fs.state_dir.perms_world_writable | kritiek | Andere gebruikers/processen kunnen de volledige OpenClaw-status wijzigen | bestandssysteemrechten op ~/.openclaw | ja |
fs.state_dir.perms_group_writable | waarschuwing | Groepsgebruikers kunnen de volledige OpenClaw-status wijzigen | bestandssysteemrechten op ~/.openclaw | ja |
fs.state_dir.perms_readable | waarschuwing | Statusmap is leesbaar voor anderen | bestandssysteemrechten op ~/.openclaw | ja |
fs.state_dir.symlink | waarschuwing | Doel van statusmap wordt een andere vertrouwensgrens | bestandssysteemindeling van statusmap | nee |
fs.config.perms_writable | kritiek | Anderen kunnen authenticatie/toolbeleid/configuratie wijzigen | bestandssysteemrechten op ~/.openclaw/openclaw.json | ja |
fs.config.symlink | waarschuwing | Gesymlinkte configuratiebestanden worden niet ondersteund voor schrijfacties en voegen een andere vertrouwensgrens toe | vervang door een regulier configuratiebestand of laat OPENCLAW_CONFIG_PATH naar het echte bestand wijzen | nee |
fs.config.perms_group_readable | waarschuwing | Groepsgebruikers kunnen configuratietokens/-instellingen lezen | bestandssysteemrechten op configuratiebestand | ja |
fs.config.perms_world_readable | kritiek | Configuratie kan tokens/instellingen blootleggen | bestandssysteemrechten op configuratiebestand | ja |
fs.config_include.perms_writable | kritiek | Configuratie-include-bestand kan door anderen worden gewijzigd | rechten van include-bestand waarnaar wordt verwezen vanuit openclaw.json | ja |
fs.config_include.perms_group_readable | waarschuwing | Groepsgebruikers kunnen opgenomen geheimen/instellingen lezen | rechten van include-bestand waarnaar wordt verwezen vanuit openclaw.json | ja |
fs.config_include.perms_world_readable | kritiek | Opgenomen geheimen/instellingen zijn wereldwijd leesbaar | rechten van include-bestand waarnaar wordt verwezen vanuit openclaw.json | ja |
fs.auth_profiles.perms_writable | kritiek | Anderen kunnen opgeslagen modelreferenties injecteren of vervangen | rechten op agents/<agentId>/agent/auth-profiles.json | ja |
fs.auth_profiles.perms_readable | waarschuwing | Anderen kunnen API-sleutels en OAuth-tokens lezen | rechten op agents/<agentId>/agent/auth-profiles.json | ja |
fs.credentials_dir.perms_writable | kritiek | Anderen kunnen status voor kanaalkoppeling/referenties wijzigen | bestandssysteemrechten op ~/.openclaw/credentials | ja |
fs.credentials_dir.perms_readable | waarschuwing | Anderen kunnen status van kanaalreferenties lezen | bestandssysteemrechten op ~/.openclaw/credentials | ja |
fs.sessions_store.perms_readable | waarschuwing | Anderen kunnen sessietranscripten/-metadata lezen | rechten op sessieopslag | ja |
fs.log_file.perms_readable | waarschuwing | Anderen kunnen geredigeerde maar nog steeds gevoelige logs lezen | rechten op Gateway-logbestand | ja |
fs.synced_dir | waarschuwing | Status/configuratie in iCloud/Dropbox/Drive vergroot blootstelling van tokens/transcripten | verplaats configuratie/status uit gesynchroniseerde mappen | nee |
gateway.bind_no_auth | kritiek | Externe binding zonder gedeeld geheim | gateway.bind, gateway.auth.* | nee |
gateway.loopback_no_auth | kritiek | Loopback achter reverse proxy kan ongeauthenticeerd worden | gateway.auth.*, proxyconfiguratie | nee |
gateway.trusted_proxies_missing | waarschuwing | Reverse-proxyheaders zijn aanwezig maar worden niet vertrouwd | gateway.trustedProxies | nee |
gateway.http.no_auth | waarschuwing/kritiek | Gateway HTTP-API’s bereikbaar met auth.mode="none" | gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpc | nee |
gateway.http.session_key_override_enabled | info | HTTP-API-aanroepers kunnen sessionKey overschrijven | gateway.http.allowSessionKeyOverride | nee |
gateway.tools_invoke_http.dangerous_allow | waarschuwing/kritiek | Schakelt gevaarlijke tools opnieuw in via HTTP-API voor eigenaar-/beheerderaanroepers | gateway.tools.allow | nee |
gateway.nodes.allow_commands_dangerous | waarschuwing/kritiek | Schakelt node-opdrachten met grote impact in (camera/scherm/contacten/agenda/SMS) | gateway.nodes.allowCommands | nee |
