> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# セキュリティ監査チェック

`openclaw security audit` は、`checkId` をキーにした構造化された検出事項を出力します。このページは、それらの ID の参照カタログです。高レベルの脅威モデルと堅牢化ガイダンスについては、[セキュリティ](/ja-JP/gateway/security) を参照してください。

一部のチェックは `openclaw security audit --deep` でのみ実行されます: plugin/skill コードスキャン (`plugins.code_safety*`, `skills.code_safety*`) とライブ Gateway プローブチェック (`gateway.probe_*`) です。この表のそれ以外の項目はすべて、通常の `openclaw security audit` で実行されます。

`warn/critical` のような重大度は、同じ `checkId` が設定に応じてどちらのレベルでも出力され得ることを意味します (たとえば、Gateway がリモートに公開されているかどうか)。実際のデプロイで目にする可能性が最も高い、高シグナルの値 (網羅的ではありません):

| `checkId`                                                       | 重要度           | 重要な理由                                                                  | 主な修正キー/パス                                                                                     | 自動修正 |
| --------------------------------------------------------------- | ------------- | ---------------------------------------------------------------------- | --------------------------------------------------------------------------------------------- | ---- |
| `fs.state_dir.perms_world_writable`                             | 重大            | 他のユーザー/プロセスが OpenClaw の全状態を変更できる                                       | `~/.openclaw` のファイルシステム権限                                                                     | はい   |
| `fs.state_dir.perms_group_writable`                             | 警告            | グループユーザーが OpenClaw の全状態を変更できる                                          | `~/.openclaw` のファイルシステム権限                                                                     | はい   |
| `fs.state_dir.perms_readable`                                   | 警告            | 状態ディレクトリが他者から読み取り可能になっている                                              | `~/.openclaw` のファイルシステム権限                                                                     | はい   |
| `fs.state_dir.symlink`                                          | 警告            | 状態ディレクトリのターゲットが別の信頼境界になる                                               | 状態ディレクトリのファイルシステムレイアウト                                                                        | いいえ  |
| `fs.config.perms_writable`                                      | 重大            | 他者が認証/ツールポリシー/設定を変更できる                                                 | `~/.openclaw/openclaw.json` のファイルシステム権限                                                       | はい   |
| `fs.config.symlink`                                             | 警告            | シンボリックリンクされた設定ファイルは書き込みがサポートされず、別の信頼境界を追加する                            | 通常の設定ファイルに置き換えるか、`OPENCLAW_CONFIG_PATH` で実ファイルを指す                                             | いいえ  |
| `fs.config.perms_group_readable`                                | 警告            | グループユーザーが設定トークン/設定値を読み取れる                                              | 設定ファイルのファイルシステム権限                                                                             | はい   |
| `fs.config.perms_world_readable`                                | 重大            | 設定がトークン/設定値を露出する可能性がある                                                 | 設定ファイルのファイルシステム権限                                                                             | はい   |
| `fs.config_include.perms_writable`                              | 重大            | 設定インクルードファイルが他者に変更される可能性がある                                            | `openclaw.json` から参照されるインクルードファイルの権限                                                          | はい   |
| `fs.config_include.perms_group_readable`                        | 警告            | グループユーザーが含まれるシークレット/設定値を読み取れる                                          | `openclaw.json` から参照されるインクルードファイルの権限                                                          | はい   |
| `fs.config_include.perms_world_readable`                        | 重大            | 含まれるシークレット/設定値が全ユーザーから読み取り可能になっている                                     | `openclaw.json` から参照されるインクルードファイルの権限                                                          | はい   |
| `fs.auth_profiles.perms_writable`                               | 重大            | 他者が保存済みモデル認証情報を注入または置き換えられる                                            | `agents/<agentId>/agent/auth-profiles.json` の権限                                               | はい   |
| `fs.auth_profiles.perms_readable`                               | 警告            | 他者が API キーと OAuth トークンを読み取れる                                           | `agents/<agentId>/agent/auth-profiles.json` の権限                                               | はい   |
