Przejdź do głównej treści
openclaw security audit emituje ustrukturyzowane ustalenia identyfikowane przez checkId. Ta strona jest katalogiem referencyjnym dla tych identyfikatorów. Ogólny model zagrożeń i wskazówki dotyczące wzmacniania zabezpieczeń znajdziesz w sekcji Bezpieczeństwo. Wartości checkId o wysokiej wartości sygnałowej, które najprawdopodobniej zobaczysz w rzeczywistych wdrożeniach (lista nie jest wyczerpująca):
checkIdWażnośćDlaczego to ważneGłówny klucz/ścieżka naprawyAutomatyczna naprawa
fs.state_dir.perms_world_writablekrytyczneInni użytkownicy/procesy mogą modyfikować cały stan OpenClawuprawnienia systemu plików dla ~/.openclawtak
fs.state_dir.perms_group_writableostrzeżenieUżytkownicy grupy mogą modyfikować cały stan OpenClawuprawnienia systemu plików dla ~/.openclawtak
fs.state_dir.perms_readableostrzeżenieKatalog stanu jest czytelny dla innychuprawnienia systemu plików dla ~/.openclawtak
fs.state_dir.symlinkostrzeżenieCel katalogu stanu staje się kolejną granicą zaufaniaukład systemu plików katalogu stanunie
fs.config.perms_writablekrytyczneInni mogą zmienić zasady uwierzytelniania/narzędzi/konfiguracjiuprawnienia systemu plików dla ~/.openclaw/openclaw.jsontak
fs.config.symlinkostrzeżenieDowiązane symbolicznie pliki konfiguracji nie są obsługiwane przy zapisie i dodają kolejną granicę zaufaniazastąp zwykłym plikiem konfiguracji albo skieruj OPENCLAW_CONFIG_PATH na rzeczywisty pliknie
fs.config.perms_group_readableostrzeżenieUżytkownicy grupy mogą odczytywać tokeny/ustawienia konfiguracjiuprawnienia systemu plików dla pliku konfiguracjitak
fs.config.perms_world_readablekrytyczneKonfiguracja może ujawniać tokeny/ustawieniauprawnienia systemu plików dla pliku konfiguracjitak
fs.config_include.perms_writablekrytycznePlik dołączany do konfiguracji może być modyfikowany przez innychuprawnienia pliku dołączanego, do którego odwołuje się openclaw.jsontak
fs.config_include.perms_group_readableostrzeżenieUżytkownicy grupy mogą odczytywać dołączone sekrety/ustawieniauprawnienia pliku dołączanego, do którego odwołuje się openclaw.jsontak
fs.config_include.perms_world_readablekrytyczneDołączone sekrety/ustawienia są czytelne dla wszystkichuprawnienia pliku dołączanego, do którego odwołuje się openclaw.jsontak
fs.auth_profiles.perms_writablekrytyczneInni mogą wstrzyknąć lub zastąpić zapisane dane uwierzytelniające modeliuprawnienia agents/<agentId>/agent/auth-profiles.jsontak
fs.auth_profiles.perms_readableostrzeżenieInni mogą odczytywać klucze API i tokeny OAuthuprawnienia agents/<agentId>/agent/auth-profiles.jsontak
fs.credentials_dir.perms_writablekrytyczneInni mogą modyfikować stan parowania/danych uwierzytelniających kanałuuprawnienia systemu plików dla ~/.openclaw/credentialstak
fs.credentials_dir.perms_readableostrzeżenieInni mogą odczytywać stan danych uwierzytelniających kanałuuprawnienia systemu plików dla ~/.openclaw/credentialstak
fs.sessions_store.perms_readableostrzeżenieInni mogą odczytywać transkrypcje/metadane sesjiuprawnienia magazynu sesjitak
fs.log_file.perms_readableostrzeżenieInni mogą odczytywać zredagowane, ale nadal wrażliwe logiuprawnienia pliku logu Gatewaytak
fs.synced_dirostrzeżenieStan/konfiguracja w iCloud/Dropbox/Drive zwiększa ekspozycję tokenów/transkrypcjiprzenieś konfigurację/stan poza synchronizowane folderynie