gateway.nodes.deny_commands_ineffective | waarschuwing | Patroonachtige deny-vermeldingen komen niet overeen met shelltekst of groepen | gateway.nodes.denyCommands | nee |
gateway.tailscale_funnel | kritiek | Blootstelling aan het openbare internet | gateway.tailscale.mode | nee |
gateway.tailscale_serve | info | Tailnet-blootstelling is ingeschakeld via Serve | gateway.tailscale.mode | nee |
gateway.control_ui.allowed_origins_required | kritiek | Control UI zonder loopback zonder expliciete allowlist voor browser-origin | gateway.controlUi.allowedOrigins | nee |
gateway.control_ui.allowed_origins_wildcard | waarschuwing/kritiek | allowedOrigins=["*"] schakelt allowlisting voor browser-origin uit | gateway.controlUi.allowedOrigins | nee |
gateway.control_ui.host_header_origin_fallback | waarschuwing/kritiek | Schakelt Host-header-origin-fallback in (verzwakking van DNS-rebinding-verharding) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback | nee |
gateway.control_ui.insecure_auth | waarschuwing | Compatibiliteitsschakelaar voor onveilige authenticatie ingeschakeld | gateway.controlUi.allowInsecureAuth | nee |
gateway.control_ui.device_auth_disabled | kritiek | Schakelt identiteitscontrole van apparaat uit | gateway.controlUi.dangerouslyDisableDeviceAuth | nee |
gateway.real_ip_fallback_enabled | waarschuwing/kritiek | Vertrouwen op X-Real-IP-fallback kan bron-IP-spoofing via verkeerde proxyconfiguratie mogelijk maken | gateway.allowRealIpFallback, gateway.trustedProxies | nee |
gateway.token_too_short | waarschuwing | Kort gedeeld token is makkelijker te brute-forcen | gateway.auth.token | nee |
gateway.auth_no_rate_limit | waarschuwing | Blootgestelde authenticatie zonder rate limiting verhoogt brute-force-risico | gateway.auth.rateLimit | nee |
gateway.trusted_proxy_auth | kritiek | Proxy-identiteit wordt nu de authenticatiegrens | gateway.auth.mode="trusted-proxy" | nee |
gateway.trusted_proxy_no_proxies | kritiek | Trusted-proxy-authenticatie zonder vertrouwde proxy-IP’s is onveilig | gateway.trustedProxies | nee |
gateway.trusted_proxy_no_user_header | kritiek | Trusted-proxy-authenticatie kan gebruikersidentiteit niet veilig bepalen | gateway.auth.trustedProxy.userHeader | nee |
gateway.trusted_proxy_no_allowlist | waarschuwing | Trusted-proxy-authenticatie accepteert elke geauthenticeerde upstreamgebruiker | gateway.auth.trustedProxy.allowUsers | nee |
gateway.trusted_proxy_allow_loopback | warn | Trusted-proxy-authenticatie accepteert expliciet toegestane loopback-proxybronnen | gateway.auth.trustedProxy.allowLoopback | no |
gateway.probe_auth_secretref_unavailable | warn | Diepe probe kon auth-SecretRefs in dit opdrachtpad niet omzetten | deep-probe-authbron / beschikbaarheid van SecretRef | no |
gateway.probe_failed | warn/critical | Live Gateway-probe is mislukt | bereikbaarheid/authenticatie van Gateway | no |
discovery.mdns_full_mode | warn/critical | mDNS volledige modus adverteert cliPath/sshPort-metadata op lokaal netwerk | discovery.mdns.mode, gateway.bind | no |
config.insecure_or_dangerous_flags | warn | Eén onveilige/gevaarlijke debugvlag is ingeschakeld | sleutel genoemd in vindingsdetail | no |
security.audit.suppressions.active | info | Audituitvoer heeft geconfigureerde onderdrukkingen en kan gefilterd zijn | security.audit.suppressions | no |
config.secrets.gateway_password_in_config | warn | Gateway-wachtwoord wordt rechtstreeks in configuratie opgeslagen | gateway.auth.password | no |
config.secrets.hooks_token_in_config | warn | Hook-bearertoken wordt rechtstreeks in configuratie opgeslagen | hooks.token | no |
hooks.token_reuse_gateway_token | critical | Hook-ingresstoken ontgrendelt ook Gateway-authenticatie | hooks.token, gateway.auth.token, gateway.auth.password | no |
hooks.token_too_short | warn | Eenvoudiger brute force op hook-ingress | hooks.token | no |
hooks.default_session_key_unset | warn | Runs van hook-agents waaieren uit naar gegenereerde sessies per aanvraag | hooks.defaultSessionKey | no |
hooks.allowed_agent_ids_unrestricted | warn/critical | Geauthenticeerde hook-aanroepers kunnen naar elke geconfigureerde agent routeren | hooks.allowedAgentIds | no |