| `fs.credentials_dir.perms_writable`                             | 重大            | 他者がチャネルペアリング/認証情報の状態を変更できる                                             | `~/.openclaw/credentials` のファイルシステム権限                                                         | はい   |
| `fs.credentials_dir.perms_readable`                             | 警告            | 他者がチャネル認証情報の状態を読み取れる                                                   | `~/.openclaw/credentials` のファイルシステム権限                                                         | はい   |
| `fs.sessions_store.perms_readable`                              | 警告            | 他者がセッションのトランスクリプト/メタデータを読み取れる                                          | セッションストアの権限                                                                                   | はい   |
| `fs.log_file.perms_readable`                                    | 警告            | 他者が編集済みだが依然として機微なログを読み取れる                                              | Gateway ログファイルの権限                                                                             | はい   |
| `fs.synced_dir`                                                 | 警告            | iCloud/Dropbox/Drive 内の状態/設定により、トークン/トランスクリプトの露出範囲が広がる                 | 設定/状態を同期フォルダー外へ移動する                                                                           | いいえ  |
| `gateway.bind_no_auth`                                          | 重大            | 共有シークレットなしのリモートバインド                                                    | `gateway.bind`, `gateway.auth.*`                                                              | いいえ  |
| `gateway.loopback_no_auth`                                      | 重大            | リバースプロキシされたループバックが未認証になる可能性がある                                         | `gateway.auth.*`, プロキシ設定                                                                      | いいえ  |
| `gateway.trusted_proxies_missing`                               | 警告            | リバースプロキシヘッダーが存在するが信頼されていない                                             | `gateway.trustedProxies`                                                                      | いいえ  |
| `gateway.http.no_auth`                                          | 警告/重大         | `auth.mode="none"` で Gateway HTTP API に到達可能                            | `gateway.auth.mode`, `gateway.http.endpoints.*`, `plugins.entries.admin-http-rpc`             | いいえ  |
| `gateway.http.session_key_override_enabled`                     | 情報            | HTTP API 呼び出し元が `sessionKey` を上書きできる                                   | `gateway.http.allowSessionKeyOverride`                                                        | いいえ  |
| `gateway.tools_invoke_http.dangerous_allow`                     | 警告/重大         | オーナー/管理者の呼び出し元に対して HTTP API 経由の危険なツールを再有効化する                           | `gateway.tools.allow`                                                                         | いいえ  |
| `gateway.nodes.allow_commands_dangerous`                        | 警告/重大         | 影響の大きいノードコマンド（カメラ/画面/連絡先/カレンダー/SMS）を有効化する                              | `gateway.nodes.allowCommands`                                                                 | いいえ  |
| `gateway.nodes.deny_commands_ineffective`                       | 警告            | パターン風の拒否エントリはシェルテキストやグループに一致しない                                        | `gateway.nodes.denyCommands`                                                                  | いいえ  |
| `gateway.tailscale_funnel`                                      | 重大            | パブリックインターネットに露出する                                                      | `gateway.tailscale.mode`                                                                      | いいえ  |
| `gateway.tailscale_serve`                                       | 情報            | Serve 経由の tailnet 露出が有効になっている                                          | `gateway.tailscale.mode`                                                                      | いいえ  |
| `gateway.control_ui.allowed_origins_required`                   | 重大            | 明示的なブラウザーオリジン許可リストなしの非ループバック Control UI                                | `gateway.controlUi.allowedOrigins`                                                            | いいえ  |
| `gateway.control_ui.allowed_origins_wildcard`                   | 警告/重大         | `allowedOrigins=["*"]` がブラウザーオリジン許可リストを無効化する                           | `gateway.controlUi.allowedOrigins`                                                            | いいえ  |
| `gateway.control_ui.host_header_origin_fallback`                | 警告/重大         | Host ヘッダーのオリジンフォールバックを有効化する（DNS リバインディング堅牢化の低下）                        | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`                                  | いいえ  |