gateway.bind_no_authkrytyczneZdalne powiązanie bez współdzielonego sekretugateway.bind, gateway.auth.*nie
gateway.loopback_no_authkrytyczneZwrotnie proksowany local loopback może stać się nieuwierzytelnionygateway.auth.*, konfiguracja proxynie
gateway.trusted_proxies_missingostrzeżenieNagłówki reverse proxy są obecne, ale niezaufanegateway.trustedProxiesnie
gateway.http.no_authostrzeżenie/krytyczneInterfejsy API HTTP Gateway osiągalne z auth.mode="none"gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpcnie
gateway.http.session_key_override_enabledinformacjaWywołujący API HTTP mogą nadpisywać sessionKeygateway.http.allowSessionKeyOverridenie
gateway.tools_invoke_http.dangerous_allowostrzeżenie/krytycznePonownie włącza niebezpieczne narzędzia przez API HTTP dla właścicieli/administratorówgateway.tools.allownie
gateway.nodes.allow_commands_dangerousostrzeżenie/krytyczneWłącza polecenia węzła o dużym wpływie (kamera/ekran/kontakty/kalendarz/SMS)gateway.nodes.allowCommandsnie
gateway.nodes.deny_commands_ineffectiveostrzeżenieWpisy odmowy podobne do wzorców nie dopasowują tekstu powłoki ani grupgateway.nodes.denyCommandsnie
gateway.tailscale_funnelkrytyczneEkspozycja na publiczny internetgateway.tailscale.modenie
gateway.tailscale_serveinformacjaEkspozycja w tailnecie jest włączona przez Servegateway.tailscale.modenie
gateway.control_ui.allowed_origins_requiredkrytyczneControl UI poza local loopback bez jawnej listy dozwolonych źródeł przeglądarkigateway.controlUi.allowedOriginsnie
gateway.control_ui.allowed_origins_wildcardostrzeżenie/krytyczneallowedOrigins=["*"] wyłącza listę dozwolonych źródeł przeglądarkigateway.controlUi.allowedOriginsnie
gateway.control_ui.host_header_origin_fallbackostrzeżenie/krytyczneWłącza awaryjne źródło z nagłówka Host (obniżenie ochrony przed DNS rebinding)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallbacknie
gateway.control_ui.insecure_authostrzeżenieWłączony przełącznik zgodności dla niebezpiecznego uwierzytelnianiagateway.controlUi.allowInsecureAuthnie
gateway.control_ui.device_auth_disabledkrytyczneWyłącza sprawdzanie tożsamości urządzeniagateway.controlUi.dangerouslyDisableDeviceAuthnie
gateway.real_ip_fallback_enabledostrzeżenie/krytyczneUfanie awaryjnemu X-Real-IP może umożliwić fałszowanie źródłowego adresu IP przez błędną konfigurację proxygateway.allowRealIpFallback, gateway.trustedProxiesnie
gateway.token_too_shortostrzeżenieKrótki współdzielony token łatwiej złamać metodą brute forcegateway.auth.tokennie
gateway.auth_no_rate_limitostrzeżenieWystawione uwierzytelnianie bez limitowania częstotliwości zwiększa ryzyko brute forcegateway.auth.rateLimitnie
gateway.trusted_proxy_authkrytyczneTożsamość proxy staje się teraz granicą uwierzytelnianiagateway.auth.mode="trusted-proxy"nie
gateway.trusted_proxy_no_proxieskrytyczneUwierzytelnianie trusted-proxy bez zaufanych adresów IP proxy jest niebezpiecznegateway.trustedProxiesnie
gateway.trusted_proxy_no_user_headerkrytyczneUwierzytelnianie trusted-proxy nie może bezpiecznie ustalić tożsamości użytkownikagateway.auth.trustedProxy.userHeadernie
gateway.trusted_proxy_no_allowlistostrzeżenieUwierzytelnianie trusted-proxy akceptuje dowolnego uwierzytelnionego użytkownika upstreamgateway.auth.trustedProxy.allowUsersnie
gateway.trusted_proxy_allow_loopbackostrzeżenieUwierzytelnianie zaufanego proxy akceptuje jawnie dozwolone źródła proxy typu loopbackgateway.auth.trustedProxy.allowLoopbacknie
