メインコンテンツへスキップ
openclaw security audit は、checkId をキーにした構造化された検出事項を出力します。このページは、それらの ID の参照カタログです。高レベルの脅威モデルと堅牢化ガイダンスについては、セキュリティ を参照してください。 一部のチェックは openclaw security audit --deep でのみ実行されます: plugin/skill コードスキャン (plugins.code_safety*, skills.code_safety*) とライブ Gateway プローブチェック (gateway.probe_*) です。この表のそれ以外の項目はすべて、通常の openclaw security audit で実行されます。 warn/critical のような重大度は、同じ checkId が設定に応じてどちらのレベルでも出力され得ることを意味します (たとえば、Gateway がリモートに公開されているかどうか)。実際のデプロイで目にする可能性が最も高い、高シグナルの値 (網羅的ではありません):
checkId重要度重要な理由主な修正キー/パス自動修正
fs.state_dir.perms_world_writable重大他のユーザー/プロセスが OpenClaw の全状態を変更できる~/.openclaw のファイルシステム権限はい
fs.state_dir.perms_group_writable警告グループユーザーが OpenClaw の全状態を変更できる~/.openclaw のファイルシステム権限はい
fs.state_dir.perms_readable警告状態ディレクトリが他者から読み取り可能になっている~/.openclaw のファイルシステム権限はい
fs.state_dir.symlink警告状態ディレクトリのターゲットが別の信頼境界になる状態ディレクトリのファイルシステムレイアウトいいえ
fs.config.perms_writable重大他者が認証/ツールポリシー/設定を変更できる~/.openclaw/openclaw.json のファイルシステム権限はい
fs.config.symlink警告シンボリックリンクされた設定ファイルは書き込みがサポートされず、別の信頼境界を追加する通常の設定ファイルに置き換えるか、OPENCLAW_CONFIG_PATH で実ファイルを指すいいえ
fs.config.perms_group_readable警告グループユーザーが設定トークン/設定値を読み取れる設定ファイルのファイルシステム権限はい
fs.config.perms_world_readable重大設定がトークン/設定値を露出する可能性がある設定ファイルのファイルシステム権限はい
fs.config_include.perms_writable重大設定インクルードファイルが他者に変更される可能性があるopenclaw.json から参照されるインクルードファイルの権限はい
fs.config_include.perms_group_readable警告グループユーザーが含まれるシークレット/設定値を読み取れるopenclaw.json から参照されるインクルードファイルの権限はい
fs.config_include.perms_world_readable重大含まれるシークレット/設定値が全ユーザーから読み取り可能になっているopenclaw.json から参照されるインクルードファイルの権限はい
fs.auth_profiles.perms_writable重大他者が保存済みモデル認証情報を注入または置き換えられるagents/<agentId>/agent/auth-profiles.json の権限はい
fs.auth_profiles.perms_readable警告他者が API キーと OAuth トークンを読み取れるagents/<agentId>/agent/auth-profiles.json の権限はい
fs.credentials_dir.perms_writable重大他者がチャネルペアリング/認証情報の状態を変更できる~/.openclaw/credentials のファイルシステム権限はい
fs.credentials_dir.perms_readable警告他者がチャネル認証情報の状態を読み取れる~/.openclaw/credentials のファイルシステム権限はい
fs.sessions_store.perms_readable警告他者がセッションのトランスクリプト/メタデータを読み取れるセッションストアの権限はい
fs.log_file.perms_readable警告他者が編集済みだが依然として機微なログを読み取れるGateway ログファイルの権限はい
fs.synced_dir警告iCloud/Dropbox/Drive 内の状態/設定により、トークン/トランスクリプトの露出範囲が広がる設定/状態を同期フォルダー外へ移動するいいえ
gateway.bind_no_auth重大共有シークレットなしのリモートバインドgateway.bind, gateway.auth.*いいえ
gateway.loopback_no_auth重大リバースプロキシされたループバックが未認証になる可能性があるgateway.auth.*, プロキシ設定いいえ
gateway.trusted_proxies_missing警告リバースプロキシヘッダーが存在するが信頼されていないgateway.trustedProxiesいいえ
gateway.http.no_auth警告/重大auth.mode="none" で Gateway HTTP API に到達可能gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpcいいえ
gateway.http.session_key_override_enabled情報HTTP API 呼び出し元が sessionKey を上書きできるgateway.http.allowSessionKeyOverrideいいえ