| `gateway.control_ui.insecure_auth`                              | 警告            | 安全でない認証の互換性トグルが有効になっている                                                | `gateway.controlUi.allowInsecureAuth`                                                         | いいえ  |
| `gateway.control_ui.device_auth_disabled`                       | 重大            | デバイス ID チェックを無効化する                                                     | `gateway.controlUi.dangerouslyDisableDeviceAuth`                                              | いいえ  |
| `gateway.real_ip_fallback_enabled`                              | 警告/重大         | `X-Real-IP` フォールバックを信頼すると、プロキシ設定ミスにより送信元 IP 偽装が可能になる                   | `gateway.allowRealIpFallback`, `gateway.trustedProxies`                                       | いいえ  |
| `gateway.token_too_short`                                       | 警告            | 短い共有トークンは総当たり攻撃を受けやすい                                                  | `gateway.auth.token`                                                                          | いいえ  |
| `gateway.auth_no_rate_limit`                                    | 警告            | レート制限なしで認証を露出すると、総当たり攻撃のリスクが高まる                                        | `gateway.auth.rateLimit`                                                                      | いいえ  |
| `gateway.trusted_proxy_auth`                                    | 重大            | プロキシ ID が認証境界になる                                                       | `gateway.auth.mode="trusted-proxy"`                                                           | いいえ  |
| `gateway.trusted_proxy_no_proxies`                              | 重大            | 信頼済みプロキシ IP なしの信頼済みプロキシ認証は安全ではない                                       | `gateway.trustedProxies`                                                                      | いいえ  |
| `gateway.trusted_proxy_no_user_header`                          | critical      | trusted-proxy 認証がユーザー ID を安全に解決できません                                   | `gateway.auth.trustedProxy.userHeader`                                                        | no   |
| `gateway.trusted_proxy_no_allowlist`                            | warn          | trusted-proxy 認証が認証済みの任意のアップストリームユーザーを受け入れます                           | `gateway.auth.trustedProxy.allowUsers`                                                        | no   |
| `gateway.trusted_proxy_allow_loopback`                          | warn          | trusted-proxy 認証が明示的に許可されたループバックプロキシソースを受け入れます                         | `gateway.auth.trustedProxy.allowLoopback`                                                     | no   |
| `gateway.probe_auth_secretref_unavailable`                      | warn          | このコマンドパスで詳細プローブが認証 SecretRef を解決できませんでした                               | 詳細プローブの認証ソース / SecretRef の可用性                                                                 | no   |
| `gateway.probe_failed`                                          | warn          | 実行中の Gateway プローブに失敗しました（`--deep` のみ）                                  | gateway の到達性/認証                                                                               | no   |
| `discovery.mdns_full_mode`                                      | warn/critical | mDNS フルモードはローカルネットワーク上で `cliPath`/`sshPort` メタデータを広告します                | `discovery.mdns.mode`, `gateway.bind`                                                         | no   |
| `config.insecure_or_dangerous_flags`                            | warn          | 安全でない、または危険なデバッグフラグが 1 つ有効です                                           | 検出詳細で名前が示されたキー                                                                                | no   |
| `security.audit.suppressions.active`                            | info          | 監査出力には設定済みの抑制があり、フィルタリングされている可能性があります                                  | `security.audit.suppressions`                                                                 | no   |
| `config.secrets.gateway_password_in_config`                     | warn          | Gateway パスワードが config に直接保存されています                                      | `gateway.auth.password`                                                                       | no   |
| `config.secrets.hooks_token_in_config`                          | warn          | フック bearer トークンが config に直接保存されています                                    | `hooks.token`                                                                                 | no   |
