> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Controlli di audit di sicurezza

`openclaw security audit` emette risultati strutturati indicizzati da `checkId`. Questa
pagina è il catalogo di riferimento per questi ID. Per il modello di minaccia
di alto livello e le indicazioni di hardening, consulta [Sicurezza](/it/gateway/security).

Valori `checkId` ad alto segnale che molto probabilmente vedrai nelle distribuzioni reali (non
esaustivo):

| `checkId`                                                     | Gravità        | Perché è importante                                                                                                                  | Chiave/percorso di correzione principale                                                                                    | Correzione automatica |
| ------------------------------------------------------------- | -------------- | ------------------------------------------------------------------------------------------------------------------------------------ | --------------------------------------------------------------------------------------------------------------------------- | --------------------- |
| `fs.state_dir.perms_world_writable`                           | critico        | Altri utenti/processi possono modificare l'intero stato di OpenClaw                                                                  | permessi del filesystem su `~/.openclaw`                                                                                    | sì                    |
| `fs.state_dir.perms_group_writable`                           | avviso         | Gli utenti del gruppo possono modificare l'intero stato di OpenClaw                                                                  | permessi del filesystem su `~/.openclaw`                                                                                    | sì                    |
| `fs.state_dir.perms_readable`                                 | avviso         | La directory di stato è leggibile da altri                                                                                           | permessi del filesystem su `~/.openclaw`                                                                                    | sì                    |
| `fs.state_dir.symlink`                                        | avviso         | La destinazione della directory di stato diventa un altro confine di fiducia                                                         | layout del filesystem della directory di stato                                                                              | no                    |
| `fs.config.perms_writable`                                    | critico        | Altri possono modificare criteri/configurazione di autenticazione/strumenti                                                          | permessi del filesystem su `~/.openclaw/openclaw.json`                                                                      | sì                    |
| `fs.config.symlink`                                           | avviso         | I file di configurazione con symlink non sono supportati per la scrittura e aggiungono un altro confine di fiducia                   | sostituire con un file di configurazione normale o puntare `OPENCLAW_CONFIG_PATH` al file reale                             | no                    |
| `fs.config.perms_group_readable`                              | avviso         | Gli utenti del gruppo possono leggere token/impostazioni di configurazione                                                           | permessi del filesystem sul file di configurazione                                                                          | sì                    |
| `fs.config.perms_world_readable`                              | critico        | La configurazione può esporre token/impostazioni                                                                                     | permessi del filesystem sul file di configurazione                                                                          | sì                    |
| `fs.config_include.perms_writable`                            | critico        | Il file incluso nella configurazione può essere modificato da altri                                                                  | permessi del file incluso referenziato da `openclaw.json`                                                                   | sì                    |
| `fs.config_include.perms_group_readable`                      | avviso         | Gli utenti del gruppo possono leggere segreti/impostazioni inclusi                                                                   | permessi del file incluso referenziato da `openclaw.json`                                                                   | sì                    |
| `fs.config_include.perms_world_readable`                      | critico        | I segreti/impostazioni inclusi sono leggibili da tutti                                                                               | permessi del file incluso referenziato da `openclaw.json`                                                                   | sì                    |
| `fs.auth_profiles.perms_writable`                             | critico        | Altri possono inserire o sostituire credenziali modello archiviate                                                                   | permessi di `agents/<agentId>/agent/auth-profiles.json`                                                                     | sì                    |
| `fs.auth_profiles.perms_readable`                             | avviso         | Altri possono leggere chiavi API e token OAuth                                                                                       | permessi di `agents/<agentId>/agent/auth-profiles.json`                                                                     | sì                    |
| `fs.credentials_dir.perms_writable`                           | critico        | Altri possono modificare lo stato di associazione/credenziali del canale                                                             | permessi del filesystem su `~/.openclaw/credentials`                                                                        | sì                    |
| `fs.credentials_dir.perms_readable`                           | avviso         | Altri possono leggere lo stato delle credenziali del canale                                                                          | permessi del filesystem su `~/.openclaw/credentials`                                                                        | sì                    |