gateway.probe_auth_secretref_unavailableostrzeżenieGłęboka próba nie mogła rozwiązać auth SecretRefs w tej ścieżce poleceniaźródło uwierzytelniania deep-probe / dostępność SecretRefnie
gateway.probe_failedostrzeżenie/krytycznePróba działającego Gateway nie powiodła sięosiągalność/uwierzytelnianie gatewaynie
discovery.mdns_full_modeostrzeżenie/krytycznePełny tryb mDNS rozgłasza metadane cliPath/sshPort w sieci lokalnejdiscovery.mdns.mode, gateway.bindnie
config.insecure_or_dangerous_flagsostrzeżenieWłączona jest jedna niezabezpieczona/niebezpieczna flaga debugowaniaklucz nazwany w szczegółach ustalenianie
security.audit.suppressions.activeinformacjaDane wyjściowe audytu mają skonfigurowane wyciszenia i mogą być filtrowanesecurity.audit.suppressionsnie
config.secrets.gateway_password_in_configostrzeżenieHasło Gateway jest przechowywane bezpośrednio w konfiguracjigateway.auth.passwordnie
config.secrets.hooks_token_in_configostrzeżenieToken bearer hooka jest przechowywany bezpośrednio w konfiguracjihooks.tokennie
hooks.token_reuse_gateway_tokenkrytyczneToken wejściowy hooka odblokowuje także uwierzytelnianie Gatewayhooks.token, gateway.auth.token, gateway.auth.passwordnie
hooks.token_too_shortostrzeżenieŁatwiejszy brute force na wejściu hookahooks.tokennie
hooks.default_session_key_unsetostrzeżenieUruchomienia agenta hooka rozchodzą się do wygenerowanych sesji na żądaniehooks.defaultSessionKeynie
hooks.allowed_agent_ids_unrestrictedostrzeżenie/krytyczneUwierzytelnieni wywołujący hooka mogą kierować żądania do dowolnego skonfigurowanego agentahooks.allowedAgentIdsnie
hooks.request_session_key_enabledostrzeżenie/krytyczneZewnętrzny wywołujący może wybrać sessionKeyhooks.allowRequestSessionKeynie
hooks.request_session_key_prefixes_missingostrzeżenie/krytyczneBrak ograniczenia kształtów zewnętrznych kluczy sesjihooks.allowedSessionKeyPrefixesnie
hooks.path_rootkrytyczneŚcieżka hooka to /, przez co wejście łatwiej koliduje lub jest błędnie kierowanehooks.pathnie
hooks.installs_unpinned_npm_specsostrzeżenieRekordy instalacji hooka nie są przypięte do niezmiennych specyfikacji npmmetadane instalacji hookanie
hooks.installs_missing_integrityostrzeżenieRekordy instalacji hooka nie mają metadanych integralnościmetadane instalacji hookanie
hooks.installs_version_driftostrzeżenieRekordy instalacji hooka odbiegają od zainstalowanych pakietówmetadane instalacji hookanie
logging.redact_offostrzeżenieWartości wrażliwe wyciekają do logów/statusulogging.redactSensitivetak
browser.control_invalid_configostrzeżenieKonfiguracja sterowania przeglądarką jest nieprawidłowa przed uruchomieniembrowser.*nie
browser.control_no_authkrytyczneSterowanie przeglądarką jest wystawione bez uwierzytelniania tokenem/hasłemgateway.auth.*nie
browser.remote_cdp_httpostrzeżenieZdalny CDP przez zwykły HTTP nie ma szyfrowania transportuprofil przeglądarki cdpUrlnie
browser.remote_cdp_private_hostostrzeżenieZdalny CDP wskazuje prywatny/wewnętrzny hostprofil przeglądarki cdpUrl, browser.ssrfPolicy.*nie
sandbox.docker_config_mode_offostrzeżenieKonfiguracja Docker sandboxa istnieje, ale jest nieaktywnaagents.*.sandbox.modenie
sandbox.bind_mount_non_absoluteostrzeżenieWzględne montowania bind mogą rozwiązywać się nieprzewidywalnieagents.*.sandbox.docker.binds[]nie