| `hooks.token_reuse_gateway_token`                               | critical      | フック ingress トークンが Gateway 認証も解除します                                     | `hooks.token`, `gateway.auth.token`, `gateway.auth.password`                                  | no   |
| `hooks.token_too_short`                                         | warn          | フック ingress へのブルートフォースが容易になります                                         | `hooks.token`                                                                                 | no   |
| `hooks.default_session_key_unset`                               | warn          | フックエージェント実行が、リクエストごとに生成されるセッションへファンアウトします                              | `hooks.defaultSessionKey`                                                                     | no   |
| `hooks.allowed_agent_ids_unrestricted`                          | warn/critical | 認証済みフック呼び出し元が、設定済みの任意のエージェントへルーティングできます                                | `hooks.allowedAgentIds`                                                                       | no   |
| `hooks.request_session_key_enabled`                             | warn/critical | 外部呼び出し元が sessionKey を選択できます                                            | `hooks.allowRequestSessionKey`                                                                | no   |
| `hooks.request_session_key_prefixes_missing`                    | warn/critical | 外部セッションキーの形状に制限がありません                                                  | `hooks.allowedSessionKeyPrefixes`                                                             | no   |
| `hooks.path_root`                                               | critical      | フックパスが `/` であり、ingress が衝突または誤ルーティングしやすくなります                           | `hooks.path`                                                                                  | no   |
| `hooks.installs_unpinned_npm_specs`                             | warn          | フックのインストール記録が不変の npm spec に固定されていません                                   | フックインストールメタデータ                                                                                | no   |
| `hooks.installs_missing_integrity`                              | warn          | フックのインストール記録に integrity メタデータがありません                                    | フックインストールメタデータ                                                                                | no   |
| `hooks.installs_version_drift`                                  | warn          | フックのインストール記録がインストール済みパッケージからずれています                                     | フックインストールメタデータ                                                                                | no   |
| `logging.redact_off`                                            | warn          | 機密値がログ/ステータスへ漏えいします                                                    | `logging.redactSensitive`                                                                     | yes  |
| `browser.control_invalid_config`                                | warn          | ブラウザー制御 config がランタイム前に無効です                                            | `browser.*`                                                                                   | no   |
| `browser.control_no_auth`                                       | critical      | ブラウザー制御がトークン/パスワード認証なしで公開されています                                        | `gateway.auth.*`                                                                              | no   |
| `browser.remote_cdp_http`                                       | warn          | プレーン HTTP 経由のリモート CDP にはトランスポート暗号化がありません                               | ブラウザープロファイル `cdpUrl`                                                                          | no   |
| `browser.remote_cdp_private_host`                               | warn          | リモート CDP がプライベート/内部ホストを対象にしています                                        | ブラウザープロファイル `cdpUrl`, `browser.ssrfPolicy.*`                                                  | no   |
| `sandbox.docker_config_mode_off`                                | warn          | Sandbox Docker config は存在しますが非アクティブです                                  | `agents.*.sandbox.mode`                                                                       | no   |
| `sandbox.bind_mount_non_absolute`                               | warn          | 相対 bind mount は予測不能に解決される可能性があります                                      | `agents.*.sandbox.docker.binds[]`                                                             | no   |
| `sandbox.dangerous_bind_mount`                                  | critical      | Sandbox bind mount が、ブロック対象のシステム、認証情報、または Docker ソケットパスを対象にしています       | `agents.*.sandbox.docker.binds[]`                                                             | no   |
