セキュリティ監査チェック

openclaw security audit は、checkId をキーとする構造化された検出結果を出力します。このページは、それらの ID の参照カタログです。大まかな脅威モデルとハードニングのガイダンスについては、セキュリティを参照してください。実環境で目にする可能性が特に高い、高シグナルの checkId 値（網羅的な一覧ではありません）:

`checkId`	重大度	重要な理由	主な修正キー/パス	自動修正
`fs.state_dir.perms_world_writable`	重大	他のユーザー/プロセスが OpenClaw の状態全体を変更できる	`~/.openclaw` のファイルシステム権限	はい
`fs.state_dir.perms_group_writable`	警告	グループユーザーが OpenClaw の状態全体を変更できる	`~/.openclaw` のファイルシステム権限	はい
`fs.state_dir.perms_readable`	警告	状態ディレクトリを他者が読み取れる	`~/.openclaw` のファイルシステム権限	はい
`fs.state_dir.symlink`	警告	状態ディレクトリのターゲットが別の信頼境界になる	状態ディレクトリのファイルシステムレイアウト	いいえ
`fs.config.perms_writable`	重大	他者が認証/ツールポリシー/設定を変更できる	`~/.openclaw/openclaw.json` のファイルシステム権限	はい
`fs.config.symlink`	警告	シンボリックリンクされた設定ファイルは書き込みがサポートされず、別の信頼境界を追加する	通常の設定ファイルに置き換えるか、`OPENCLAW_CONFIG_PATH` を実ファイルに向ける	いいえ
`fs.config.perms_group_readable`	警告	グループユーザーが設定のトークン/設定値を読み取れる	設定ファイルのファイルシステム権限	はい
`fs.config.perms_world_readable`	重大	設定からトークン/設定値が露出する可能性がある	設定ファイルのファイルシステム権限	はい
`fs.config_include.perms_writable`	重大	設定インクルードファイルを他者が変更できる	`openclaw.json` から参照されるインクルードファイルの権限	はい
`fs.config_include.perms_group_readable`	警告	グループユーザーが含まれるシークレット/設定値を読み取れる	`openclaw.json` から参照されるインクルードファイルの権限	はい
`fs.config_include.perms_world_readable`	重大	含まれるシークレット/設定値が誰でも読み取り可能になっている	`openclaw.json` から参照されるインクルードファイルの権限	はい
`fs.auth_profiles.perms_writable`	重大	他者が保存済みモデル認証情報を挿入または置換できる	`agents/<agentId>/agent/auth-profiles.json` の権限	はい
`fs.auth_profiles.perms_readable`	警告	他者が API キーと OAuth トークンを読み取れる	`agents/<agentId>/agent/auth-profiles.json` の権限	はい
`fs.credentials_dir.perms_writable`	重大	他者がチャネルのペアリング/認証情報状態を変更できる	`~/.openclaw/credentials` のファイルシステム権限	はい
`fs.credentials_dir.perms_readable`	警告	他者がチャネル認証情報の状態を読み取れる	`~/.openclaw/credentials` のファイルシステム権限	はい
`fs.sessions_store.perms_readable`	警告	他者がセッションのトランスクリプト/メタデータを読み取れる	セッションストアの権限	はい
`fs.log_file.perms_readable`	警告	他者が編集済みだが依然として機微なログを読み取れる	Gateway ログファイルの権限	はい
`fs.synced_dir`	警告	iCloud/Dropbox/Drive 内の状態/設定により、トークン/トランスクリプトの露出範囲が広がる	設定/状態を同期フォルダの外へ移動する	いいえ
`gateway.bind_no_auth`	重大	共有シークレットなしのリモートバインド	`gateway.bind`, `gateway.auth.*`	いいえ
`gateway.loopback_no_auth`	重大	リバースプロキシされたループバックが未認証になる可能性がある	`gateway.auth.*`, プロキシ設定	いいえ
`gateway.trusted_proxies_missing`	警告	リバースプロキシヘッダーは存在するが信頼されていない	`gateway.trustedProxies`	いいえ
`gateway.http.no_auth`	警告/重大	`auth.mode="none"` で Gateway HTTP API に到達できる	`gateway.auth.mode`, `gateway.http.endpoints.*`	いいえ
`gateway.http.session_key_override_enabled`	情報	HTTP API 呼び出し元が `sessionKey` を上書きできる	`gateway.http.allowSessionKeyOverride`	いいえ
`gateway.tools_invoke_http.dangerous_allow`	警告/重大	HTTP API 経由で危険なツールを再び有効にする	`gateway.tools.allow`	いいえ
`gateway.nodes.allow_commands_dangerous`	警告/重大	影響の大きいノードコマンド（カメラ/画面/連絡先/カレンダー/SMS）を有効にする	`gateway.nodes.allowCommands`	いいえ
`gateway.nodes.deny_commands_ineffective`	警告	パターン風の拒否エントリはシェルテキストやグループに一致しない	`gateway.nodes.denyCommands`	いいえ
`gateway.tailscale_funnel`	重大	公開インターネットへの露出	`gateway.tailscale.mode`	いいえ
