Pular para o conteúdo principal
openclaw security audit emite achados estruturados identificados por checkId. Esta página é o catálogo de referência para esses IDs. Para o modelo de ameaças de alto nível e orientações de fortalecimento, consulte Segurança. Valores de checkId de alta relevância que você provavelmente verá em implantações reais (não exaustivo):
checkIdGravidadePor que isso importaChave/caminho principal de correçãoCorreção automática
fs.state_dir.perms_world_writablecríticoOutros usuários/processos podem modificar todo o estado do OpenClawpermissões do sistema de arquivos em ~/.openclawsim
fs.state_dir.perms_group_writableavisoUsuários do grupo podem modificar todo o estado do OpenClawpermissões do sistema de arquivos em ~/.openclawsim
fs.state_dir.perms_readableavisoO diretório de estado pode ser lido por outrospermissões do sistema de arquivos em ~/.openclawsim
fs.state_dir.symlinkavisoO destino do diretório de estado se torna outro limite de confiançalayout do sistema de arquivos do diretório de estadonão
fs.config.perms_writablecríticoOutros podem alterar a política/configuração de autenticação/ferramentaspermissões do sistema de arquivos em ~/.openclaw/openclaw.jsonsim
fs.config.symlinkavisoArquivos de configuração com symlink não têm suporte para gravações e adicionam outro limite de confiançasubstitua por um arquivo de configuração comum ou aponte OPENCLAW_CONFIG_PATH para o arquivo realnão
fs.config.perms_group_readableavisoUsuários do grupo podem ler tokens/configuraçõespermissões do sistema de arquivos no arquivo de configuraçãosim
fs.config.perms_world_readablecríticoA configuração pode expor tokens/configuraçõespermissões do sistema de arquivos no arquivo de configuraçãosim
fs.config_include.perms_writablecríticoO arquivo de inclusão de configuração pode ser modificado por outrospermissões do arquivo de inclusão referenciado em openclaw.jsonsim
fs.config_include.perms_group_readableavisoUsuários do grupo podem ler segredos/configurações incluídospermissões do arquivo de inclusão referenciado em openclaw.jsonsim
fs.config_include.perms_world_readablecríticoSegredos/configurações incluídos podem ser lidos por qualquer usuáriopermissões do arquivo de inclusão referenciado em openclaw.jsonsim
fs.auth_profiles.perms_writablecríticoOutros podem injetar ou substituir credenciais de modelo armazenadaspermissões de agents/<agentId>/agent/auth-profiles.jsonsim
fs.auth_profiles.perms_readableavisoOutros podem ler chaves de API e tokens OAuthpermissões de agents/<agentId>/agent/auth-profiles.jsonsim
fs.credentials_dir.perms_writablecríticoOutros podem modificar o estado de pareamento/credenciais do canalpermissões do sistema de arquivos em ~/.openclaw/credentialssim
fs.credentials_dir.perms_readableavisoOutros podem ler o estado de credenciais do canalpermissões do sistema de arquivos em ~/.openclaw/credentialssim
fs.sessions_store.perms_readableavisoOutros podem ler transcrições/metadados de sessõespermissões do armazenamento de sessõessim
fs.log_file.perms_readableavisoOutros podem ler logs editados, mas ainda sensíveispermissões do arquivo de log do Gatewaysim
fs.synced_diravisoEstado/configuração no iCloud/Dropbox/Drive amplia a exposição de tokens/transcriçõesmova a configuração/o estado para fora de pastas sincronizadasnão
gateway.bind_no_authcríticoBind remoto sem segredo compartilhadogateway.bind, gateway.auth.*não
gateway.loopback_no_authcríticoLoopback por proxy reverso pode ficar sem autenticaçãogateway.auth.*, configuração de proxynão
gateway.trusted_proxies_missingavisoCabeçalhos de proxy reverso estão presentes, mas não são confiáveisgateway.trustedProxiesnão
gateway.http.no_authaviso/críticoAPIs HTTP do Gateway acessíveis com auth.mode="none"gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpcnão
gateway.http.session_key_override_enabledinformaçãoChamadores da API HTTP podem sobrescrever sessionKeygateway.http.allowSessionKeyOverridenão
gateway.tools_invoke_http.dangerous_allowaviso/críticoReativa ferramentas perigosas pela API HTTP para chamadores proprietários/admingateway.tools.allownão
