fs.state_dir.perms_world_writable | 重大 | 他のユーザー/プロセスが OpenClaw の全状態を変更できる | ~/.openclaw のファイルシステム権限 | はい |
fs.state_dir.perms_group_writable | 警告 | グループユーザーが OpenClaw の全状態を変更できる | ~/.openclaw のファイルシステム権限 | はい |
fs.state_dir.perms_readable | 警告 | 状態ディレクトリが他者から読み取り可能になっている | ~/.openclaw のファイルシステム権限 | はい |
fs.state_dir.symlink | 警告 | 状態ディレクトリのターゲットが別の信頼境界になる | 状態ディレクトリのファイルシステムレイアウト | いいえ |
fs.config.perms_writable | 重大 | 他者が認証/ツールポリシー/設定を変更できる | ~/.openclaw/openclaw.json のファイルシステム権限 | はい |
fs.config.symlink | 警告 | シンボリックリンクされた設定ファイルは書き込みがサポートされず、別の信頼境界を追加する | 通常の設定ファイルに置き換えるか、OPENCLAW_CONFIG_PATH で実ファイルを指す | いいえ |
fs.config.perms_group_readable | 警告 | グループユーザーが設定トークン/設定値を読み取れる | 設定ファイルのファイルシステム権限 | はい |
fs.config.perms_world_readable | 重大 | 設定がトークン/設定値を露出する可能性がある | 設定ファイルのファイルシステム権限 | はい |
fs.config_include.perms_writable | 重大 | 設定インクルードファイルが他者に変更される可能性がある | openclaw.json から参照されるインクルードファイルの権限 | はい |
fs.config_include.perms_group_readable | 警告 | グループユーザーが含まれるシークレット/設定値を読み取れる | openclaw.json から参照されるインクルードファイルの権限 | はい |
fs.config_include.perms_world_readable | 重大 | 含まれるシークレット/設定値が全ユーザーから読み取り可能になっている | openclaw.json から参照されるインクルードファイルの権限 | はい |
fs.auth_profiles.perms_writable | 重大 | 他者が保存済みモデル認証情報を注入または置き換えられる | agents/<agentId>/agent/auth-profiles.json の権限 | はい |
fs.auth_profiles.perms_readable | 警告 | 他者が API キーと OAuth トークンを読み取れる | agents/<agentId>/agent/auth-profiles.json の権限 | はい |
fs.credentials_dir.perms_writable | 重大 | 他者がチャネルペアリング/認証情報の状態を変更できる | ~/.openclaw/credentials のファイルシステム権限 | はい |
fs.credentials_dir.perms_readable | 警告 | 他者がチャネル認証情報の状態を読み取れる | ~/.openclaw/credentials のファイルシステム権限 | はい |
fs.sessions_store.perms_readable | 警告 | 他者がセッションのトランスクリプト/メタデータを読み取れる | セッションストアの権限 | はい |
fs.log_file.perms_readable | 警告 | 他者が編集済みだが依然として機微なログを読み取れる | Gateway ログファイルの権限 | はい |
fs.synced_dir | 警告 | iCloud/Dropbox/Drive 内の状態/設定により、トークン/トランスクリプトの露出範囲が広がる | 設定/状態を同期フォルダー外へ移動する | いいえ |
gateway.bind_no_auth | 重大 | 共有シークレットなしのリモートバインド | gateway.bind, gateway.auth.* | いいえ |
gateway.loopback_no_auth | 重大 | リバースプロキシされたループバックが未認証になる可能性がある | gateway.auth.*, プロキシ設定 | いいえ |
gateway.trusted_proxies_missing | 警告 | リバースプロキシヘッダーが存在するが信頼されていない | gateway.trustedProxies | いいえ |
gateway.http.no_auth | 警告/重大 | auth.mode="none" で Gateway HTTP API に到達可能 | gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpc | いいえ |
gateway.http.session_key_override_enabled | 情報 | HTTP API 呼び出し元が sessionKey を上書きできる | gateway.http.allowSessionKeyOverride | いいえ |
gateway.tools_invoke_http.dangerous_allow | 警告/重大 | オーナー/管理者の呼び出し元に対して HTTP API 経由の危険なツールを再有効化する | gateway.tools.allow | いいえ |
gateway.nodes.allow_commands_dangerous | 警告/重大 | 影響の大きいノードコマンド(カメラ/画面/連絡先/カレンダー/SMS)を有効化する | gateway.nodes.allowCommands | いいえ |
gateway.nodes.deny_commands_ineffective | 警告 | パターン風の拒否エントリはシェルテキストやグループに一致しない | gateway.nodes.denyCommands | いいえ |
