Перейти до основного вмісту
openclaw security audit видає структуровані знахідки, ідентифіковані за checkId. Ця сторінка є довідковим каталогом для цих ID. Загальну модель загроз і рекомендації із посилення захисту див. у розділі Безпека. Високоінформативні значення checkId, які ви найімовірніше побачите в реальних розгортаннях (не вичерпний список):
checkIdСерйозністьЧому це важливоОсновний ключ/шлях виправленняАвтовиправлення
fs.state_dir.perms_world_writableкритичнаІнші користувачі/процеси можуть змінювати весь стан OpenClawправа файлової системи для ~/.openclawтак
fs.state_dir.perms_group_writableпопередженняКористувачі групи можуть змінювати весь стан OpenClawправа файлової системи для ~/.openclawтак
fs.state_dir.perms_readableпопередженняКаталог стану доступний для читання іншимправа файлової системи для ~/.openclawтак
fs.state_dir.symlinkпопередженняЦіль каталогу стану стає ще однією межею довіриструктура файлової системи каталогу стануні
fs.config.perms_writableкритичнаІнші можуть змінювати політику автентифікації/інструментів/конфігураціюправа файлової системи для ~/.openclaw/openclaw.jsonтак
fs.config.symlinkпопередженняСимвольні посилання на конфігураційні файли не підтримуються для запису й додають ще одну межу довіризамініть звичайним конфігураційним файлом або спрямуйте OPENCLAW_CONFIG_PATH на справжній файлні
fs.config.perms_group_readableпопередженняКористувачі групи можуть читати токени/налаштування конфігураціїправа файлової системи для конфігураційного файлутак
fs.config.perms_world_readableкритичнаКонфігурація може розкривати токени/налаштуванняправа файлової системи для конфігураційного файлутак
fs.config_include.perms_writableкритичнаФайл включення конфігурації можуть змінювати іншіправа файлу включення, на який є посилання з openclaw.jsonтак
fs.config_include.perms_group_readableпопередженняКористувачі групи можуть читати включені секрети/налаштуванняправа файлу включення, на який є посилання з openclaw.jsonтак
fs.config_include.perms_world_readableкритичнаВключені секрети/налаштування доступні для читання всімправа файлу включення, на який є посилання з openclaw.jsonтак
fs.auth_profiles.perms_writableкритичнаІнші можуть додати або замінити збережені облікові дані моделейправа agents/<agentId>/agent/auth-profiles.jsonтак
fs.auth_profiles.perms_readableпопередженняІнші можуть читати API-ключі та OAuth-токениправа agents/<agentId>/agent/auth-profiles.jsonтак
fs.credentials_dir.perms_writableкритичнаІнші можуть змінювати стан спарювання каналів/облікових данихправа файлової системи для ~/.openclaw/credentialsтак
fs.credentials_dir.perms_readableпопередженняІнші можуть читати стан облікових даних каналівправа файлової системи для ~/.openclaw/credentialsтак
fs.sessions_store.perms_readableпопередженняІнші можуть читати стенограми/метадані сеансівправа сховища сеансівтак
fs.log_file.perms_readableпопередженняІнші можуть читати відредаговані, але все ще чутливі журналиправа файлу журналу Gatewayтак
fs.synced_dirпопередженняСтан/конфігурація в iCloud/Dropbox/Drive розширює доступ до токенів/стенограмперемістіть конфігурацію/стан із синхронізованих папокні
gateway.bind_no_authкритичнаВіддалене прив’язування без спільного секретуgateway.bind, gateway.auth.*ні
gateway.loopback_no_authкритичнаLoopback через зворотний проксі може стати неавтентифікованимgateway.auth.*, налаштування проксіні
gateway.trusted_proxies_missingпопередженняЗаголовки зворотного проксі наявні, але їм не довіряютьgateway.trustedProxiesні
gateway.http.no_authпопередження/критичнаHTTP API Gateway доступні з auth.mode="none"gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpcні
gateway.http.session_key_override_enabledінформаціяВикликачі HTTP API можуть перевизначати sessionKeygateway.http.allowSessionKeyOverrideні
gateway.tools_invoke_http.dangerous_allowпопередження/критичнаПовторно вмикає небезпечні інструменти через HTTP API для власників/адміністраторівgateway.tools.allowні
