Skip to main content

Documentation Index

Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

openclaw security audit 会发出以 checkId 为键的结构化发现。本页是这些 ID 的参考目录。有关高层威胁模型和加固指南,请参阅安全 你最有可能在实际部署中看到的高信号 checkId 值(并非详尽无遗):
checkId严重程度为什么重要主要修复键/路径自动修复
fs.state_dir.perms_world_writable严重其他用户/进程可以修改完整的 OpenClaw 状态~/.openclaw 的文件系统权限
fs.state_dir.perms_group_writable警告组用户可以修改完整的 OpenClaw 状态~/.openclaw 的文件系统权限
fs.state_dir.perms_readable警告状态目录可被其他用户读取~/.openclaw 的文件系统权限
fs.state_dir.symlink警告状态目录目标会变成另一个信任边界状态目录文件系统布局
fs.config.perms_writable严重其他用户可以更改认证/工具策略/配置~/.openclaw/openclaw.json 的文件系统权限
fs.config.symlink警告不支持写入符号链接配置文件,并且会增加另一个信任边界替换为常规配置文件,或将 OPENCLAW_CONFIG_PATH 指向真实文件
fs.config.perms_group_readable警告组用户可以读取配置令牌/设置配置文件的文件系统权限
fs.config.perms_world_readable严重配置可能暴露令牌/设置配置文件的文件系统权限
fs.config_include.perms_writable严重配置包含文件可被其他用户修改openclaw.json 引用的包含文件权限
fs.config_include.perms_group_readable警告组用户可以读取被包含的密钥/设置openclaw.json 引用的包含文件权限
fs.config_include.perms_world_readable严重被包含的密钥/设置可被所有用户读取openclaw.json 引用的包含文件权限
fs.auth_profiles.perms_writable严重其他用户可以注入或替换已存储的模型凭证agents/<agentId>/agent/auth-profiles.json 权限
fs.auth_profiles.perms_readable警告其他用户可以读取 API key 和 OAuth 令牌agents/<agentId>/agent/auth-profiles.json 权限
fs.credentials_dir.perms_writable严重其他用户可以修改渠道配对/凭证状态~/.openclaw/credentials 的文件系统权限
fs.credentials_dir.perms_readable警告其他用户可以读取渠道凭证状态~/.openclaw/credentials 的文件系统权限
fs.sessions_store.perms_readable警告其他用户可以读取会话转录/元数据会话存储权限
fs.log_file.perms_readable警告其他用户可以读取已脱敏但仍敏感的日志Gateway 网关日志文件权限
fs.synced_dir警告iCloud/Dropbox/Drive 中的状态/配置会扩大令牌/转录暴露面将配置/状态移出同步文件夹
gateway.bind_no_auth严重未使用共享密钥的远程绑定gateway.bind, gateway.auth.*
gateway.loopback_no_auth严重反向代理的 local loopback 可能变成未认证gateway.auth.*, 代理设置
gateway.trusted_proxies_missing警告存在反向代理标头,但它们不受信任gateway.trustedProxies
gateway.http.no_auth警告/严重可通过 auth.mode="none" 访问 Gateway 网关 HTTP APIgateway.auth.mode, gateway.http.endpoints.*
gateway.http.session_key_override_enabled信息HTTP API 调用方可以覆盖 sessionKeygateway.http.allowSessionKeyOverride
gateway.tools_invoke_http.dangerous_allow警告/严重通过 HTTP API 重新启用危险工具gateway.tools.allow
gateway.nodes.allow_commands_dangerous警告/严重启用高影响节点命令(摄像头/屏幕/联系人/日历/SMS)gateway.nodes.allowCommands
gateway.nodes.deny_commands_ineffective警告类模式的拒绝条目不会匹配 shell 文本或组gateway.nodes.denyCommands
gateway.tailscale_funnel严重暴露到公网gateway.tailscale.mode
gateway.tailscale_serve信息已通过 Serve 启用 tailnet 暴露gateway.tailscale.mode
gateway.control_ui.allowed_origins_required严重非 loopback Control UI 未显式配置浏览器来源允许列表gateway.controlUi.allowedOrigins
gateway.control_ui.allowed_origins_wildcard警告/严重allowedOrigins=["*"] 会禁用浏览器来源允许列表gateway.controlUi.allowedOrigins
gateway.control_ui.host_header_origin_fallback警告/严重启用 Host 标头来源回退(降低 DNS 重绑定加固级别)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
gateway.control_ui.insecure_auth警告已启用不安全认证兼容性开关gateway.controlUi.allowInsecureAuth
gateway.control_ui.device_auth_disabled严重禁用设备身份检查gateway.controlUi.dangerouslyDisableDeviceAuth
gateway.real_ip_fallback_enabled警告/严重信任 X-Real-IP 回退可能因代理配置错误而允许源 IP 伪造gateway.allowRealIpFallback, gateway.trustedProxies
gateway.token_too_short警告短共享令牌更容易被暴力破解gateway.auth.token
gateway.auth_no_rate_limit警告暴露的认证缺少速率限制会增加暴力破解风险gateway.auth.rateLimit
gateway.trusted_proxy_auth严重代理身份现在成为认证边界gateway.auth.mode="trusted-proxy"
gateway.trusted_proxy_no_proxies严重没有受信任代理 IP 的 trusted-proxy 认证不安全gateway.trustedProxies
gateway.trusted_proxy_no_user_header严重trusted-proxy 认证无法安全解析用户身份gateway.auth.trustedProxy.userHeader