gateway.tailscale_funnel | 重大 | パブリックインターネットに露出する | gateway.tailscale.mode | いいえ |
gateway.tailscale_serve | 情報 | Serve 経由の tailnet 露出が有効になっている | gateway.tailscale.mode | いいえ |
gateway.control_ui.allowed_origins_required | 重大 | 明示的なブラウザーオリジン許可リストなしの非ループバック Control UI | gateway.controlUi.allowedOrigins | いいえ |
gateway.control_ui.allowed_origins_wildcard | 警告/重大 | allowedOrigins=["*"] がブラウザーオリジン許可リストを無効化する | gateway.controlUi.allowedOrigins | いいえ |
gateway.control_ui.host_header_origin_fallback | 警告/重大 | Host ヘッダーのオリジンフォールバックを有効化する(DNS リバインディング堅牢化の低下) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback | いいえ |
gateway.control_ui.insecure_auth | 警告 | 安全でない認証の互換性トグルが有効になっている | gateway.controlUi.allowInsecureAuth | いいえ |
gateway.control_ui.device_auth_disabled | 重大 | デバイス ID チェックを無効化する | gateway.controlUi.dangerouslyDisableDeviceAuth | いいえ |
gateway.real_ip_fallback_enabled | 警告/重大 | X-Real-IP フォールバックを信頼すると、プロキシ設定ミスにより送信元 IP 偽装が可能になる | gateway.allowRealIpFallback, gateway.trustedProxies | いいえ |
gateway.token_too_short | 警告 | 短い共有トークンは総当たり攻撃を受けやすい | gateway.auth.token | いいえ |
gateway.auth_no_rate_limit | 警告 | レート制限なしで認証を露出すると、総当たり攻撃のリスクが高まる | gateway.auth.rateLimit | いいえ |
gateway.trusted_proxy_auth | 重大 | プロキシ ID が認証境界になる | gateway.auth.mode="trusted-proxy" | いいえ |
gateway.trusted_proxy_no_proxies | 重大 | 信頼済みプロキシ IP なしの信頼済みプロキシ認証は安全ではない | gateway.trustedProxies | いいえ |
gateway.trusted_proxy_no_user_header | critical | trusted-proxy 認証がユーザー ID を安全に解決できません | gateway.auth.trustedProxy.userHeader | no |
gateway.trusted_proxy_no_allowlist | warn | trusted-proxy 認証が認証済みの任意のアップストリームユーザーを受け入れます | gateway.auth.trustedProxy.allowUsers | no |
gateway.trusted_proxy_allow_loopback | warn | trusted-proxy 認証が明示的に許可されたループバックプロキシソースを受け入れます | gateway.auth.trustedProxy.allowLoopback | no |
gateway.probe_auth_secretref_unavailable | warn | このコマンドパスで詳細プローブが認証 SecretRef を解決できませんでした | 詳細プローブの認証ソース / SecretRef の可用性 | no |
gateway.probe_failed | warn | 実行中の Gateway プローブに失敗しました(--deep のみ) | gateway の到達性/認証 | no |
discovery.mdns_full_mode | warn/critical | mDNS フルモードはローカルネットワーク上で cliPath/sshPort メタデータを広告します | discovery.mdns.mode, gateway.bind | no |
config.insecure_or_dangerous_flags | warn | 安全でない、または危険なデバッグフラグが 1 つ有効です | 検出詳細で名前が示されたキー | no |
security.audit.suppressions.active | info | 監査出力には設定済みの抑制があり、フィルタリングされている可能性があります | security.audit.suppressions | no |
config.secrets.gateway_password_in_config | warn | Gateway パスワードが config に直接保存されています | gateway.auth.password | no |
config.secrets.hooks_token_in_config | warn | フック bearer トークンが config に直接保存されています | hooks.token | no |
hooks.token_reuse_gateway_token | critical | フック ingress トークンが Gateway 認証も解除します | hooks.token, gateway.auth.token, gateway.auth.password | no |
hooks.token_too_short | warn | フック ingress へのブルートフォースが容易になります | hooks.token | no |
hooks.default_session_key_unset | warn | フックエージェント実行が、リクエストごとに生成されるセッションへファンアウトします | hooks.defaultSessionKey | no |