sandbox.dangerous_bind_mountkrytyczneMontowanie bind sandboxa wskazuje zablokowane ścieżki systemowe, poświadczeń lub gniazda Dockeragents.*.sandbox.docker.binds[]nie
sandbox.dangerous_network_modekrytyczneSieć Docker sandboxa używa trybu host lub container:* dołączającego przestrzeń nazwagents.*.sandbox.docker.networknie
sandbox.dangerous_seccomp_profilekrytyczneProfil seccomp sandboxa osłabia izolację konteneraagents.*.sandbox.docker.securityOptnie
sandbox.dangerous_apparmor_profilekrytyczneProfil AppArmor sandboxa osłabia izolację konteneraagents.*.sandbox.docker.securityOptnie
sandbox.browser_cdp_bridge_unrestrictedostrzeżenieMost przeglądarki sandboxa jest wystawiony bez ograniczenia zakresu źródełsandbox.browser.cdpSourceRangenie
sandbox.browser_container.non_loopback_publishkrytyczneIstniejący kontener przeglądarki publikuje CDP na interfejsach innych niż loopbackkonfiguracja publikowania kontenera sandboxa przeglądarkinie
sandbox.browser_container.hash_label_missingostrzeżenieIstniejący kontener przeglądarki powstał przed obecnymi etykietami skrótu konfiguracjiopenclaw sandbox recreate --browser --allnie
sandbox.browser_container.hash_epoch_staleostrzeżenieIstniejący kontener przeglądarki powstał przed obecną epoką konfiguracji przeglądarkiopenclaw sandbox recreate --browser --allnie
tools.exec.host_sandbox_no_sandbox_defaultsostrzeżenieexec host=sandbox zamyka się bezpiecznie, gdy sandbox jest wyłączonytools.exec.host, agents.defaults.sandbox.modenie
tools.exec.host_sandbox_no_sandbox_agentsostrzeżeniePer-agent exec host=sandbox zamyka się bezpiecznie, gdy sandbox jest wyłączonyagents.list[].tools.exec.host, agents.list[].sandbox.modenie
tools.exec.security_full_configuredostrzeżenie/krytyczneWykonywanie na hoście działa z security="full"tools.exec.security, agents.list[].tools.exec.securitynie
tools.exec.agent_skill_mcp_boundary_driftostrzeżenieListy dozwolonych umiejętności agenta są obecne, podczas gdy wykonywanie na hoście może sięgać klientów/rejestrów MCPagents.list[].tools.exec.*, izolacja sandboxa/OS, poświadczenia serwera MCPnie
tools.exec.fs_tools_disabled_but_exec_enabledostrzeżeniePolityka narzędzi systemu plików nie sprawia, że wykonywanie powłoki jest tylko do odczytutools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccessnie
tools.exec.auto_allow_skills_enabledostrzeżenieZatwierdzenia wykonywania ufają niejawnie binariom Skillsplik zatwierdzeń hostanie
tools.exec.allowlist_interpreter_without_strict_inline_evalostrzeżenieListy dozwolonych interpreterów pozwalają na inline eval bez wymuszonego ponownego zatwierdzeniatools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, lista dozwolonych zatwierdzeń wykonywanianie
tools.exec.safe_bins_interpreter_unprofiledostrzeżenieBinaria interpretera/runtime w safeBins bez jawnych profili poszerzają ryzyko wykonywaniatools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.*nie
tools.exec.safe_bins_broad_behaviorostrzeżenieNarzędzia o szerokim zachowaniu w safeBins osłabiają model zaufania filtra stdin o niskim ryzykutools.exec.safeBins, agents.list[].tools.exec.safeBinsnie
tools.exec.safe_bin_trusted_dirs_riskyostrzeżeniesafeBinTrustedDirs obejmuje modyfikowalne lub ryzykowne katalogitools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirsnie
skills.workspace.symlink_escapeostrzeżenieskills/**/SKILL.md w przestrzeni roboczej wskazuje poza katalog główny przestrzeni roboczej (dryf łańcucha dowiązań symbolicznych)stan systemu plików przestrzeni roboczej skills/**nie