hooks.request_session_key_enabled | warn/critical | Externe aanroeper kan sessionKey kiezen | hooks.allowRequestSessionKey | no |
hooks.request_session_key_prefixes_missing | warn/critical | Geen begrenzing op vormen van externe sessiesleutels | hooks.allowedSessionKeyPrefixes | no |
hooks.path_root | critical | Hookpad is /, waardoor ingress gemakkelijker kan botsen of verkeerd worden gerouteerd | hooks.path | no |
hooks.installs_unpinned_npm_specs | warn | Hook-installatierecords zijn niet vastgezet op onveranderlijke npm-specificaties | metadata van hook-installaties | no |
hooks.installs_missing_integrity | warn | Hook-installatierecords missen integriteitsmetadata | metadata van hook-installaties | no |
hooks.installs_version_drift | warn | Hook-installatierecords wijken af van geïnstalleerde pakketten | metadata van hook-installaties | no |
logging.redact_off | warn | Gevoelige waarden lekken naar logs/status | logging.redactSensitive | yes |
browser.control_invalid_config | warn | Configuratie voor browserbesturing is ongeldig vóór runtime | browser.* | no |
browser.control_no_auth | critical | Browserbesturing blootgesteld zonder token-/wachtwoordauthenticatie | gateway.auth.* | no |
browser.remote_cdp_http | warn | Remote CDP via platte HTTP mist transportversleuteling | browserprofiel cdpUrl | no |
browser.remote_cdp_private_host | warn | Remote CDP richt zich op een privé/interne host | browserprofiel cdpUrl, browser.ssrfPolicy.* | no |
sandbox.docker_config_mode_off | warn | Sandbox Docker-configuratie aanwezig maar inactief | agents.*.sandbox.mode | no |
sandbox.bind_mount_non_absolute | warn | Relatieve bind mounts kunnen onvoorspelbaar worden omgezet | agents.*.sandbox.docker.binds[] | no |
sandbox.dangerous_bind_mount | critical | Sandbox-bind mount richt zich op geblokkeerde systeem-, credential- of Docker-socketpaden | agents.*.sandbox.docker.binds[] | no |
sandbox.dangerous_network_mode | critical | Sandbox Docker-netwerk gebruikt host- of container:*-namespace-joinmodus | agents.*.sandbox.docker.network | no |
sandbox.dangerous_seccomp_profile | critical | Sandbox-seccomp-profiel verzwakt containerisolatie | agents.*.sandbox.docker.securityOpt | no |
sandbox.dangerous_apparmor_profile | critical | Sandbox AppArmor-profiel verzwakt containerisolatie | agents.*.sandbox.docker.securityOpt | no |
sandbox.browser_cdp_bridge_unrestricted | warn | Sandbox-browserbrug is blootgesteld zonder bronbereikbeperking | sandbox.browser.cdpSourceRange | no |
sandbox.browser_container.non_loopback_publish | critical | Bestaande browsercontainer publiceert CDP op niet-loopback-interfaces | publicatieconfiguratie van browsersandboxcontainer | no |
sandbox.browser_container.hash_label_missing | warn | Bestaande browsercontainer dateert van vóór huidige config-hashlabels | openclaw sandbox recreate --browser --all | no |
sandbox.browser_container.hash_epoch_stale | warn | Bestaande browsercontainer dateert van vóór huidige browserconfiguratie-epoch | openclaw sandbox recreate --browser --all | no |
tools.exec.host_sandbox_no_sandbox_defaults | warn | exec host=sandbox faalt gesloten wanneer sandbox uit staat | tools.exec.host, agents.defaults.sandbox.mode | no |
tools.exec.host_sandbox_no_sandbox_agents | warn | Per-agent exec host=sandbox faalt gesloten wanneer sandbox uit staat | agents.list[].tools.exec.host, agents.list[].sandbox.mode | no |
tools.exec.security_full_configured | warn/critical | Host-exec draait met security="full" | tools.exec.security, agents.list[].tools.exec.security | no |
tools.exec.agent_skill_mcp_boundary_drift | warn | Agent-skill-allowlists zijn aanwezig terwijl host-exec MCP-clients/-registers kan bereiken | agents.list[].tools.exec.*, sandbox/OS-isolatie, MCP-servercredentials | no |
tools.exec.fs_tools_disabled_but_exec_enabled | warn | Beleid voor filesystem-tools maakt shelluitvoering niet alleen-lezen | tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess | no |
tools.exec.auto_allow_skills_enabled | warn | Exec-goedkeuringen vertrouwen skill-bins impliciet | bestand met host-goedkeuringen | no |