hooks.allowed_agent_ids_unrestricted | warn/critical | 認証済みフック呼び出し元が、設定済みの任意のエージェントへルーティングできます | hooks.allowedAgentIds | no |
hooks.request_session_key_enabled | warn/critical | 外部呼び出し元が sessionKey を選択できます | hooks.allowRequestSessionKey | no |
hooks.request_session_key_prefixes_missing | warn/critical | 外部セッションキーの形状に制限がありません | hooks.allowedSessionKeyPrefixes | no |
hooks.path_root | critical | フックパスが / であり、ingress が衝突または誤ルーティングしやすくなります | hooks.path | no |
hooks.installs_unpinned_npm_specs | warn | フックのインストール記録が不変の npm spec に固定されていません | フックインストールメタデータ | no |
hooks.installs_missing_integrity | warn | フックのインストール記録に integrity メタデータがありません | フックインストールメタデータ | no |
hooks.installs_version_drift | warn | フックのインストール記録がインストール済みパッケージからずれています | フックインストールメタデータ | no |
logging.redact_off | warn | 機密値がログ/ステータスへ漏えいします | logging.redactSensitive | yes |
browser.control_invalid_config | warn | ブラウザー制御 config がランタイム前に無効です | browser.* | no |
browser.control_no_auth | critical | ブラウザー制御がトークン/パスワード認証なしで公開されています | gateway.auth.* | no |
browser.remote_cdp_http | warn | プレーン HTTP 経由のリモート CDP にはトランスポート暗号化がありません | ブラウザープロファイル cdpUrl | no |
browser.remote_cdp_private_host | warn | リモート CDP がプライベート/内部ホストを対象にしています | ブラウザープロファイル cdpUrl, browser.ssrfPolicy.* | no |
sandbox.docker_config_mode_off | warn | Sandbox Docker config は存在しますが非アクティブです | agents.*.sandbox.mode | no |
sandbox.bind_mount_non_absolute | warn | 相対 bind mount は予測不能に解決される可能性があります | agents.*.sandbox.docker.binds[] | no |
sandbox.dangerous_bind_mount | critical | Sandbox bind mount が、ブロック対象のシステム、認証情報、または Docker ソケットパスを対象にしています | agents.*.sandbox.docker.binds[] | no |
sandbox.dangerous_network_mode | critical | Sandbox Docker ネットワークが host または container:* の名前空間参加モードを使用しています | agents.*.sandbox.docker.network | no |
sandbox.dangerous_seccomp_profile | critical | Sandbox seccomp プロファイルがコンテナ分離を弱めています | agents.*.sandbox.docker.securityOpt | no |
sandbox.dangerous_apparmor_profile | critical | Sandbox AppArmor プロファイルがコンテナ分離を弱めています | agents.*.sandbox.docker.securityOpt | no |
sandbox.browser_cdp_bridge_unrestricted | warn | Sandbox ブラウザーブリッジがソース範囲制限なしで公開されています | sandbox.browser.cdpSourceRange | no |
sandbox.browser_container.non_loopback_publish | critical | 既存のブラウザーコンテナが非ループバックインターフェイスで CDP を公開しています | ブラウザー Sandbox コンテナ公開 config | no |
sandbox.browser_container.hash_label_missing | warn | 既存のブラウザーコンテナが現在の config ハッシュラベルより前のものです | openclaw sandbox recreate --browser --all | no |
sandbox.browser_container.hash_epoch_stale | warn | 既存のブラウザーコンテナが現在のブラウザー config エポックより前のものです | openclaw sandbox recreate --browser --all | no |
sandbox.browser_container.docker_probe_timeout | warn | ブラウザーコンテナの Docker ラベルプローブがタイムアウトしました | Docker デーモンの到達性 | no |
tools.exec.host_sandbox_no_sandbox_defaults | warn | Sandbox がオフの場合、exec host=sandbox は fail closed します | tools.exec.host, agents.defaults.sandbox.mode | no |