gateway.nodes.allow_commands_dangerousaviso/críticoHabilita comandos de nó de alto impacto (câmera/tela/contatos/calendário/SMS)gateway.nodes.allowCommandsnão
gateway.nodes.deny_commands_ineffectiveavisoEntradas de negação semelhantes a padrões não correspondem a texto de shell ou gruposgateway.nodes.denyCommandsnão
gateway.tailscale_funnelcríticoExposição à internet públicagateway.tailscale.modenão
gateway.tailscale_serveinformaçãoA exposição à tailnet está habilitada via Servegateway.tailscale.modenão
gateway.control_ui.allowed_origins_requiredcríticoUI de controle fora de loopback sem lista de permissões explícita de origens do navegadorgateway.controlUi.allowedOriginsnão
gateway.control_ui.allowed_origins_wildcardaviso/críticoallowedOrigins=["*"] desativa a lista de permissões de origens do navegadorgateway.controlUi.allowedOriginsnão
gateway.control_ui.host_header_origin_fallbackaviso/críticoHabilita fallback de origem por cabeçalho Host (rebaixamento do endurecimento contra religação de DNS)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallbacknão
gateway.control_ui.insecure_authavisoAlternância de compatibilidade de autenticação insegura habilitadagateway.controlUi.allowInsecureAuthnão
gateway.control_ui.device_auth_disabledcríticoDesativa a verificação de identidade do dispositivogateway.controlUi.dangerouslyDisableDeviceAuthnão
gateway.real_ip_fallback_enabledaviso/críticoConfiar no fallback de X-Real-IP pode permitir falsificação de IP de origem por configuração incorreta de proxygateway.allowRealIpFallback, gateway.trustedProxiesnão
gateway.token_too_shortavisoToken compartilhado curto é mais fácil de sofrer força brutagateway.auth.tokennão
gateway.auth_no_rate_limitavisoAutenticação exposta sem limitação de taxa aumenta o risco de força brutagateway.auth.rateLimitnão
gateway.trusted_proxy_authcríticoA identidade do proxy agora se torna o limite de autenticaçãogateway.auth.mode="trusted-proxy"não
gateway.trusted_proxy_no_proxiescríticoAutenticação de proxy confiável sem IPs de proxy confiáveis é inseguragateway.trustedProxiesnão
gateway.trusted_proxy_no_user_headercríticoAutenticação de proxy confiável não consegue resolver a identidade do usuário com segurançagateway.auth.trustedProxy.userHeadernão
gateway.trusted_proxy_no_allowlistavisoAutenticação de proxy confiável aceita qualquer usuário upstream autenticadogateway.auth.trustedProxy.allowUsersnão
gateway.trusted_proxy_allow_loopbackwarnA autenticação por proxy confiável aceita fontes de proxy local loopback explicitamente permitidasgateway.auth.trustedProxy.allowLoopbacknão
gateway.probe_auth_secretref_unavailablewarnA sondagem profunda não conseguiu resolver SecretRefs de autenticação neste caminho de comandofonte de autenticação da sondagem profunda / disponibilidade de SecretRefnão
gateway.probe_failedwarn/criticalA sondagem ao vivo do Gateway falhouacessibilidade/autenticação do gatewaynão
discovery.mdns_full_modewarn/criticalO modo completo mDNS anuncia metadados cliPath/sshPort na rede localdiscovery.mdns.mode, gateway.bindnão
config.insecure_or_dangerous_flagswarnUma flag de depuração insegura/perigosa está habilitadachave nomeada no detalhe da descobertanão
security.audit.suppressions.activeinfoA saída da auditoria tem supressões configuradas e pode estar filtradasecurity.audit.suppressionsnão
config.secrets.gateway_password_in_configwarnA senha do Gateway está armazenada diretamente na configuraçãogateway.auth.passwordnão
config.secrets.hooks_token_in_configwarnO token bearer do hook está armazenado diretamente na configuraçãohooks.tokennão
hooks.token_reuse_gateway_tokencriticalO token de entrada do hook também desbloqueia a autenticação do Gatewayhooks.token, gateway.auth.token, gateway.auth.passwordnão
hooks.token_too_shortwarnForça bruta mais fácil na entrada do hookhooks.tokennão
hooks.default_session_key_unsetwarnExecuções de agente de hook se espalham em sessões geradas por solicitaçãohooks.defaultSessionKeynão
hooks.allowed_agent_ids_unrestrictedwarn/criticalChamadores autenticados de hook podem rotear para qualquer agente configuradohooks.allowedAgentIdsnão