| `fs.sessions_store.perms_readable`                            | avviso         | Altri possono leggere trascrizioni/metadati delle sessioni                                                                           | permessi dell'archivio delle sessioni                                                                                       | sì                    |
| `fs.log_file.perms_readable`                                  | avviso         | Altri possono leggere log oscurati ma ancora sensibili                                                                               | permessi del file di log del Gateway                                                                                        | sì                    |
| `fs.synced_dir`                                               | avviso         | Stato/configurazione in iCloud/Dropbox/Drive amplia l'esposizione di token/trascrizioni                                              | spostare configurazione/stato fuori dalle cartelle sincronizzate                                                            | no                    |
| `gateway.bind_no_auth`                                        | critico        | Bind remoto senza segreto condiviso                                                                                                  | `gateway.bind`, `gateway.auth.*`                                                                                            | no                    |
| `gateway.loopback_no_auth`                                    | critico        | Il loopback dietro proxy inverso può diventare non autenticato                                                                       | `gateway.auth.*`, configurazione del proxy                                                                                  | no                    |
| `gateway.trusted_proxies_missing`                             | avviso         | Sono presenti header del proxy inverso ma non sono considerati attendibili                                                           | `gateway.trustedProxies`                                                                                                    | no                    |
| `gateway.http.no_auth`                                        | avviso/critico | API HTTP del Gateway raggiungibili con `auth.mode="none"`                                                                            | `gateway.auth.mode`, `gateway.http.endpoints.*`, `plugins.entries.admin-http-rpc`                                           | no                    |
| `gateway.http.session_key_override_enabled`                   | informativo    | I chiamanti dell'API HTTP possono sovrascrivere `sessionKey`                                                                         | `gateway.http.allowSessionKeyOverride`                                                                                      | no                    |
| `gateway.tools_invoke_http.dangerous_allow`                   | avviso/critico | Riabilita strumenti pericolosi tramite API HTTP per chiamanti proprietari/amministratori                                             | `gateway.tools.allow`                                                                                                       | no                    |
| `gateway.nodes.allow_commands_dangerous`                      | avviso/critico | Abilita comandi nodo ad alto impatto (fotocamera/schermo/contatti/calendario/SMS)                                                    | `gateway.nodes.allowCommands`                                                                                               | no                    |
| `gateway.nodes.deny_commands_ineffective`                     | avviso         | Le voci di negazione simili a pattern non corrispondono al testo shell o ai gruppi                                                   | `gateway.nodes.denyCommands`                                                                                                | no                    |
| `gateway.tailscale_funnel`                                    | critico        | Esposizione a Internet pubblico                                                                                                      | `gateway.tailscale.mode`                                                                                                    | no                    |
| `gateway.tailscale_serve`                                     | informativo    | L'esposizione alla tailnet è abilitata tramite Serve                                                                                 | `gateway.tailscale.mode`                                                                                                    | no                    |
| `gateway.control_ui.allowed_origins_required`                 | critico        | Control UI non loopback senza allowlist esplicita delle origini browser                                                              | `gateway.controlUi.allowedOrigins`                                                                                          | no                    |
| `gateway.control_ui.allowed_origins_wildcard`                 | avviso/critico | `allowedOrigins=["*"]` disabilita l'allowlist delle origini browser                                                                  | `gateway.controlUi.allowedOrigins`                                                                                          | no                    |
| `gateway.control_ui.host_header_origin_fallback`              | avviso/critico | Abilita il fallback dell'origine tramite header Host (riduzione dell'irrobustimento contro DNS rebinding)                            | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`                                                                | no                    |
| `gateway.control_ui.insecure_auth`                            | avviso         | Toggle di compatibilità per autenticazione non sicura abilitato                                                                      | `gateway.controlUi.allowInsecureAuth`                                                                                       | no                    |
| `gateway.control_ui.device_auth_disabled`                     | critico        | Disabilita il controllo dell'identità del dispositivo                                                                                | `gateway.controlUi.dangerouslyDisableDeviceAuth`                                                                            | no                    |