tools.exec.host_sandbox_no_sandbox_agents | warn | Sandbox がオフの場合、エージェントごとの exec host=sandbox は fail closed します | agents.list[].tools.exec.host, agents.list[].sandbox.mode | no |
tools.exec.security_full_configured | warn/critical | host exec が security="full" で実行されています | tools.exec.security, agents.list[].tools.exec.security | no |
tools.exec.agent_skill_mcp_boundary_drift | warn | エージェント Skills の allowlist が存在する一方で、host exec が MCP クライアント/レジストリに到達できます | agents.list[].tools.exec.*, Sandbox/OS 分離, MCP サーバー認証情報 | no |
tools.exec.fs_tools_disabled_but_exec_enabled | 警告 | ファイルシステムツールポリシーはシェル実行を読み取り専用にしない | tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess | いいえ |
tools.exec.auto_allow_skills_enabled | 警告 | exec 承認が skill bin を暗黙的に信頼している | ホスト承認ファイル | いいえ |
tools.exec.allowlist_interpreter_without_strict_inline_eval | 警告 | インタープリター許可リストが強制再承認なしでインライン eval を許可する | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, exec 承認許可リスト | いいえ |
tools.exec.safe_bins_interpreter_unprofiled | 警告 | 明示的なプロファイルなしで safeBins にあるインタープリター/ランタイム bin が exec リスクを広げる | tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* | いいえ |
tools.exec.safe_bins_broad_behavior | 警告 | safeBins 内の広範な挙動を持つツールが、低リスク stdin フィルターの信頼モデルを弱める | tools.exec.safeBins, agents.list[].tools.exec.safeBins | いいえ |
tools.exec.safe_bin_trusted_dirs_risky | 警告 | safeBinTrustedDirs に変更可能またはリスクのあるディレクトリが含まれている | tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs | いいえ |
tools.elevated.allowFrom.<provider>.wildcard | 重大 | tools.elevated.allowFrom.<provider> に "*" が含まれ、すべての送信者を承認している | tools.elevated.allowFrom.<provider> | いいえ |
tools.elevated.allowFrom.<provider>.large | 警告 | <provider> の昇格許可リストに 25 件を超えるエントリがある | tools.elevated.allowFrom.<provider> | いいえ |
agents.claude_cli.permission_mode_overridden_by_yolo | 警告 | OpenClaw の exec が完全に無人実行されるため、Claude CLI --permission-mode は無視される | tools.exec.security, tools.exec.ask, cliBackends.claude-cli 引数 | いいえ |
skills.workspace.symlink_escape | 警告 | ワークスペースの skills/**/SKILL.md がワークスペースルート外に解決される(シンボリックリンクチェーンのずれ) | ワークスペース skills/** のファイルシステム状態 | いいえ |
skills.workspace.scan_truncated | 警告 | ワークスペース skill スキャンが完了前にディレクトリ訪問上限に達した | ワークスペース skills/ ディレクトリツリーをフラット化/簡素化 | いいえ |
plugins.extensions_no_allowlist | 警告 | 明示的な Plugin 許可リストなしで Plugin がインストールされている | plugins.allowlist | いいえ |
plugins.allow_phantom_entries | 警告 | plugins.allow に、一致するインストール済み Plugin がない ID が列挙されている | plugins.allow | いいえ |
plugins.installs_unpinned_npm_specs | 警告 | Plugin インデックスレコードが不変の npm spec に固定されていない | Plugin インストールメタデータ | いいえ |
plugins.installs_missing_integrity | 警告 | Plugin インデックスレコードに整合性メタデータがない | Plugin インストールメタデータ | いいえ |
plugins.installs_version_drift | 警告 | Plugin インデックスレコードがインストール済みパッケージからずれている | Plugin インストールメタデータ | いいえ |
plugins.code_safety | 警告/重大 | Plugin コードスキャンで疑わしい、または危険なパターンが見つかった(--deep のみ) | Plugin コード / インストール元 | いいえ |