hooks.request_session_key_enabledwarn/criticalO chamador externo pode escolher sessionKeyhooks.allowRequestSessionKeynão
hooks.request_session_key_prefixes_missingwarn/criticalNão há limite para formatos de chaves de sessão externashooks.allowedSessionKeyPrefixesnão
hooks.path_rootcriticalO caminho do hook é /, tornando a entrada mais fácil de colidir ou rotear incorretamentehooks.pathnão
hooks.installs_unpinned_npm_specswarnRegistros de instalação de hooks não estão fixados a especificações npm imutáveismetadados de instalação do hooknão
hooks.installs_missing_integritywarnRegistros de instalação de hooks não têm metadados de integridademetadados de instalação do hooknão
hooks.installs_version_driftwarnRegistros de instalação de hooks divergem dos pacotes instaladosmetadados de instalação do hooknão
logging.redact_offwarnValores sensíveis vazam para logs/statuslogging.redactSensitivesim
browser.control_invalid_configwarnA configuração de controle do navegador é inválida antes do runtimebrowser.*não
browser.control_no_authcriticalControle do navegador exposto sem autenticação por token/senhagateway.auth.*não
browser.remote_cdp_httpwarnCDP remoto sobre HTTP simples não tem criptografia de transportecdpUrl do perfil do navegadornão
browser.remote_cdp_private_hostwarnCDP remoto aponta para um host privado/internocdpUrl do perfil do navegador, browser.ssrfPolicy.*não
sandbox.docker_config_mode_offwarnConfiguração Docker do sandbox presente, mas inativaagents.*.sandbox.modenão
sandbox.bind_mount_non_absolutewarnMontagens bind relativas podem ser resolvidas de forma imprevisívelagents.*.sandbox.docker.binds[]não
sandbox.dangerous_bind_mountcriticalMontagem bind do sandbox aponta para caminhos bloqueados do sistema, de credenciais ou de socket Dockeragents.*.sandbox.docker.binds[]não
sandbox.dangerous_network_modecriticalA rede Docker do sandbox usa o modo host ou container:* de junção de namespaceagents.*.sandbox.docker.networknão
sandbox.dangerous_seccomp_profilecriticalO perfil seccomp do sandbox enfraquece o isolamento do contêineragents.*.sandbox.docker.securityOptnão
sandbox.dangerous_apparmor_profilecriticalO perfil AppArmor do sandbox enfraquece o isolamento do contêineragents.*.sandbox.docker.securityOptnão
sandbox.browser_cdp_bridge_unrestrictedwarnA ponte de navegador do sandbox é exposta sem restrição de intervalo de origemsandbox.browser.cdpSourceRangenão
sandbox.browser_container.non_loopback_publishcriticalContêiner de navegador existente publica CDP em interfaces não local loopbackconfiguração de publicação do contêiner de sandbox do navegadornão
sandbox.browser_container.hash_label_missingwarnContêiner de navegador existente é anterior aos rótulos atuais de hash de configuraçãoopenclaw sandbox recreate --browser --allnão
sandbox.browser_container.hash_epoch_stalewarnContêiner de navegador existente é anterior à época atual de configuração do navegadoropenclaw sandbox recreate --browser --allnão
tools.exec.host_sandbox_no_sandbox_defaultswarnexec host=sandbox falha fechado quando o sandbox está desativadotools.exec.host, agents.defaults.sandbox.modenão
tools.exec.host_sandbox_no_sandbox_agentswarnexec host=sandbox por agente falha fechado quando o sandbox está desativadoagents.list[].tools.exec.host, agents.list[].sandbox.modenão
tools.exec.security_full_configuredwarn/criticalA execução no host está rodando com security="full"tools.exec.security, agents.list[].tools.exec.securitynão
tools.exec.agent_skill_mcp_boundary_driftwarnAllowlists de Skills de agente estão presentes enquanto a execução no host pode alcançar clientes/registros MCPagents.list[].tools.exec.*, isolamento de sandbox/SO, credenciais de servidor MCPnão
tools.exec.fs_tools_disabled_but_exec_enabledwarnA política da ferramenta de sistema de arquivos não torna a execução de shell somente leituratools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccessnão
tools.exec.auto_allow_skills_enabledwarnAprovações de execução confiam implicitamente em bins de Skillsarquivo de aprovações do hostnão