| `gateway.real_ip_fallback_enabled`                            | avviso/critico | Considerare attendibile il fallback `X-Real-IP` può abilitare lo spoofing dell'IP di origine tramite configurazione errata del proxy | `gateway.allowRealIpFallback`, `gateway.trustedProxies`                                                                     | no                    |
| `gateway.token_too_short`                                     | avviso         | Un token condiviso breve è più facile da forzare                                                                                     | `gateway.auth.token`                                                                                                        | no                    |
| `gateway.auth_no_rate_limit`                                  | avviso         | L'autenticazione esposta senza limitazione della frequenza aumenta il rischio di attacchi brute-force                                | `gateway.auth.rateLimit`                                                                                                    | no                    |
| `gateway.trusted_proxy_auth`                                  | critico        | L'identità del proxy diventa ora il confine di autenticazione                                                                        | `gateway.auth.mode="trusted-proxy"`                                                                                         | no                    |
| `gateway.trusted_proxy_no_proxies`                            | critico        | L'autenticazione trusted-proxy senza IP di proxy attendibili non è sicura                                                            | `gateway.trustedProxies`                                                                                                    | no                    |
| `gateway.trusted_proxy_no_user_header`                        | critico        | L'autenticazione trusted-proxy non può risolvere in sicurezza l'identità utente                                                      | `gateway.auth.trustedProxy.userHeader`                                                                                      | no                    |
| `gateway.trusted_proxy_no_allowlist`                          | avviso         | L'autenticazione trusted-proxy accetta qualsiasi utente upstream autenticato                                                         | `gateway.auth.trustedProxy.allowUsers`                                                                                      | no                    |
| `gateway.trusted_proxy_allow_loopback`                        | warn           | L'autenticazione tramite proxy attendibile accetta sorgenti proxy loopback esplicitamente consentite                                 | `gateway.auth.trustedProxy.allowLoopback`                                                                                   | no                    |
| `gateway.probe_auth_secretref_unavailable`                    | warn           | Il probe approfondito non ha potuto risolvere gli auth SecretRef in questo percorso di comando                                       | sorgente di autenticazione deep-probe / disponibilità SecretRef                                                             | no                    |
| `gateway.probe_failed`                                        | warn/critical  | Il probe live del Gateway non è riuscito                                                                                             | raggiungibilità/autenticazione del gateway                                                                                  | no                    |
| `discovery.mdns_full_mode`                                    | warn/critical  | La modalità completa mDNS pubblicizza i metadati `cliPath`/`sshPort` sulla rete locale                                               | `discovery.mdns.mode`, `gateway.bind`                                                                                       | no                    |
| `config.insecure_or_dangerous_flags`                          | warn           | È abilitato un flag di debug non sicuro/pericoloso                                                                                   | chiave indicata nel dettaglio del rilievo                                                                                   | no                    |
| `security.audit.suppressions.active`                          | info           | L'output dell'audit ha soppressioni configurate e potrebbe essere filtrato                                                           | `security.audit.suppressions`                                                                                               | no                    |
| `config.secrets.gateway_password_in_config`                   | warn           | La password del Gateway è archiviata direttamente nella configurazione                                                               | `gateway.auth.password`                                                                                                     | no                    |
| `config.secrets.hooks_token_in_config`                        | warn           | Il bearer token dell'hook è archiviato direttamente nella configurazione                                                             | `hooks.token`                                                                                                               | no                    |
| `hooks.token_reuse_gateway_token`                             | critical       | Il token di ingresso dell'hook sblocca anche l'autenticazione del Gateway                                                            | `hooks.token`, `gateway.auth.token`, `gateway.auth.password`                                                                | no                    |
| `hooks.token_too_short`                                       | warn           | Brute force più semplice sull'ingresso dell'hook                                                                                     | `hooks.token`                                                                                                               | no                    |