| `sandbox.dangerous_network_mode`                                | critical      | Sandbox Docker ネットワークが `host` または `container:*` の名前空間参加モードを使用しています     | `agents.*.sandbox.docker.network`                                                             | no   |
| `sandbox.dangerous_seccomp_profile`                             | critical      | Sandbox seccomp プロファイルがコンテナ分離を弱めています                                   | `agents.*.sandbox.docker.securityOpt`                                                         | no   |
| `sandbox.dangerous_apparmor_profile`                            | critical      | Sandbox AppArmor プロファイルがコンテナ分離を弱めています                                  | `agents.*.sandbox.docker.securityOpt`                                                         | no   |
| `sandbox.browser_cdp_bridge_unrestricted`                       | warn          | Sandbox ブラウザーブリッジがソース範囲制限なしで公開されています                                   | `sandbox.browser.cdpSourceRange`                                                              | no   |
| `sandbox.browser_container.non_loopback_publish`                | critical      | 既存のブラウザーコンテナが非ループバックインターフェイスで CDP を公開しています                             | ブラウザー Sandbox コンテナ公開 config                                                                   | no   |
| `sandbox.browser_container.hash_label_missing`                  | warn          | 既存のブラウザーコンテナが現在の config ハッシュラベルより前のものです                                | `openclaw sandbox recreate --browser --all`                                                   | no   |
| `sandbox.browser_container.hash_epoch_stale`                    | warn          | 既存のブラウザーコンテナが現在のブラウザー config エポックより前のものです                              | `openclaw sandbox recreate --browser --all`                                                   | no   |
| `sandbox.browser_container.docker_probe_timeout`                | warn          | ブラウザーコンテナの Docker ラベルプローブがタイムアウトしました                                   | Docker デーモンの到達性                                                                               | no   |
| `tools.exec.host_sandbox_no_sandbox_defaults`                   | warn          | Sandbox がオフの場合、`exec host=sandbox` は fail closed します                   | `tools.exec.host`, `agents.defaults.sandbox.mode`                                             | no   |
| `tools.exec.host_sandbox_no_sandbox_agents`                     | warn          | Sandbox がオフの場合、エージェントごとの `exec host=sandbox` は fail closed します         | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`                                 | no   |
| `tools.exec.security_full_configured`                           | warn/critical | host exec が `security="full"` で実行されています                                | `tools.exec.security`, `agents.list[].tools.exec.security`                                    | no   |
| `tools.exec.agent_skill_mcp_boundary_drift`                     | warn          | エージェント Skills の allowlist が存在する一方で、host exec が MCP クライアント/レジストリに到達できます | `agents.list[].tools.exec.*`, Sandbox/OS 分離, MCP サーバー認証情報                                     | no   |
| `tools.exec.fs_tools_disabled_but_exec_enabled`                 | 警告            | ファイルシステムツールポリシーはシェル実行を読み取り専用にしない                                       | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess`                  | いいえ  |
| `tools.exec.auto_allow_skills_enabled`                          | 警告            | exec 承認が skill bin を暗黙的に信頼している                                         | ホスト承認ファイル                                                                                     | いいえ  |
| `tools.exec.allowlist_interpreter_without_strict_inline_eval`   | 警告            | インタープリター許可リストが強制再承認なしでインライン eval を許可する                                 | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, exec 承認許可リスト      | いいえ  |
| `tools.exec.safe_bins_interpreter_unprofiled`                   | 警告            | 明示的なプロファイルなしで `safeBins` にあるインタープリター/ランタイム bin が exec リスクを広げる          | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`             | いいえ  |
| `tools.exec.safe_bins_broad_behavior`                           | 警告            | `safeBins` 内の広範な挙動を持つツールが、低リスク stdin フィルターの信頼モデルを弱める                   | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`                                    | いいえ  |
| `tools.exec.safe_bin_trusted_dirs_risky`                        | 警告            | `safeBinTrustedDirs` に変更可能またはリスクのあるディレクトリが含まれている                       | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs`                | いいえ  |