`gateway.tailscale_serve`	情報	Serve 経由で Tailnet 露出が有効になっている	`gateway.tailscale.mode`	いいえ
`gateway.control_ui.allowed_origins_required`	重大	非ループバックの Control UI に明示的なブラウザーオリジン許可リストがない	`gateway.controlUi.allowedOrigins`	いいえ
`gateway.control_ui.allowed_origins_wildcard`	警告/重大	`allowedOrigins=["*"]` はブラウザーオリジン許可リストを無効化する	`gateway.controlUi.allowedOrigins`	いいえ
`gateway.control_ui.host_header_origin_fallback`	警告/重大	Host ヘッダーのオリジンフォールバックを有効にする（DNS リバインディング強化の低下）	`gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`	いいえ
`gateway.control_ui.insecure_auth`	警告	非安全認証の互換性トグルが有効になっている	`gateway.controlUi.allowInsecureAuth`	いいえ
`gateway.control_ui.device_auth_disabled`	重大	デバイス ID チェックを無効化する	`gateway.controlUi.dangerouslyDisableDeviceAuth`	いいえ
`gateway.real_ip_fallback_enabled`	警告/重大	`X-Real-IP` フォールバックを信頼すると、プロキシ設定ミス経由の送信元 IP 偽装が可能になる場合がある	`gateway.allowRealIpFallback`, `gateway.trustedProxies`	いいえ
`gateway.token_too_short`	警告	短い共有トークンは総当たり攻撃を受けやすい	`gateway.auth.token`	いいえ
`gateway.auth_no_rate_limit`	警告	レート制限なしで認証が露出すると、総当たり攻撃のリスクが高まる	`gateway.auth.rateLimit`	いいえ
`gateway.trusted_proxy_auth`	重大	プロキシ ID が認証境界になる	`gateway.auth.mode="trusted-proxy"`	いいえ
`gateway.trusted_proxy_no_proxies`	重大	信頼済みプロキシ IP なしの trusted-proxy 認証は安全でない	`gateway.trustedProxies`	いいえ
`gateway.trusted_proxy_no_user_header`	重大	trusted-proxy 認証ではユーザー ID を安全に解決できない	`gateway.auth.trustedProxy.userHeader`	いいえ
`gateway.trusted_proxy_no_allowlist`	警告	trusted-proxy 認証が認証済みの任意の上流ユーザーを受け入れる	`gateway.auth.trustedProxy.allowUsers`	いいえ
`gateway.trusted_proxy_allow_loopback`	警告	信頼済みプロキシ認証が、明示的に許可されたループバックプロキシソースを受け入れる	`gateway.auth.trustedProxy.allowLoopback`	いいえ
`gateway.probe_auth_secretref_unavailable`	警告	このコマンドパスで、deep probe が認証 SecretRefs を解決できなかった	deep-probe 認証ソース / SecretRef の可用性	いいえ
`gateway.probe_failed`	警告/重大	ライブ Gateway プローブに失敗した	gateway 到達性/認証	いいえ
`discovery.mdns_full_mode`	警告/重大	mDNS フルモードがローカルネットワーク上で `cliPath`/`sshPort` メタデータをアドバタイズする	`discovery.mdns.mode`, `gateway.bind`	いいえ
`config.insecure_or_dangerous_flags`	警告	安全でない、または危険なデバッグフラグが有効になっている	複数のキー（検出事項の詳細を参照）	いいえ
`config.secrets.gateway_password_in_config`	警告	Gateway パスワードが config に直接保存されている	`gateway.auth.password`	いいえ
`config.secrets.hooks_token_in_config`	警告	フックの bearer token が config に直接保存されている	`hooks.token`	いいえ
`hooks.token_reuse_gateway_token`	重大	フック ingress token が Gateway 認証も解除する	`hooks.token`, `gateway.auth.token`	いいえ
`hooks.token_too_short`	警告	フック ingress に対するブルートフォースが容易になる	`hooks.token`	いいえ
`hooks.default_session_key_unset`	警告	フックエージェントの実行が、生成されたリクエストごとのセッションへファンアウトする	`hooks.defaultSessionKey`	いいえ
`hooks.allowed_agent_ids_unrestricted`	警告/重大	認証済みのフック呼び出し元が、設定済みの任意のエージェントへルーティングできる	`hooks.allowedAgentIds`	いいえ
`hooks.request_session_key_enabled`	警告/重大	外部呼び出し元が sessionKey を選択できる	`hooks.allowRequestSessionKey`	いいえ
`hooks.request_session_key_prefixes_missing`	警告/重大	外部セッションキーの形状に制限がない	`hooks.allowedSessionKeyPrefixes`	いいえ
`hooks.path_root`	重大	フックパスが `/` であり、ingress の衝突や誤ルーティングが起きやすくなる	`hooks.path`	いいえ
