalL’esecuzione host è in esecuzione con security="full"tools.exec.security, agents.list[].tools.exec.securityno
tools.exec.agent_skill_mcp_boundary_driftwarnSono presenti allowlist delle skill degli agenti mentre l’esecuzione host può raggiungere client/registri MCPagents.list[].tools.exec.*, isolamento sandbox/OS, credenziali del server MCPno
tools.exec.fs_tools_disabled_but_exec_enabledwarnLa policy degli strumenti filesystem non rende l’esecuzione della shell di sola letturatools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccessno
tools.exec.auto_allow_skills_enabledwarnLe approvazioni exec considerano implicitamente attendibili i bin delle skillfile delle approvazioni hostno
tools.exec.allowlist_interpreter_without_strict_inline_evalwarnLe allowlist degli interpreti consentono eval inline senza riapprovazione forzatatools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, allowlist delle approvazioni execno
tools.exec.safe_bins_interpreter_unprofiledwarnBin di interpreti/runtime in safeBins senza profili espliciti ampliano il rischio exectools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.*no
tools.exec.safe_bins_broad_behaviorwarnStrumenti con comportamento ampio in safeBins indeboliscono il modello di fiducia a basso rischio con filtro stdintools.exec.safeBins, agents.list[].tools.exec.safeBinsno
tools.exec.safe_bin_trusted_dirs_riskyavvisosafeBinTrustedDirs include directory modificabili o rischiosetools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirsno
skills.workspace.symlink_escapeavvisoskills/**/SKILL.md della workspace si risolve fuori dalla radice della workspace (deriva della catena di symlink)stato del filesystem skills/** della workspaceno
plugins.extensions_no_allowlistavvisoI Plugin sono installati senza un allowlist esplicita dei pluginplugins.allowlistno
plugins.installs_unpinned_npm_specsavvisoI record dell’indice dei Plugin non sono fissati a specifiche npm immutabilimetadati di installazione del pluginno
plugins.installs_missing_integrityavvisoI record dell’indice dei Plugin non includono metadati di integritàmetadati di installazione del pluginno
plugins.installs_version_driftavvisoI record dell’indice dei Plugin divergono dai pacchetti installatimetadati di installazione del pluginno
plugins.code_safetyavviso/criticoLa scansione del codice del Plugin ha trovato pattern sospetti o pericolosicodice del plugin / origine di installazioneno
plugins.code_safety.entry_pathavvisoIl percorso di ingresso del Plugin punta a posizioni nascoste o in node_modulesentry del manifest del pluginno
plugins.code_safety.entry_escapecriticoL’ingresso del Plugin esce dalla directory del pluginentry del manifest del pluginno
plugins.code_safety.scan_failedavvisoLa scansione del codice del Plugin non è riuscita a completarsipercorso del plugin / ambiente di scansioneno
skills.code_safetyavviso/criticoI metadati/codice dell’installer di Skill contengono pattern sospetti o pericolosiorigine di installazione dello skillno
skills.code_safety.scan_failedavvisoLa scansione del codice dello skill non è riuscita a completarsiambiente di scansione dello skillno
security.exposure.open_channels_with_execavviso/criticoStanze condivise/pubbliche possono raggiungere agenti con exec abilitatochannels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.*no
security.exposure.open_groups_with_elevatedcriticoDM/gruppi aperti + strumenti elevati creano percorsi di prompt injection ad alto impattopercorsi policy DM di livello superiore o annidati, override degli account, channels.*.groupPolicyno
security.exposure.open_groups_with_runtime_or_fscritico/avvisoDM/gruppi aperti possono raggiungere strumenti di comando/file senza protezioni di sandbox/workspacepercorsi policy DM/gruppo, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.modeno
security.trust_model.multi_user_heuristicavvisoLa configurazione sembra multiutente mentre il modello di fiducia del Gateway è da assistente personaleconfini di fiducia separati, o hardening per utenti condivisi (sandbox.mode, negazione strumenti/scoping della workspace)no
tools.profile_minimal_overriddenavvisoGli override degli agenti aggirano il profilo minimo globaleagents.list[].tools.profileno
plugins.tools_reachable_permissive_policyavvisoStrumenti delle estensioni raggiungibili in contesti permissivitools.profile + allow/deny degli strumentino
models.legacyavvisoFamiglie di modelli legacy sono ancora configurateselezione del modellono
models.weak_tieravvisoI modelli configurati sono sotto i livelli attualmente consigliatiselezione del modellono
models.small_paramscritico/infoModelli piccoli + superfici strumenti non sicure aumentano il rischio di injectionscelta del modello + policy sandbox/strumentino
summary.attack_surfaceinfoRiepilogo complessivo della postura di autenticazione, canale, strumenti ed esposizionepiù chiavi (vedi dettaglio del rilievo)no

Correlati