| `hooks.default_session_key_unset`                             | warn           | Le esecuzioni dell'agente hook vengono distribuite in sessioni per richiesta generate                                                | `hooks.defaultSessionKey`                                                                                                   | no                    |
| `hooks.allowed_agent_ids_unrestricted`                        | warn/critical  | I chiamanti hook autenticati possono instradare verso qualsiasi agente configurato                                                   | `hooks.allowedAgentIds`                                                                                                     | no                    |
| `hooks.request_session_key_enabled`                           | warn/critical  | Il chiamante esterno può scegliere sessionKey                                                                                        | `hooks.allowRequestSessionKey`                                                                                              | no                    |
| `hooks.request_session_key_prefixes_missing`                  | warn/critical  | Nessun limite sulle forme delle chiavi di sessione esterne                                                                           | `hooks.allowedSessionKeyPrefixes`                                                                                           | no                    |
| `hooks.path_root`                                             | critical       | Il percorso dell'hook è `/`, rendendo l'ingresso più facile da collidere o instradare in modo errato                                 | `hooks.path`                                                                                                                | no                    |
| `hooks.installs_unpinned_npm_specs`                           | warn           | I record di installazione degli hook non sono vincolati a specifiche npm immutabili                                                  | metadati di installazione degli hook                                                                                        | no                    |
| `hooks.installs_missing_integrity`                            | warn           | I record di installazione degli hook non includono metadati di integrità                                                             | metadati di installazione degli hook                                                                                        | no                    |
| `hooks.installs_version_drift`                                | warn           | I record di installazione degli hook divergono dai pacchetti installati                                                              | metadati di installazione degli hook                                                                                        | no                    |
| `logging.redact_off`                                          | warn           | Valori sensibili trapelano nei log/stato                                                                                             | `logging.redactSensitive`                                                                                                   | sì                    |
| `browser.control_invalid_config`                              | warn           | La configurazione del controllo browser non è valida prima del runtime                                                               | `browser.*`                                                                                                                 | no                    |
| `browser.control_no_auth`                                     | critical       | Controllo browser esposto senza autenticazione tramite token/password                                                                | `gateway.auth.*`                                                                                                            | no                    |
| `browser.remote_cdp_http`                                     | warn           | CDP remoto su HTTP in chiaro non dispone di crittografia del trasporto                                                               | profilo browser `cdpUrl`                                                                                                    | no                    |
| `browser.remote_cdp_private_host`                             | warn           | CDP remoto punta a un host privato/interno                                                                                           | profilo browser `cdpUrl`, `browser.ssrfPolicy.*`                                                                            | no                    |
| `sandbox.docker_config_mode_off`                              | warn           | Configurazione Docker della sandbox presente ma inattiva                                                                             | `agents.*.sandbox.mode`                                                                                                     | no                    |
| `sandbox.bind_mount_non_absolute`                             | warn           | I bind mount relativi possono risolversi in modo imprevedibile                                                                       | `agents.*.sandbox.docker.binds[]`                                                                                           | no                    |
| `sandbox.dangerous_bind_mount`                                | critical       | Il bind mount della sandbox punta a percorsi bloccati di sistema, credenziali o socket Docker                                        | `agents.*.sandbox.docker.binds[]`                                                                                           | no                    |
| `sandbox.dangerous_network_mode`                              | critical       | La rete Docker della sandbox usa `host` o la modalità di join namespace `container:*`                                                | `agents.*.sandbox.docker.network`                                                                                           | no                    |
| `sandbox.dangerous_seccomp_profile`                           | critical       | Il profilo seccomp della sandbox indebolisce l'isolamento del container                                                              | `agents.*.sandbox.docker.securityOpt`                                                                                       | no                    |