`hooks.installs_unpinned_npm_specs`	警告	フックインストールレコードが immutable な npm specs に固定されていない	フックインストールメタデータ	いいえ
`hooks.installs_missing_integrity`	警告	フックインストールレコードに整合性メタデータがない	フックインストールメタデータ	いいえ
`hooks.installs_version_drift`	警告	フックインストールレコードがインストール済みパッケージからドリフトしている	フックインストールメタデータ	いいえ
`logging.redact_off`	警告	機密値がログ/status に漏えいする	`logging.redactSensitive`	はい
`browser.control_invalid_config`	警告	Browser control config が runtime 前に無効である	`browser.*`	いいえ
`browser.control_no_auth`	重大	Browser control が token/password 認証なしで公開されている	`gateway.auth.*`	いいえ
`browser.remote_cdp_http`	警告	プレーン HTTP 経由のリモート CDP にはトランスポート暗号化がない	browser profile `cdpUrl`	いいえ
`browser.remote_cdp_private_host`	警告	リモート CDP が private/internal ホストを対象にしている	browser profile `cdpUrl`, `browser.ssrfPolicy.*`	いいえ
`sandbox.docker_config_mode_off`	警告	Sandbox Docker config が存在するが非アクティブである	`agents.*.sandbox.mode`	いいえ
`sandbox.bind_mount_non_absolute`	警告	相対 bind mount は予測不能に解決される可能性がある	`agents.*.sandbox.docker.binds[]`	いいえ
`sandbox.dangerous_bind_mount`	重大	Sandbox bind mount が、ブロック対象のシステム、認証情報、または Docker socket パスを対象にしている	`agents.*.sandbox.docker.binds[]`	いいえ
`sandbox.dangerous_network_mode`	重大	Sandbox Docker network が `host` または `container:*` namespace-join モードを使用している	`agents.*.sandbox.docker.network`	いいえ
`sandbox.dangerous_seccomp_profile`	重大	Sandbox seccomp profile がコンテナ分離を弱める	`agents.*.sandbox.docker.securityOpt`	いいえ
`sandbox.dangerous_apparmor_profile`	重大	Sandbox AppArmor profile がコンテナ分離を弱める	`agents.*.sandbox.docker.securityOpt`	いいえ
`sandbox.browser_cdp_bridge_unrestricted`	警告	Sandbox browser bridge がソース範囲制限なしで公開されている	`sandbox.browser.cdpSourceRange`	いいえ
`sandbox.browser_container.non_loopback_publish`	重大	既存の browser container が non-loopback インターフェースで CDP を公開している	browser sandbox container publish config	いいえ
`sandbox.browser_container.hash_label_missing`	警告	既存の browser container が現在の config-hash labels より前のものである	`openclaw sandbox recreate --browser --all`	いいえ
`sandbox.browser_container.hash_epoch_stale`	警告	既存の browser container が現在の browser config epoch より前のものである	`openclaw sandbox recreate --browser --all`	いいえ
`tools.exec.host_sandbox_no_sandbox_defaults`	警告	sandbox がオフの場合、`exec host=sandbox` は fail closed する	`tools.exec.host`, `agents.defaults.sandbox.mode`	いいえ
`tools.exec.host_sandbox_no_sandbox_agents`	警告	sandbox がオフの場合、エージェントごとの `exec host=sandbox` は fail closed する	`agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`	いいえ
`tools.exec.security_full_configured`	警告/重大	Host exec が `security="full"` で実行されている	`tools.exec.security`, `agents.list[].tools.exec.security`	いいえ
`tools.exec.fs_tools_disabled_but_exec_enabled`	警告	ファイルシステムツールポリシーはシェル実行を読み取り専用にしない	`tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess`	いいえ
`tools.exec.auto_allow_skills_enabled`	警告	Exec approvals が skill bins を暗黙的に信頼する	`~/.openclaw/exec-approvals.json`	いいえ
`tools.exec.allowlist_interpreter_without_strict_inline_eval`	警告	Interpreter allowlists が、強制的な再承認なしで inline eval を許可する	`tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, exec approvals allowlist	いいえ