tools.exec.allowlist_interpreter_without_strict_inline_evalwarnAllowlists de interpretadores permitem eval inline sem nova aprovação forçadatools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, allowlist de aprovações de execuçãonão
tools.exec.safe_bins_interpreter_unprofiledwarnBins de interpretador/runtime em safeBins sem perfis explícitos ampliam o risco de execuçãotools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.*não
tools.exec.safe_bins_broad_behaviorwarnFerramentas de comportamento amplo em safeBins enfraquecem o modelo de confiança de baixo risco com filtro de stdintools.exec.safeBins, agents.list[].tools.exec.safeBinsnão
tools.exec.safe_bin_trusted_dirs_riskywarnsafeBinTrustedDirs inclui diretórios mutáveis ou arriscadostools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirsno
skills.workspace.symlink_escapewarnskills/**/SKILL.md do workspace é resolvido fora da raiz do workspace (desvio da cadeia de links simbólicos)estado do sistema de arquivos skills/** do workspaceno
plugins.extensions_no_allowlistwarnPlugins são instalados sem uma lista de permissões explícita de pluginsplugins.allowlistno
plugins.installs_unpinned_npm_specswarnRegistros do índice de plugins não estão fixados a especificações npm imutáveismetadados de instalação de pluginsno
plugins.installs_missing_integritywarnRegistros do índice de plugins não têm metadados de integridademetadados de instalação de pluginsno
plugins.installs_version_driftwarnRegistros do índice de plugins divergem dos pacotes instaladosmetadados de instalação de pluginsno
plugins.code_safetywarn/criticalVarredura de código de Plugin encontrou padrões suspeitos ou perigososcódigo do Plugin / origem de instalaçãono
plugins.code_safety.entry_pathwarnCaminho de entrada do Plugin aponta para locais ocultos ou node_modulesentry do manifesto do Pluginno
plugins.code_safety.entry_escapecriticalEntrada do Plugin escapa do diretório do Pluginentry do manifesto do Pluginno
plugins.code_safety.scan_failedwarnVarredura de código do Plugin não pôde ser concluídacaminho do Plugin / ambiente de varredurano
skills.code_safetywarn/criticalMetadados/código do instalador de Skill contém padrões suspeitos ou perigososorigem de instalação da Skillno
skills.code_safety.scan_failedwarnVarredura de código da Skill não pôde ser concluídaambiente de varredura da Skillno
security.exposure.open_channels_with_execwarn/criticalSalas compartilhadas/públicas podem alcançar agentes com exec habilitadochannels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.*no
security.exposure.open_groups_with_elevatedcriticalDMs/grupos abertos + ferramentas elevadas criam caminhos de injeção de prompt de alto impactocaminhos de política de DM de nível superior ou aninhados, substituições de conta, channels.*.groupPolicyno
security.exposure.open_groups_with_runtime_or_fscritical/warnDMs/grupos abertos podem alcançar ferramentas de comando/arquivo sem proteções de sandbox/workspacecaminhos de política de DM/grupo, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.modeno
security.trust_model.multi_user_heuristicwarnConfiguração parece multiusuário enquanto o modelo de confiança do Gateway é de assistente pessoallimites de confiança separados, ou proteção para usuário compartilhado (sandbox.mode, negação de ferramentas/escopo de workspace)no
tools.profile_minimal_overriddenwarnSubstituições de agente ignoram o perfil mínimo globalagents.list[].tools.profileno
plugins.tools_reachable_permissive_policywarnFerramentas de extensão acessíveis em contextos permissivostools.profile + permissão/negação de ferramentasno
models.legacywarnFamílias de modelos legadas ainda estão configuradasseleção de modelono
models.weak_tierwarnModelos configurados estão abaixo dos níveis recomendados atuaisseleção de modelono
models.small_paramscritical/infoModelos pequenos + superfícies de ferramentas inseguras aumentam o risco de injeçãoescolha de modelo + política de sandbox/ferramentasno
summary.attack_surfaceinfoResumo consolidado da postura de autenticação, canal, ferramentas e exposiçãovárias chaves (veja o detalhe da constatação)no

Relacionado