gateway.nodes.allow_commands_dangerousпопередження/критичнаВмикає команди вузлів із високим впливом (камера/екран/контакти/календар/SMS)gateway.nodes.allowCommandsні
gateway.nodes.deny_commands_ineffectiveпопередженняЗаписи заборони, схожі на шаблони, не збігаються з текстом оболонки або групамиgateway.nodes.denyCommandsні
gateway.tailscale_funnelкритичнаДоступ із публічного інтернетуgateway.tailscale.modeні
gateway.tailscale_serveінформаціяДоступ із tailnet увімкнено через Servegateway.tailscale.modeні
gateway.control_ui.allowed_origins_requiredкритичнаControl UI не через loopback без явного списку дозволених джерел браузераgateway.controlUi.allowedOriginsні
gateway.control_ui.allowed_origins_wildcardпопередження/критичнаallowedOrigins=["*"] вимикає список дозволених джерел браузераgateway.controlUi.allowedOriginsні
gateway.control_ui.host_header_origin_fallbackпопередження/критичнаВмикає резервне визначення джерела за заголовком Host (послаблення захисту від DNS rebinding)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallbackні
gateway.control_ui.insecure_authпопередженняУвімкнено перемикач сумісності для небезпечної автентифікаціїgateway.controlUi.allowInsecureAuthні
gateway.control_ui.device_auth_disabledкритичнаВимикає перевірку ідентичності пристроюgateway.controlUi.dangerouslyDisableDeviceAuthні
gateway.real_ip_fallback_enabledпопередження/критичнаДовіра до резервного X-Real-IP може дозволити підробку IP-адреси джерела через неправильну конфігурацію проксіgateway.allowRealIpFallback, gateway.trustedProxiesні
gateway.token_too_shortпопередженняКороткий спільний токен легше підібрати переборомgateway.auth.tokenні
gateway.auth_no_rate_limitпопередженняВідкрита автентифікація без обмеження частоти підвищує ризик переборуgateway.auth.rateLimitні
gateway.trusted_proxy_authкритичнаІдентичність проксі тепер стає межею автентифікаціїgateway.auth.mode="trusted-proxy"ні
gateway.trusted_proxy_no_proxiesкритичнаАвтентифікація через довірений проксі без довірених IP проксі небезпечнаgateway.trustedProxiesні
gateway.trusted_proxy_no_user_headerкритичнаАвтентифікація через довірений проксі не може безпечно визначити ідентичність користувачаgateway.auth.trustedProxy.userHeaderні
gateway.trusted_proxy_no_allowlistпопередженняАвтентифікація через довірений проксі приймає будь-якого автентифікованого upstream-користувачаgateway.auth.trustedProxy.allowUsersні
gateway.trusted_proxy_allow_loopbackwarnАвтентифікація trusted-proxy приймає явно дозволені джерела loopback-проксіgateway.auth.trustedProxy.allowLoopbackні
gateway.probe_auth_secretref_unavailablewarnГлибока перевірка не змогла розв’язати auth SecretRefs у цьому шляху командиджерело автентифікації deep-probe / доступність SecretRefні
gateway.probe_failedwarn/criticalЖива перевірка Gateway не вдаласядосяжність/автентифікація gatewayні
discovery.mdns_full_modewarn/criticalПовний режим mDNS оголошує метадані cliPath/sshPort у локальній мережіdiscovery.mdns.mode, gateway.bindні
config.insecure_or_dangerous_flagswarnУвімкнено один небезпечний або ризикований прапорець налагодженняключ, названий у деталях знахідкині
security.audit.suppressions.activeinfoВивід аудиту має налаштовані придушення й може бути відфільтрованийsecurity.audit.suppressionsні
config.secrets.gateway_password_in_configwarnПароль Gateway зберігається безпосередньо в конфігураціїgateway.auth.passwordні
config.secrets.hooks_token_in_configwarnBearer-токен хуків зберігається безпосередньо в конфігураціїhooks.tokenні
hooks.token_reuse_gateway_tokencriticalТокен входу хуків також розблоковує автентифікацію Gatewayhooks.token, gateway.auth.token, gateway.auth.passwordні
hooks.token_too_shortwarnЛегший перебір для входу хуківhooks.tokenні
hooks.default_session_key_unsetwarnЗапуски агента хуків розгалужуються на згенеровані сесії для кожного запитуhooks.defaultSessionKeyні