`tools.exec.safe_bins_interpreter_unprofiled`	警告	明示的なプロファイルなしで `safeBins` に含まれる interpreter/runtime bins が exec リスクを広げる	`tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`	いいえ
`tools.exec.safe_bins_broad_behavior`	警告	`safeBins` 内の broad-behavior tools が低リスク stdin-filter 信頼モデルを弱める	`tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`	いいえ
`tools.exec.safe_bin_trusted_dirs_risky`	警告	`safeBinTrustedDirs` に mutable またはリスクのあるディレクトリが含まれている	`tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs`	いいえ
`skills.workspace.symlink_escape`	警告	ワークスペースの `skills/**/SKILL.md` がワークスペースルート外に解決される（symlink-chain drift）	ワークスペース `skills/**` ファイルシステム状態	いいえ
`plugins.extensions_no_allowlist`	warn	Plugins が明示的な plugin allowlist なしでインストールされています	`plugins.allowlist`	no
`plugins.installs_unpinned_npm_specs`	warn	Plugin インデックスレコードが不変の npm spec にピン留めされていません	plugin インストールメタデータ	no
`plugins.installs_missing_integrity`	warn	Plugin インデックスレコードに integrity メタデータがありません	plugin インストールメタデータ	no
`plugins.installs_version_drift`	warn	Plugin インデックスレコードがインストール済みパッケージからずれています	plugin インストールメタデータ	no
`plugins.code_safety`	warn/critical	Plugin コードスキャンで疑わしい、または危険なパターンが見つかりました	plugin コード / インストール元	no
`plugins.code_safety.entry_path`	warn	Plugin エントリパスが隠し場所または `node_modules` の場所を指しています	plugin manifest `entry`	no
`plugins.code_safety.entry_escape`	critical	Plugin エントリが plugin ディレクトリの外へ抜け出しています	plugin manifest `entry`	no
`plugins.code_safety.scan_failed`	warn	Plugin コードスキャンを完了できませんでした	plugin パス / スキャン環境	no
`skills.code_safety`	warn/critical	Skill インストーラーメタデータ/コードに疑わしい、または危険なパターンが含まれています	skill インストール元	no
`skills.code_safety.scan_failed`	warn	Skill コードスキャンを完了できませんでした	skill スキャン環境	no
`security.exposure.open_channels_with_exec`	warn/critical	共有/公開ルームが exec 有効のエージェントに到達できます	`channels..dmPolicy`, `channels..groupPolicy`, `tools.exec.`, `agents.list[].tools.exec.`	no
`security.exposure.open_groups_with_elevated`	critical	オープングループ + 昇格ツールは影響の大きいプロンプトインジェクション経路を作ります	`channels..groupPolicy`, `tools.elevated.`	no
`security.exposure.open_groups_with_runtime_or_fs`	critical/warn	オープングループが sandbox/workspace ガードなしでコマンド/ファイルツールに到達できます	`channels..groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents..sandbox.mode`	no
`security.trust_model.multi_user_heuristic`	warn	Gateway の信頼モデルがパーソナルアシスタントである一方、設定はマルチユーザーに見えます	信頼境界を分割する、または共有ユーザー向けの強化（`sandbox.mode`、ツール deny/workspace スコープ設定）	no
`tools.profile_minimal_overridden`	warn	エージェントの override がグローバルな最小 profile をバイパスしています	`agents.list[].tools.profile`	no
`plugins.tools_reachable_permissive_policy`	warn	拡張ツールが許容的なコンテキストで到達可能です	`tools.profile` + ツール allow/deny	no
`models.legacy`	warn	レガシーモデルファミリーがまだ設定されています	モデル選択	no
`models.weak_tier`	warn	設定済みモデルが現在の推奨 tier を下回っています	モデル選択	no
`models.small_params`	critical/info	小規模モデル + 安全でないツールサーフェスによりインジェクションリスクが高まります	モデル選択 + sandbox/ツールポリシー	no
`summary.attack_surface`	info	認証、チャネル、ツール、露出状況の集約サマリー	複数のキー（finding の詳細を参照）	no

Documentation Index

​関連

関連