| `sandbox.dangerous_apparmor_profile`                          | critical       | Il profilo AppArmor della sandbox indebolisce l'isolamento del container                                                             | `agents.*.sandbox.docker.securityOpt`                                                                                       | no                    |
| `sandbox.browser_cdp_bridge_unrestricted`                     | warn           | Il bridge browser della sandbox è esposto senza restrizione dell'intervallo sorgente                                                 | `sandbox.browser.cdpSourceRange`                                                                                            | no                    |
| `sandbox.browser_container.non_loopback_publish`              | critical       | Il container browser esistente pubblica CDP su interfacce non loopback                                                               | configurazione di pubblicazione del container della sandbox browser                                                         | no                    |
| `sandbox.browser_container.hash_label_missing`                | warn           | Il container browser esistente precede le etichette hash di configurazione correnti                                                  | `openclaw sandbox recreate --browser --all`                                                                                 | no                    |
| `sandbox.browser_container.hash_epoch_stale`                  | warn           | Il container browser esistente precede l'epoca di configurazione browser corrente                                                    | `openclaw sandbox recreate --browser --all`                                                                                 | no                    |
| `tools.exec.host_sandbox_no_sandbox_defaults`                 | warn           | `exec host=sandbox` fallisce in modo chiuso quando la sandbox è disattivata                                                          | `tools.exec.host`, `agents.defaults.sandbox.mode`                                                                           | no                    |
| `tools.exec.host_sandbox_no_sandbox_agents`                   | warn           | `exec host=sandbox` per agente fallisce in modo chiuso quando la sandbox è disattivata                                               | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`                                                               | no                    |
| `tools.exec.security_full_configured`                         | warn/critical  | L'esecuzione host è in esecuzione con `security="full"`                                                                              | `tools.exec.security`, `agents.list[].tools.exec.security`                                                                  | no                    |
| `tools.exec.agent_skill_mcp_boundary_drift`                   | warn           | Sono presenti allowlist delle skill degli agenti mentre l'esecuzione host può raggiungere client/registri MCP                        | `agents.list[].tools.exec.*`, isolamento sandbox/OS, credenziali del server MCP                                             | no                    |
| `tools.exec.fs_tools_disabled_but_exec_enabled`               | warn           | La policy degli strumenti filesystem non rende l'esecuzione della shell di sola lettura                                              | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess`                                                | no                    |
| `tools.exec.auto_allow_skills_enabled`                        | warn           | Le approvazioni exec considerano implicitamente attendibili i bin delle skill                                                        | file delle approvazioni host                                                                                                | no                    |
| `tools.exec.allowlist_interpreter_without_strict_inline_eval` | warn           | Le allowlist degli interpreti consentono eval inline senza riapprovazione forzata                                                    | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, allowlist delle approvazioni exec               | no                    |
| `tools.exec.safe_bins_interpreter_unprofiled`                 | warn           | Bin di interpreti/runtime in `safeBins` senza profili espliciti ampliano il rischio exec                                             | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`                                           | no                    |
| `tools.exec.safe_bins_broad_behavior`                         | warn           | Strumenti con comportamento ampio in `safeBins` indeboliscono il modello di fiducia a basso rischio con filtro stdin                 | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`                                                                  | no                    |
| `tools.exec.safe_bin_trusted_dirs_risky`                      | avviso         | `safeBinTrustedDirs` include directory modificabili o rischiose                                                                      | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs`                                              | no                    |
| `skills.workspace.symlink_escape`                             | avviso         | `skills/**/SKILL.md` della workspace si risolve fuori dalla radice della workspace (deriva della catena di symlink)                  | stato del filesystem `skills/**` della workspace                                                                            | no                    |
| `plugins.extensions_no_allowlist`                             | avviso         | I Plugin sono installati senza un allowlist esplicita dei plugin                                                                     | `plugins.allowlist`                                                                                                         | no                    |
| `plugins.installs_unpinned_npm_specs`                         | avviso         | I record dell'indice dei Plugin non sono fissati a specifiche npm immutabili                                                         | metadati di installazione del plugin                                                                                        | no                    |