plugins.code_safety.entry_path | 警告 | Plugin エントリパスが隠し場所または node_modules の場所を指している | Plugin マニフェスト entry | いいえ |
plugins.code_safety.entry_escape | 重大 | Plugin エントリが Plugin ディレクトリから脱出している | Plugin マニフェスト entry | いいえ |
plugins.code_safety.manifest_parse_error | 警告 | コード安全性スキャン中に Plugin マニフェストを解析できなかった | Plugin マニフェストファイル | いいえ |
plugins.code_safety.scan_failed | 警告 | Plugin コードスキャンを完了できなかった(--deep のみ) | Plugin パス / スキャン環境 | いいえ |
plugins.<pluginId>.security_audit_failed | 警告 | Plugin 所有のセキュリティ監査コレクターがエラーを投げた | その Plugin のセキュリティ監査コレクター | いいえ |
skills.code_safety | 警告/重大 | Skill インストーラーのメタデータ/コードに疑わしい、または危険なパターンが含まれている(--deep のみ) | Skill インストール元 | いいえ |
skills.code_safety.scan_failed | 警告 | Skill コードスキャンを完了できなかった(--deep のみ) | Skill スキャン環境 | いいえ |
security.exposure.open_channels_with_exec | 警告/重大 | 共有/公開ルームから exec 有効エージェントに到達できる | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* | いいえ |
security.exposure.open_groups_with_elevated | 重大 | オープンな DM/グループと昇格ツールが高影響のプロンプトインジェクション経路を作る | トップレベルまたはネストされた DM ポリシーパス、アカウント上書き、channels.*.groupPolicy | いいえ |
security.exposure.open_groups_with_runtime_or_fs | 重大/警告 | オープンな DM/グループから、サンドボックス/ワークスペースガードなしでコマンド/ファイルツールに到達できる | DM/グループポリシーパス、tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode | いいえ |
security.trust_model.multi_user_heuristic | 警告 | 設定はマルチユーザーに見えるが、Gateway の信頼モデルは個人アシスタントである | 信頼境界の分離、または共有ユーザーの堅牢化(sandbox.mode, ツール deny/ワークスペーススコープ設定) | いいえ |
tools.profile_minimal_overridden | 警告 | エージェントの上書きがグローバル最小プロファイルをバイパスしている | agents.list[].tools.profile | いいえ |
plugins.tools_reachable_permissive_policy | 警告 | permissive なコンテキストで Extension ツールに到達できる | tools.profile + ツール allow/deny | いいえ |
models.legacy | 警告 | レガシーモデルファミリーがまだ設定されている | モデル選択 | いいえ |
models.weak_tier | 警告 | 設定済みモデルが現在の推奨ティアを下回っている | モデル選択 | いいえ |
models.small_params | 重大/情報 | 小規模モデルと安全でないツールサーフェスによりインジェクションリスクが高まる | モデル選択 + サンドボックス/ツールポリシー | いいえ |
channels.<provider>.dm.open | 重大 | <provider> の DM ポリシーが "open" であり、誰でも bot に DM できる | channels.<provider>.dmPolicy, .allowFrom | いいえ |
channels.<provider>.dm.open_invalid | 警告 | allowFrom に "*" がない dmPolicy="open" は一貫性がない | channels.<provider>.allowFrom | いいえ |
channels.<provider>.dm.scope_main_multiuser | 警告 | 複数の DM 送信者が現在メインセッションを共有している | session.dmScope | いいえ |
channels.<provider>.allowFrom.dangerous_name_matching_enabled | 情報 | dangerouslyAllowNameMatching が、変更可能な名前/メール/タグによる送信者マッチングを再有効化している | dangerouslyAllowNameMatching を無効化し、安定した送信者 ID を使用 | いいえ |
channels.<provider>.account.read_only_resolution | 警告 | チャンネルアカウントを監査用に完全解決できなかった(secret/Gateway が欠落) | 参照される secret が解決可能であることを確認するか、ライブ Gateway スナップショットに対して実行する | いいえ |
channels.<provider>.warning.<n> | 情報/警告/重大 | プロバイダー固有のセキュリティ警告。自由形式の Plugin テキストから分類された | finding の詳細を参照 | いいえ |
summary.attack_surface | 情報 | 認証、チャンネル、ツール、露出状況のロールアップ概要 | 複数のキー(finding の詳細を参照) | いいえ |