| `tools.elevated.allowFrom.<provider>.wildcard`                  | 重大            | `tools.elevated.allowFrom.<provider>` に `"*"` が含まれ、すべての送信者を承認している      | `tools.elevated.allowFrom.<provider>`                                                         | いいえ  |
| `tools.elevated.allowFrom.<provider>.large`                     | 警告            | `<provider>` の昇格許可リストに 25 件を超えるエントリがある                                 | `tools.elevated.allowFrom.<provider>`                                                         | いいえ  |
| `agents.claude_cli.permission_mode_overridden_by_yolo`          | 警告            | OpenClaw の exec が完全に無人実行されるため、Claude CLI `--permission-mode` は無視される    | `tools.exec.security`, `tools.exec.ask`, `cliBackends.claude-cli` 引数                          | いいえ  |
| `skills.workspace.symlink_escape`                               | 警告            | ワークスペースの `skills/**/SKILL.md` がワークスペースルート外に解決される（シンボリックリンクチェーンのずれ）     | ワークスペース `skills/**` のファイルシステム状態                                                               | いいえ  |
| `skills.workspace.scan_truncated`                               | 警告            | ワークスペース skill スキャンが完了前にディレクトリ訪問上限に達した                                  | ワークスペース `skills/` ディレクトリツリーをフラット化/簡素化                                                         | いいえ  |
| `plugins.extensions_no_allowlist`                               | 警告            | 明示的な Plugin 許可リストなしで Plugin がインストールされている                               | `plugins.allowlist`                                                                           | いいえ  |
| `plugins.allow_phantom_entries`                                 | 警告            | `plugins.allow` に、一致するインストール済み Plugin がない ID が列挙されている                  | `plugins.allow`                                                                               | いいえ  |
| `plugins.installs_unpinned_npm_specs`                           | 警告            | Plugin インデックスレコードが不変の npm spec に固定されていない                               | Plugin インストールメタデータ                                                                            | いいえ  |
| `plugins.installs_missing_integrity`                            | 警告            | Plugin インデックスレコードに整合性メタデータがない                                          | Plugin インストールメタデータ                                                                            | いいえ  |
| `plugins.installs_version_drift`                                | 警告            | Plugin インデックスレコードがインストール済みパッケージからずれている                                 | Plugin インストールメタデータ                                                                            | いいえ  |
| `plugins.code_safety`                                           | 警告/重大         | Plugin コードスキャンで疑わしい、または危険なパターンが見つかった（`--deep` のみ）                      | Plugin コード / インストール元                                                                          | いいえ  |
| `plugins.code_safety.entry_path`                                | 警告            | Plugin エントリパスが隠し場所または `node_modules` の場所を指している                         | Plugin マニフェスト `entry`                                                                         | いいえ  |
| `plugins.code_safety.entry_escape`                              | 重大            | Plugin エントリが Plugin ディレクトリから脱出している                                     | Plugin マニフェスト `entry`                                                                         | いいえ  |
| `plugins.code_safety.manifest_parse_error`                      | 警告            | コード安全性スキャン中に Plugin マニフェストを解析できなかった                                    | Plugin マニフェストファイル                                                                             | いいえ  |
| `plugins.code_safety.scan_failed`                               | 警告            | Plugin コードスキャンを完了できなかった（`--deep` のみ）                                   | Plugin パス / スキャン環境                                                                            | いいえ  |
| `plugins.<pluginId>.security_audit_failed`                      | 警告            | Plugin 所有のセキュリティ監査コレクターがエラーを投げた                                        | その Plugin のセキュリティ監査コレクター                                                                      | いいえ  |
| `skills.code_safety`                                            | 警告/重大         | Skill インストーラーのメタデータ/コードに疑わしい、または危険なパターンが含まれている（`--deep` のみ）            | Skill インストール元                                                                                 | いいえ  |