| `plugins.installs_missing_integrity`                          | avviso         | I record dell'indice dei Plugin non includono metadati di integrità                                                                  | metadati di installazione del plugin                                                                                        | no                    |
| `plugins.installs_version_drift`                              | avviso         | I record dell'indice dei Plugin divergono dai pacchetti installati                                                                   | metadati di installazione del plugin                                                                                        | no                    |
| `plugins.code_safety`                                         | avviso/critico | La scansione del codice del Plugin ha trovato pattern sospetti o pericolosi                                                          | codice del plugin / origine di installazione                                                                                | no                    |
| `plugins.code_safety.entry_path`                              | avviso         | Il percorso di ingresso del Plugin punta a posizioni nascoste o in `node_modules`                                                    | `entry` del manifest del plugin                                                                                             | no                    |
| `plugins.code_safety.entry_escape`                            | critico        | L'ingresso del Plugin esce dalla directory del plugin                                                                                | `entry` del manifest del plugin                                                                                             | no                    |
| `plugins.code_safety.scan_failed`                             | avviso         | La scansione del codice del Plugin non è riuscita a completarsi                                                                      | percorso del plugin / ambiente di scansione                                                                                 | no                    |
| `skills.code_safety`                                          | avviso/critico | I metadati/codice dell'installer di Skill contengono pattern sospetti o pericolosi                                                   | origine di installazione dello skill                                                                                        | no                    |
| `skills.code_safety.scan_failed`                              | avviso         | La scansione del codice dello skill non è riuscita a completarsi                                                                     | ambiente di scansione dello skill                                                                                           | no                    |
| `security.exposure.open_channels_with_exec`                   | avviso/critico | Stanze condivise/pubbliche possono raggiungere agenti con exec abilitato                                                             | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*`                               | no                    |
| `security.exposure.open_groups_with_elevated`                 | critico        | DM/gruppi aperti + strumenti elevati creano percorsi di prompt injection ad alto impatto                                             | percorsi policy DM di livello superiore o annidati, override degli account, `channels.*.groupPolicy`                        | no                    |
| `security.exposure.open_groups_with_runtime_or_fs`            | critico/avviso | DM/gruppi aperti possono raggiungere strumenti di comando/file senza protezioni di sandbox/workspace                                 | percorsi policy DM/gruppo, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode`                          | no                    |
| `security.trust_model.multi_user_heuristic`                   | avviso         | La configurazione sembra multiutente mentre il modello di fiducia del Gateway è da assistente personale                              | confini di fiducia separati, o hardening per utenti condivisi (`sandbox.mode`, negazione strumenti/scoping della workspace) | no                    |
| `tools.profile_minimal_overridden`                            | avviso         | Gli override degli agenti aggirano il profilo minimo globale                                                                         | `agents.list[].tools.profile`                                                                                               | no                    |
| `plugins.tools_reachable_permissive_policy`                   | avviso         | Strumenti delle estensioni raggiungibili in contesti permissivi                                                                      | `tools.profile` + allow/deny degli strumenti                                                                                | no                    |
| `models.legacy`                                               | avviso         | Famiglie di modelli legacy sono ancora configurate                                                                                   | selezione del modello                                                                                                       | no                    |
| `models.weak_tier`                                            | avviso         | I modelli configurati sono sotto i livelli attualmente consigliati                                                                   | selezione del modello                                                                                                       | no                    |
| `models.small_params`                                         | critico/info   | Modelli piccoli + superfici strumenti non sicure aumentano il rischio di injection                                                   | scelta del modello + policy sandbox/strumenti                                                                               | no                    |
| `summary.attack_surface`                                      | info           | Riepilogo complessivo della postura di autenticazione, canale, strumenti ed esposizione                                              | più chiavi (vedi dettaglio del rilievo)                                                                                     | no                    |

## Correlati

* [Sicurezza](/it/gateway/security)
* [Configurazione](/it/gateway/configuration)
* [Autenticazione proxy attendibile](/it/gateway/trusted-proxy-auth)