gateway.tools_invoke_http.dangerous_allow警告/重大オーナー/管理者の呼び出し元に対して HTTP API 経由の危険なツールを再有効化するgateway.tools.allowいいえ
gateway.nodes.allow_commands_dangerous警告/重大影響の大きいノードコマンド(カメラ/画面/連絡先/カレンダー/SMS)を有効化するgateway.nodes.allowCommandsいいえ
gateway.nodes.deny_commands_ineffective警告パターン風の拒否エントリはシェルテキストやグループに一致しないgateway.nodes.denyCommandsいいえ
gateway.tailscale_funnel重大パブリックインターネットに露出するgateway.tailscale.modeいいえ
gateway.tailscale_serve情報Serve 経由の tailnet 露出が有効になっているgateway.tailscale.modeいいえ
gateway.control_ui.allowed_origins_required重大明示的なブラウザーオリジン許可リストなしの非ループバック Control UIgateway.controlUi.allowedOriginsいいえ
gateway.control_ui.allowed_origins_wildcard警告/重大allowedOrigins=["*"] がブラウザーオリジン許可リストを無効化するgateway.controlUi.allowedOriginsいいえ
gateway.control_ui.host_header_origin_fallback警告/重大Host ヘッダーのオリジンフォールバックを有効化する(DNS リバインディング堅牢化の低下)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallbackいいえ
gateway.control_ui.insecure_auth警告安全でない認証の互換性トグルが有効になっているgateway.controlUi.allowInsecureAuthいいえ
gateway.control_ui.device_auth_disabled重大デバイス ID チェックを無効化するgateway.controlUi.dangerouslyDisableDeviceAuthいいえ
gateway.real_ip_fallback_enabled警告/重大X-Real-IP フォールバックを信頼すると、プロキシ設定ミスにより送信元 IP 偽装が可能になるgateway.allowRealIpFallback, gateway.trustedProxiesいいえ
gateway.token_too_short警告短い共有トークンは総当たり攻撃を受けやすいgateway.auth.tokenいいえ
gateway.auth_no_rate_limit警告レート制限なしで認証を露出すると、総当たり攻撃のリスクが高まるgateway.auth.rateLimitいいえ
gateway.trusted_proxy_auth重大プロキシ ID が認証境界になるgateway.auth.mode="trusted-proxy"いいえ
gateway.trusted_proxy_no_proxies重大信頼済みプロキシ IP なしの信頼済みプロキシ認証は安全ではないgateway.trustedProxiesいいえ
gateway.trusted_proxy_no_user_headercriticaltrusted-proxy 認証がユーザー ID を安全に解決できませんgateway.auth.trustedProxy.userHeaderno
gateway.trusted_proxy_no_allowlistwarntrusted-proxy 認証が認証済みの任意のアップストリームユーザーを受け入れますgateway.auth.trustedProxy.allowUsersno
gateway.trusted_proxy_allow_loopbackwarntrusted-proxy 認証が明示的に許可されたループバックプロキシソースを受け入れますgateway.auth.trustedProxy.allowLoopbackno
gateway.probe_auth_secretref_unavailablewarnこのコマンドパスで詳細プローブが認証 SecretRef を解決できませんでした詳細プローブの認証ソース / SecretRef の可用性no
gateway.probe_failedwarn実行中の Gateway プローブに失敗しました(--deep のみ)gateway の到達性/認証no
discovery.mdns_full_modewarn/criticalmDNS フルモードはローカルネットワーク上で cliPath/sshPort メタデータを広告しますdiscovery.mdns.mode, gateway.bindno
config.insecure_or_dangerous_flagswarn安全でない、または危険なデバッグフラグが 1 つ有効です検出詳細で名前が示されたキーno
security.audit.suppressions.activeinfo監査出力には設定済みの抑制があり、フィルタリングされている可能性がありますsecurity.audit.suppressionsno
config.secrets.gateway_password_in_configwarnGateway パスワードが config に直接保存されていますgateway.auth.passwordno
config.secrets.hooks_token_in_configwarnフック bearer トークンが config に直接保存されていますhooks.tokenno
hooks.token_reuse_gateway_tokencriticalフック ingress トークンが Gateway 認証も解除しますhooks.token, gateway.auth.token, gateway.auth.passwordno