plugins.extensions_no_allowlistostrzeżeniePluginy są instalowane bez jawnej listy dozwolonych Pluginówplugins.allowlistnie
plugins.installs_unpinned_npm_specsostrzeżenieRekordy indeksu Pluginów nie są przypięte do niezmiennych specyfikacji npmmetadane instalacji Pluginunie
plugins.installs_missing_integrityostrzeżenieRekordy indeksu Pluginów nie mają metadanych integralnościmetadane instalacji Pluginunie
plugins.installs_version_driftostrzeżenieRekordy indeksu Pluginów odbiegają od zainstalowanych pakietówmetadane instalacji Pluginunie
plugins.code_safetyostrzeżenie/krytyczneSkan kodu Pluginu znalazł podejrzane lub niebezpieczne wzorcekod Pluginu / źródło instalacjinie
plugins.code_safety.entry_pathostrzeżenieŚcieżka wejściowa Pluginu wskazuje ukryte lokalizacje lub lokalizacje node_modulesmanifest Pluginu entrynie
plugins.code_safety.entry_escapekrytyczneŚcieżka wejściowa Pluginu wychodzi poza katalog Pluginumanifest Pluginu entrynie
plugins.code_safety.scan_failedostrzeżenieNie udało się ukończyć skanu kodu Pluginuścieżka Pluginu / środowisko skanowanianie
skills.code_safetyostrzeżenie/krytyczneMetadane/kod instalatora Skills zawierają podejrzane lub niebezpieczne wzorceźródło instalacji Skillsnie
skills.code_safety.scan_failedostrzeżenieNie udało się ukończyć skanu kodu Skillsśrodowisko skanowania Skillsnie
security.exposure.open_channels_with_execostrzeżenie/krytyczneWspółdzielone/publiczne pokoje mogą uzyskiwać dostęp do agentów z włączonym execchannels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.*nie
security.exposure.open_groups_with_elevatedkrytyczneOtwarte wiadomości prywatne/grupy + narzędzia o podwyższonych uprawnieniach tworzą ścieżki prompt injection o dużym wpływieścieżki zasad wiadomości prywatnych najwyższego poziomu lub zagnieżdżone, nadpisania kont, channels.*.groupPolicynie
security.exposure.open_groups_with_runtime_or_fskrytyczne/ostrzeżenieOtwarte wiadomości prywatne/grupy mogą uzyskiwać dostęp do narzędzi poleceń/plików bez zabezpieczeń sandbox/przestrzeni roboczejścieżki zasad wiadomości prywatnych/grup, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.modenie
security.trust_model.multi_user_heuristicostrzeżenieKonfiguracja wygląda na wieloużytkownikową, podczas gdy model zaufania Gateway jest przeznaczony dla osobistego asystentarozdzielone granice zaufania lub wzmocnienie dla współdzielonych użytkowników (sandbox.mode, odmowy narzędzi/ograniczenie zakresu do przestrzeni roboczej)nie
tools.profile_minimal_overriddenostrzeżenieNadpisania agenta omijają globalny profil minimalnyagents.list[].tools.profilenie
plugins.tools_reachable_permissive_policyostrzeżenieNarzędzia rozszerzeń osiągalne w kontekstach permisywnychtools.profile + zezwalanie/odmawianie narzędzinie
models.legacyostrzeżenieStarsze rodziny modeli nadal są skonfigurowanewybór modelunie
models.weak_tierostrzeżenieSkonfigurowane modele są poniżej obecnie zalecanych poziomówwybór modelunie
models.small_paramskrytyczne/informacjaMałe modele + niebezpieczne powierzchnie narzędzi zwiększają ryzyko wstrzyknięciawybór modelu + zasady sandbox/narzędzinie
summary.attack_surfaceinformacjaZbiorcze podsumowanie stanu uwierzytelniania, kanałów, narzędzi i ekspozycjiwiele kluczy (zobacz szczegóły ustalenia)nie

Powiązane