tools.exec.allowlist_interpreter_without_strict_inline_eval | warn | Interpreter-allowlists staan inline eval toe zonder gedwongen hergoedkeuring | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, exec-goedkeuringen-allowlist | no |
tools.exec.safe_bins_interpreter_unprofiled | warn | Interpreter-/runtimebins in safeBins zonder expliciete profielen verbreden exec-risico | tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* | no |
tools.exec.safe_bins_broad_behavior | warn | Tools met breed gedrag in safeBins verzwakken het low-risk stdin-filter-vertrouwensmodel | tools.exec.safeBins, agents.list[].tools.exec.safeBins | no |
tools.exec.safe_bin_trusted_dirs_risky | warn | safeBinTrustedDirs bevat wijzigbare of riskante mappen | tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs | nee |
skills.workspace.symlink_escape | warn | Werkruimte skills/**/SKILL.md resolveert buiten de hoofdmap van de werkruimte (verloop in symlink-keten) | bestandssysteemstatus van werkruimte skills/** | nee |
plugins.extensions_no_allowlist | warn | Plugins zijn geïnstalleerd zonder expliciete Plugin-allowlist | plugins.allowlist | nee |
plugins.installs_unpinned_npm_specs | warn | Plugin-indexrecords zijn niet vastgepind op onveranderlijke npm-specificaties | metadata van Plugin-installatie | nee |
plugins.installs_missing_integrity | warn | Plugin-indexrecords missen integriteitsmetadata | metadata van Plugin-installatie | nee |
plugins.installs_version_drift | warn | Plugin-indexrecords wijken af van geïnstalleerde pakketten | metadata van Plugin-installatie | nee |
plugins.code_safety | warn/critical | Plugin-codescan heeft verdachte of gevaarlijke patronen gevonden | Plugin-code / installatiebron | nee |
plugins.code_safety.entry_path | warn | Plugin-invoerpad verwijst naar verborgen locaties of node_modules-locaties | Plugin-manifest entry | nee |
plugins.code_safety.entry_escape | critical | Plugin-invoer ontsnapt uit de Plugin-map | Plugin-manifest entry | nee |
plugins.code_safety.scan_failed | warn | Plugin-codescan kon niet worden voltooid | Plugin-pad / scanomgeving | nee |
skills.code_safety | warn/critical | Metadata/code van Skill-installatieprogramma bevat verdachte of gevaarlijke patronen | installatiebron van Skill | nee |
skills.code_safety.scan_failed | warn | Skill-codescan kon niet worden voltooid | Skill-scanomgeving | nee |
security.exposure.open_channels_with_exec | warn/critical | Gedeelde/openbare ruimtes kunnen agents met exec ingeschakeld bereiken | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* | nee |
security.exposure.open_groups_with_elevated | critical | Open DM’s/groepen + verhoogde tools creëren prompt-injectiepaden met grote impact | DM-beleidspaden op topniveau of genest, accountoverschrijvingen, channels.*.groupPolicy | nee |
security.exposure.open_groups_with_runtime_or_fs | critical/warn | Open DM’s/groepen kunnen opdracht-/bestandstools bereiken zonder sandbox-/werkruimtebeveiliging | DM-/groepsbeleidspaden, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode | nee |
security.trust_model.multi_user_heuristic | warn | Configuratie lijkt multi-user terwijl het vertrouwensmodel van de Gateway persoonlijke assistent is | gescheiden vertrouwensgrenzen, of gedeelde-gebruiker-verharding (sandbox.mode, tool-deny/werkruimteafbakening) | nee |
tools.profile_minimal_overridden | warn | Agent-overschrijvingen omzeilen globaal minimaal profiel | agents.list[].tools.profile | nee |
plugins.tools_reachable_permissive_policy | warn | Extensietools bereikbaar in permissieve contexten | tools.profile + tool allow/deny | nee |
models.legacy | warn | Verouderde modelfamilies zijn nog geconfigureerd | modelselectie | nee |
models.weak_tier | warn | Geconfigureerde modellen liggen onder de huidige aanbevolen niveaus | modelselectie | nee |
models.small_params | critical/info | Kleine modellen + onveilige tool-oppervlakken verhogen injectierisico | modelkeuze + sandbox-/toolbeleid | nee |
summary.attack_surface | info | Samenvattingsoverzicht van authenticatie-, kanaal-, tool- en blootstellingshouding | meerdere sleutels (zie bevindingdetails) | nee |