hooks.token_too_shortwarnフック ingress へのブルートフォースが容易になりますhooks.tokenno
hooks.default_session_key_unsetwarnフックエージェント実行が、リクエストごとに生成されるセッションへファンアウトしますhooks.defaultSessionKeyno
hooks.allowed_agent_ids_unrestrictedwarn/critical認証済みフック呼び出し元が、設定済みの任意のエージェントへルーティングできますhooks.allowedAgentIdsno
hooks.request_session_key_enabledwarn/critical外部呼び出し元が sessionKey を選択できますhooks.allowRequestSessionKeyno
hooks.request_session_key_prefixes_missingwarn/critical外部セッションキーの形状に制限がありませんhooks.allowedSessionKeyPrefixesno
hooks.path_rootcriticalフックパスが / であり、ingress が衝突または誤ルーティングしやすくなりますhooks.pathno
hooks.installs_unpinned_npm_specswarnフックのインストール記録が不変の npm spec に固定されていませんフックインストールメタデータno
hooks.installs_missing_integritywarnフックのインストール記録に integrity メタデータがありませんフックインストールメタデータno
hooks.installs_version_driftwarnフックのインストール記録がインストール済みパッケージからずれていますフックインストールメタデータno
logging.redact_offwarn機密値がログ/ステータスへ漏えいしますlogging.redactSensitiveyes
browser.control_invalid_configwarnブラウザー制御 config がランタイム前に無効ですbrowser.*no
browser.control_no_authcriticalブラウザー制御がトークン/パスワード認証なしで公開されていますgateway.auth.*no
browser.remote_cdp_httpwarnプレーン HTTP 経由のリモート CDP にはトランスポート暗号化がありませんブラウザープロファイル cdpUrlno
browser.remote_cdp_private_hostwarnリモート CDP がプライベート/内部ホストを対象にしていますブラウザープロファイル cdpUrl, browser.ssrfPolicy.*no
sandbox.docker_config_mode_offwarnSandbox Docker config は存在しますが非アクティブですagents.*.sandbox.modeno
sandbox.bind_mount_non_absolutewarn相対 bind mount は予測不能に解決される可能性がありますagents.*.sandbox.docker.binds[]no
sandbox.dangerous_bind_mountcriticalSandbox bind mount が、ブロック対象のシステム、認証情報、または Docker ソケットパスを対象にしていますagents.*.sandbox.docker.binds[]no
sandbox.dangerous_network_modecriticalSandbox Docker ネットワークが host または container:* の名前空間参加モードを使用していますagents.*.sandbox.docker.networkno
sandbox.dangerous_seccomp_profilecriticalSandbox seccomp プロファイルがコンテナ分離を弱めていますagents.*.sandbox.docker.securityOptno
sandbox.dangerous_apparmor_profilecriticalSandbox AppArmor プロファイルがコンテナ分離を弱めていますagents.*.sandbox.docker.securityOptno
sandbox.browser_cdp_bridge_unrestrictedwarnSandbox ブラウザーブリッジがソース範囲制限なしで公開されていますsandbox.browser.cdpSourceRangeno
sandbox.browser_container.non_loopback_publishcritical既存のブラウザーコンテナが非ループバックインターフェイスで CDP を公開していますブラウザー Sandbox コンテナ公開 configno
sandbox.browser_container.hash_label_missingwarn既存のブラウザーコンテナが現在の config ハッシュラベルより前のものですopenclaw sandbox recreate --browser --allno
sandbox.browser_container.hash_epoch_stalewarn既存のブラウザーコンテナが現在のブラウザー config エポックより前のものですopenclaw sandbox recreate --browser --allno
sandbox.browser_container.docker_probe_timeoutwarnブラウザーコンテナの Docker ラベルプローブがタイムアウトしましたDocker デーモンの到達性no