hooks.allowed_agent_ids_unrestrictedwarn/criticalАвтентифіковані виклики хуків можуть маршрутизуватися до будь-якого налаштованого агентаhooks.allowedAgentIdsні
hooks.request_session_key_enabledwarn/criticalЗовнішній викликач може вибрати sessionKeyhooks.allowRequestSessionKeyні
hooks.request_session_key_prefixes_missingwarn/criticalНемає обмеження на форми зовнішніх ключів сесіїhooks.allowedSessionKeyPrefixesні
hooks.path_rootcriticalШлях хука — /, що полегшує конфлікти або неправильну маршрутизацію входуhooks.pathні
hooks.installs_unpinned_npm_specswarnЗаписи встановлення хуків не закріплені до незмінних специфікацій npmметадані встановлення хуківні
hooks.installs_missing_integritywarnЗаписам встановлення хуків бракує метаданих цілісностіметадані встановлення хуківні
hooks.installs_version_driftwarnЗаписи встановлення хуків відхиляються від установлених пакетівметадані встановлення хуківні
logging.redact_offwarnЧутливі значення потрапляють у журнали/статусlogging.redactSensitiveтак
browser.control_invalid_configwarnКонфігурація керування браузером недійсна до виконанняbrowser.*ні
browser.control_no_authcriticalКерування браузером відкрито без автентифікації токеном/паролемgateway.auth.*ні
browser.remote_cdp_httpwarnВіддалений CDP через звичайний HTTP не має шифрування транспортупрофіль браузера cdpUrlні
browser.remote_cdp_private_hostwarnВіддалений CDP націлений на приватний/внутрішній хостпрофіль браузера cdpUrl, browser.ssrfPolicy.*ні
sandbox.docker_config_mode_offwarnКонфігурація Sandbox Docker наявна, але неактивнаagents.*.sandbox.modeні
sandbox.bind_mount_non_absolutewarnВідносні bind mounts можуть розв’язуватися непередбачуваноagents.*.sandbox.docker.binds[]ні
sandbox.dangerous_bind_mountcriticalBind mount Sandbox націлений на заблоковані системні шляхи, облікові дані або сокет Dockeragents.*.sandbox.docker.binds[]ні
sandbox.dangerous_network_modecriticalМережа Sandbox Docker використовує режим приєднання до простору імен host або container:*agents.*.sandbox.docker.networkні
sandbox.dangerous_seccomp_profilecriticalПрофіль seccomp Sandbox послаблює ізоляцію контейнераagents.*.sandbox.docker.securityOptні
sandbox.dangerous_apparmor_profilecriticalПрофіль AppArmor Sandbox послаблює ізоляцію контейнераagents.*.sandbox.docker.securityOptні
sandbox.browser_cdp_bridge_unrestrictedwarnМіст браузера Sandbox відкрито без обмеження діапазону джерелsandbox.browser.cdpSourceRangeні
sandbox.browser_container.non_loopback_publishcriticalНаявний контейнер браузера публікує CDP на інтерфейсах, що не є loopbackконфігурація публікації контейнера браузерної Sandboxні
sandbox.browser_container.hash_label_missingwarnНаявний контейнер браузера передує поточним міткам хешу конфігураціїopenclaw sandbox recreate --browser --allні
sandbox.browser_container.hash_epoch_stalewarnНаявний контейнер браузера передує поточній епосі конфігурації браузераopenclaw sandbox recreate --browser --allні
tools.exec.host_sandbox_no_sandbox_defaultswarnexec host=sandbox fail-closed, коли Sandbox вимкненоtools.exec.host, agents.defaults.sandbox.modeні
tools.exec.host_sandbox_no_sandbox_agentswarnДля окремого агента exec host=sandbox fail-closed, коли Sandbox вимкненоagents.list[].tools.exec.host, agents.list[].sandbox.modeні
tools.exec.security_full_configuredwarn/criticalHost exec працює з security="full"tools.exec.security, agents.list[].tools.exec.securityні
tools.exec.agent_skill_mcp_boundary_driftwarnСписки дозволів навичок агента наявні, тоді як host exec може досягати клієнтів/реєстрів MCPagents.list[].tools.exec.*, ізоляція Sandbox/ОС, облікові дані MCP-серверані
tools.exec.fs_tools_disabled_but_exec_enabledwarnПолітика інструментів файлової системи не робить виконання shell доступним лише для читанняtools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccessні
tools.exec.auto_allow_skills_enabledwarnСхвалення exec неявно довіряють бінарним файлам Skillsфайл схвалень хостані