| `skills.code_safety.scan_failed`                                | 警告            | Skill コードスキャンを完了できなかった（`--deep` のみ）                                    | Skill スキャン環境                                                                                  | いいえ  |
| `security.exposure.open_channels_with_exec`                     | 警告/重大         | 共有/公開ルームから exec 有効エージェントに到達できる                                         | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*` | いいえ  |
| `security.exposure.open_groups_with_elevated`                   | 重大            | オープンな DM/グループと昇格ツールが高影響のプロンプトインジェクション経路を作る                             | トップレベルまたはネストされた DM ポリシーパス、アカウント上書き、`channels.*.groupPolicy`                                   | いいえ  |
| `security.exposure.open_groups_with_runtime_or_fs`              | 重大/警告         | オープンな DM/グループから、サンドボックス/ワークスペースガードなしでコマンド/ファイルツールに到達できる                | DM/グループポリシーパス、`tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode`         | いいえ  |
| `security.trust_model.multi_user_heuristic`                     | 警告            | 設定はマルチユーザーに見えるが、Gateway の信頼モデルは個人アシスタントである                             | 信頼境界の分離、または共有ユーザーの堅牢化（`sandbox.mode`, ツール deny/ワークスペーススコープ設定）                                 | いいえ  |
| `tools.profile_minimal_overridden`                              | 警告            | エージェントの上書きがグローバル最小プロファイルをバイパスしている                                      | `agents.list[].tools.profile`                                                                 | いいえ  |
| `plugins.tools_reachable_permissive_policy`                     | 警告            | permissive なコンテキストで Extension ツールに到達できる                                | `tools.profile` + ツール allow/deny                                                              | いいえ  |
| `models.legacy`                                                 | 警告            | レガシーモデルファミリーがまだ設定されている                                                 | モデル選択                                                                                         | いいえ  |
| `models.weak_tier`                                              | 警告            | 設定済みモデルが現在の推奨ティアを下回っている                                                | モデル選択                                                                                         | いいえ  |
| `models.small_params`                                           | 重大/情報         | 小規模モデルと安全でないツールサーフェスによりインジェクションリスクが高まる                                 | モデル選択 + サンドボックス/ツールポリシー                                                                       | いいえ  |
| `channels.<provider>.dm.open`                                   | 重大            | `<provider>` の DM ポリシーが `"open"` であり、誰でも bot に DM できる                  | `channels.<provider>.dmPolicy`, `.allowFrom`                                                  | いいえ  |
| `channels.<provider>.dm.open_invalid`                           | 警告            | `allowFrom` に `"*"` がない `dmPolicy="open"` は一貫性がない                      | `channels.<provider>.allowFrom`                                                               | いいえ  |
| `channels.<provider>.dm.scope_main_multiuser`                   | 警告            | 複数の DM 送信者が現在メインセッションを共有している                                           | `session.dmScope`                                                                             | いいえ  |
| `channels.<provider>.allowFrom.dangerous_name_matching_enabled` | 情報            | `dangerouslyAllowNameMatching` が、変更可能な名前/メール/タグによる送信者マッチングを再有効化している    | `dangerouslyAllowNameMatching` を無効化し、安定した送信者 ID を使用                                           | いいえ  |
| `channels.<provider>.account.read_only_resolution`              | 警告            | チャンネルアカウントを監査用に完全解決できなかった（secret/Gateway が欠落）                          | 参照される secret が解決可能であることを確認するか、ライブ Gateway スナップショットに対して実行する                                    | いいえ  |
| `channels.<provider>.warning.<n>`                               | 情報/警告/重大      | プロバイダー固有のセキュリティ警告。自由形式の Plugin テキストから分類された                             | finding の詳細を参照                                                                                | いいえ  |
| `summary.attack_surface`                                        | 情報            | 認証、チャンネル、ツール、露出状況のロールアップ概要                                             | 複数のキー（finding の詳細を参照）                                                                         | いいえ  |

`channels.<provider>.*` と `tools.elevated.allowFrom.<provider>.*` の checkIds は、構成済みのチャネル/プロバイダーごとに生成されるため、実際の出力では `<provider>` はリテラル文字列ではなく、実際のチャネル ID（例: `telegram`、`discord`）です。

## 関連

* [セキュリティ](/ja-JP/gateway/security)
* [構成](/ja-JP/gateway/configuration)
* [信頼済みプロキシ認証](/ja-JP/gateway/trusted-proxy-auth)