tools.exec.host_sandbox_no_sandbox_defaultswarnSandbox がオフの場合、exec host=sandbox は fail closed しますtools.exec.host, agents.defaults.sandbox.modeno
tools.exec.host_sandbox_no_sandbox_agentswarnSandbox がオフの場合、エージェントごとの exec host=sandbox は fail closed しますagents.list[].tools.exec.host, agents.list[].sandbox.modeno
tools.exec.security_full_configuredwarn/criticalhost exec が security="full" で実行されていますtools.exec.security, agents.list[].tools.exec.securityno
tools.exec.agent_skill_mcp_boundary_driftwarnエージェント Skills の allowlist が存在する一方で、host exec が MCP クライアント/レジストリに到達できますagents.list[].tools.exec.*, Sandbox/OS 分離, MCP サーバー認証情報no
tools.exec.fs_tools_disabled_but_exec_enabled警告ファイルシステムツールポリシーはシェル実行を読み取り専用にしないtools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccessいいえ
tools.exec.auto_allow_skills_enabled警告exec 承認が skill bin を暗黙的に信頼しているホスト承認ファイルいいえ
tools.exec.allowlist_interpreter_without_strict_inline_eval警告インタープリター許可リストが強制再承認なしでインライン eval を許可するtools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, exec 承認許可リストいいえ
tools.exec.safe_bins_interpreter_unprofiled警告明示的なプロファイルなしで safeBins にあるインタープリター/ランタイム bin が exec リスクを広げるtools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.*いいえ
tools.exec.safe_bins_broad_behavior警告safeBins 内の広範な挙動を持つツールが、低リスク stdin フィルターの信頼モデルを弱めるtools.exec.safeBins, agents.list[].tools.exec.safeBinsいいえ
tools.exec.safe_bin_trusted_dirs_risky警告safeBinTrustedDirs に変更可能またはリスクのあるディレクトリが含まれているtools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirsいいえ
tools.elevated.allowFrom.<provider>.wildcard重大tools.elevated.allowFrom.<provider>"*" が含まれ、すべての送信者を承認しているtools.elevated.allowFrom.<provider>いいえ
tools.elevated.allowFrom.<provider>.large警告<provider> の昇格許可リストに 25 件を超えるエントリがあるtools.elevated.allowFrom.<provider>いいえ
agents.claude_cli.permission_mode_overridden_by_yolo警告OpenClaw の exec が完全に無人実行されるため、Claude CLI --permission-mode は無視されるtools.exec.security, tools.exec.ask, cliBackends.claude-cli 引数いいえ
skills.workspace.symlink_escape警告ワークスペースの skills/**/SKILL.md がワークスペースルート外に解決される(シンボリックリンクチェーンのずれ)ワークスペース skills/** のファイルシステム状態いいえ
skills.workspace.scan_truncated警告ワークスペース skill スキャンが完了前にディレクトリ訪問上限に達したワークスペース skills/ ディレクトリツリーをフラット化/簡素化いいえ
plugins.extensions_no_allowlist警告明示的な Plugin 許可リストなしで Plugin がインストールされているplugins.allowlistいいえ
plugins.allow_phantom_entries警告plugins.allow に、一致するインストール済み Plugin がない ID が列挙されているplugins.allowいいえ
plugins.installs_unpinned_npm_specs警告Plugin インデックスレコードが不変の npm spec に固定されていないPlugin インストールメタデータいいえ
plugins.installs_missing_integrity警告Plugin インデックスレコードに整合性メタデータがないPlugin インストールメタデータいいえ
plugins.installs_version_drift警告Plugin インデックスレコードがインストール済みパッケージからずれているPlugin インストールメタデータいいえ
plugins.code_safety警告/重大Plugin コードスキャンで疑わしい、または危険なパターンが見つかった(--deep のみ)Plugin コード / インストール元いいえ