tools.exec.allowlist_interpreter_without_strict_inline_evalwarnСписки дозволів інтерпретаторів дозволяють inline eval без примусового повторного схваленняtools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, список дозволів execні
tools.exec.safe_bins_interpreter_unprofiledwarnБінарні файли інтерпретатора/runtime у safeBins без явних профілів розширюють ризик exectools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.*ні
tools.exec.safe_bins_broad_behaviorwarnІнструменти з широкою поведінкою в safeBins послаблюють модель довіри низького ризику з фільтрацією stdintools.exec.safeBins, agents.list[].tools.exec.safeBinsні
tools.exec.safe_bin_trusted_dirs_riskywarnsafeBinTrustedDirs містить змінювані або ризиковані каталогиtools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirsno
skills.workspace.symlink_escapewarnskills/**/SKILL.md робочої області розв’язується поза коренем робочої області (зсув ланцюжка символічних посилань)стан файлової системи skills/** робочої областіno
plugins.extensions_no_allowlistwarnPlugins встановлено без явного списку дозволених pluginівplugins.allowlistno
plugins.installs_unpinned_npm_specswarnЗаписи індексу Plugin не закріплено за незмінними специфікаціями npmметадані встановлення pluginno
plugins.installs_missing_integritywarnЗаписи індексу Plugin не містять метаданих цілісностіметадані встановлення pluginno
plugins.installs_version_driftwarnЗаписи індексу Plugin відхиляються від установлених пакетівметадані встановлення pluginno
plugins.code_safetywarn/criticalСканування коду Plugin виявило підозрілі або небезпечні шаблоникод plugin / джерело встановленняno
plugins.code_safety.entry_pathwarnШлях входу Plugin вказує на приховані розташування або розташування node_modulesentry маніфесту pluginno
plugins.code_safety.entry_escapecriticalТочка входу Plugin виходить за межі каталогу pluginentry маніфесту pluginno
plugins.code_safety.scan_failedwarnНе вдалося завершити сканування коду Pluginшлях plugin / середовище скануванняno
skills.code_safetywarn/criticalМетадані/код інсталятора навички містять підозрілі або небезпечні шаблониджерело встановлення навичкиno
skills.code_safety.scan_failedwarnНе вдалося завершити сканування коду навичкисередовище сканування навичкиno
security.exposure.open_channels_with_execwarn/criticalСпільні/публічні кімнати можуть досягати агентів із увімкненим execchannels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.*no
security.exposure.open_groups_with_elevatedcriticalВідкриті DM/групи + інструменти з підвищеними правами створюють шляхи prompt-injection з високим впливомшляхи політик DM верхнього рівня або вкладені, перевизначення облікових записів, channels.*.groupPolicyno
security.exposure.open_groups_with_runtime_or_fscritical/warnВідкриті DM/групи можуть досягати інструментів команд/файлів без захистів sandbox/робочої областішляхи політик DM/груп, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.modeno
security.trust_model.multi_user_heuristicwarnКонфігурація виглядає багатокористувацькою, тоді як модель довіри gateway є personal-assistantрозділені межі довіри або посилення для спільних користувачів (sandbox.mode, заборона інструментів/обмеження областю робочого простору)no
tools.profile_minimal_overriddenwarnПеревизначення агента обходять глобальний мінімальний профільagents.list[].tools.profileno
plugins.tools_reachable_permissive_policywarnІнструменти розширень доступні в дозвільних контекстахtools.profile + дозволи/заборони інструментівno
models.legacywarnЗастарілі сімейства моделей усе ще налаштованівибір моделіno
models.weak_tierwarnНалаштовані моделі нижчі за поточні рекомендовані рівнівибір моделіno
models.small_paramscritical/infoМалі моделі + небезпечні поверхні інструментів підвищують ризик ін’єкційвибір моделі + політика sandbox/інструментівno
summary.attack_surfaceinfoЗведений підсумок стану auth, каналів, інструментів і exposureкілька ключів (див. деталі finding)no

Пов’язане