plugins.code_safety.entry_path警告Plugin エントリパスが隠し場所または node_modules の場所を指しているPlugin マニフェスト entryいいえ
plugins.code_safety.entry_escape重大Plugin エントリが Plugin ディレクトリから脱出しているPlugin マニフェスト entryいいえ
plugins.code_safety.manifest_parse_error警告コード安全性スキャン中に Plugin マニフェストを解析できなかったPlugin マニフェストファイルいいえ
plugins.code_safety.scan_failed警告Plugin コードスキャンを完了できなかった(--deep のみ)Plugin パス / スキャン環境いいえ
plugins.<pluginId>.security_audit_failed警告Plugin 所有のセキュリティ監査コレクターがエラーを投げたその Plugin のセキュリティ監査コレクターいいえ
skills.code_safety警告/重大Skill インストーラーのメタデータ/コードに疑わしい、または危険なパターンが含まれている(--deep のみ)Skill インストール元いいえ
skills.code_safety.scan_failed警告Skill コードスキャンを完了できなかった(--deep のみ)Skill スキャン環境いいえ
security.exposure.open_channels_with_exec警告/重大共有/公開ルームから exec 有効エージェントに到達できるchannels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.*いいえ
security.exposure.open_groups_with_elevated重大オープンな DM/グループと昇格ツールが高影響のプロンプトインジェクション経路を作るトップレベルまたはネストされた DM ポリシーパス、アカウント上書き、channels.*.groupPolicyいいえ
security.exposure.open_groups_with_runtime_or_fs重大/警告オープンな DM/グループから、サンドボックス/ワークスペースガードなしでコマンド/ファイルツールに到達できるDM/グループポリシーパス、tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.modeいいえ
security.trust_model.multi_user_heuristic警告設定はマルチユーザーに見えるが、Gateway の信頼モデルは個人アシスタントである信頼境界の分離、または共有ユーザーの堅牢化(sandbox.mode, ツール deny/ワークスペーススコープ設定)いいえ
tools.profile_minimal_overridden警告エージェントの上書きがグローバル最小プロファイルをバイパスしているagents.list[].tools.profileいいえ
plugins.tools_reachable_permissive_policy警告permissive なコンテキストで Extension ツールに到達できるtools.profile + ツール allow/denyいいえ
models.legacy警告レガシーモデルファミリーがまだ設定されているモデル選択いいえ
models.weak_tier警告設定済みモデルが現在の推奨ティアを下回っているモデル選択いいえ
models.small_params重大/情報小規模モデルと安全でないツールサーフェスによりインジェクションリスクが高まるモデル選択 + サンドボックス/ツールポリシーいいえ
channels.<provider>.dm.open重大<provider> の DM ポリシーが "open" であり、誰でも bot に DM できるchannels.<provider>.dmPolicy, .allowFromいいえ
channels.<provider>.dm.open_invalid警告allowFrom"*" がない dmPolicy="open" は一貫性がないchannels.<provider>.allowFromいいえ
channels.<provider>.dm.scope_main_multiuser警告複数の DM 送信者が現在メインセッションを共有しているsession.dmScopeいいえ
channels.<provider>.allowFrom.dangerous_name_matching_enabled情報dangerouslyAllowNameMatching が、変更可能な名前/メール/タグによる送信者マッチングを再有効化しているdangerouslyAllowNameMatching を無効化し、安定した送信者 ID を使用いいえ
channels.<provider>.account.read_only_resolution警告チャンネルアカウントを監査用に完全解決できなかった(secret/Gateway が欠落)参照される secret が解決可能であることを確認するか、ライブ Gateway スナップショットに対して実行するいいえ
channels.<provider>.warning.<n>情報/警告/重大プロバイダー固有のセキュリティ警告。自由形式の Plugin テキストから分類されたfinding の詳細を参照いいえ
summary.attack_surface情報認証、チャンネル、ツール、露出状況のロールアップ概要複数のキー(finding の詳細を参照)いいえ
channels.<provider>.*tools.elevated.allowFrom.<provider>.* の checkIds は、構成済みのチャネル/プロバイダーごとに生成されるため、実際の出力では <provider> はリテラル文字列ではなく、実際のチャネル ID(例: telegramdiscord)です。

関連