gateway.trusted_proxy_no_allowlist警告trusted-proxy 认证接受任意已认证的上游用户gateway.auth.trustedProxy.allowUsers
gateway.trusted_proxy_allow_loopback警告受信任代理认证接受显式允许的 loopback 代理来源gateway.auth.trustedProxy.allowLoopback
gateway.probe_auth_secretref_unavailable警告深度探测无法在此命令路径中解析认证 SecretRef深度探测认证来源 / SecretRef 可用性
gateway.probe_failed警告/严重实时 Gateway 网关探测失败Gateway 网关可达性/认证
discovery.mdns_full_mode警告/严重mDNS 完整模式会在本地网络上通告 cliPath/sshPort 元数据discovery.mdns.mode, gateway.bind
config.insecure_or_dangerous_flags警告已启用任何不安全/危险的调试标志多个键名(见发现详情)
config.secrets.gateway_password_in_config警告Gateway 网关密码直接存储在配置中gateway.auth.password
config.secrets.hooks_token_in_config警告Hook bearer token 直接存储在配置中hooks.token
hooks.token_reuse_gateway_token严重Hook 入口 token 也会解锁 Gateway 网关认证hooks.token, gateway.auth.token
hooks.token_too_short警告Hook 入口更容易被暴力破解hooks.token
hooks.default_session_key_unset警告Hook 智能体运行会扇出到生成的逐请求会话hooks.defaultSessionKey
hooks.allowed_agent_ids_unrestricted警告/严重已认证的 Hook 调用方可以路由到任何已配置的智能体hooks.allowedAgentIds
hooks.request_session_key_enabled警告/严重外部调用方可以选择 sessionKeyhooks.allowRequestSessionKey
hooks.request_session_key_prefixes_missing警告/严重外部会话键形状没有限制hooks.allowedSessionKeyPrefixes
hooks.path_root严重Hook 路径为 /,使入口更容易冲突或误路由hooks.path
hooks.installs_unpinned_npm_specs警告Hook 安装记录未固定到不可变的 npm 规格Hook 安装元数据
hooks.installs_missing_integrity警告Hook 安装记录缺少完整性元数据Hook 安装元数据
hooks.installs_version_drift警告Hook 安装记录与已安装包发生偏移Hook 安装元数据
logging.redact_off警告敏感值泄露到日志/Statuslogging.redactSensitive
browser.control_invalid_config警告浏览器控制配置在运行时之前无效browser.*
browser.control_no_auth严重浏览器控制在没有 token/密码认证的情况下暴露gateway.auth.*
browser.remote_cdp_http警告通过普通 HTTP 使用远程 CDP 缺少传输加密浏览器配置文件 cdpUrl
browser.remote_cdp_private_host警告远程 CDP 指向私有/内部主机浏览器配置文件 cdpUrl, browser.ssrfPolicy.*
sandbox.docker_config_mode_off警告沙箱 Docker 配置存在但未启用agents.*.sandbox.mode
sandbox.bind_mount_non_absolute警告相对绑定挂载可能以不可预测的方式解析agents.*.sandbox.docker.binds[]
sandbox.dangerous_bind_mount严重沙箱绑定挂载目标为被阻止的系统、凭据或 Docker socket 路径agents.*.sandbox.docker.binds[]
sandbox.dangerous_network_mode严重沙箱 Docker 网络使用 hostcontainer:* 命名空间加入模式agents.*.sandbox.docker.network
sandbox.dangerous_seccomp_profile严重沙箱 seccomp 配置文件削弱容器隔离agents.*.sandbox.docker.securityOpt
sandbox.dangerous_apparmor_profile严重沙箱 AppArmor 配置文件削弱容器隔离agents.*.sandbox.docker.securityOpt
sandbox.browser_cdp_bridge_unrestricted警告沙箱浏览器桥接在没有来源范围限制的情况下暴露sandbox.browser.cdpSourceRange
sandbox.browser_container.non_loopback_publish严重现有浏览器容器在非 loopback 接口上发布 CDP浏览器沙箱容器发布配置
sandbox.browser_container.hash_label_missing警告现有浏览器容器早于当前配置哈希标签openclaw sandbox recreate --browser --all
sandbox.browser_container.hash_epoch_stale警告现有浏览器容器早于当前浏览器配置时期openclaw sandbox recreate --browser --all
tools.exec.host_sandbox_no_sandbox_defaults警告当沙箱关闭时,exec host=sandbox 会失败关闭tools.exec.host, agents.defaults.sandbox.mode
tools.exec.host_sandbox_no_sandbox_agents警告当沙箱关闭时,逐智能体 exec host=sandbox 会失败关闭agents.list[].tools.exec.host, agents.list[].sandbox.mode
tools.exec.security_full_configured警告/严重主机 exec 正在以 security="full" 运行tools.exec.security, agents.list[].tools.exec.security
tools.exec.fs_tools_disabled_but_exec_enabled警告文件系统工具策略不会让 shell 执行变为只读tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess
tools.exec.auto_allow_skills_enabled警告Exec 批准隐式信任技能 bin~/.openclaw/exec-approvals.json
tools.exec.allowlist_interpreter_without_strict_inline_eval警告解释器允许列表允许内联 eval,且不会强制重新批准tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, exec 批准允许列表
tools.exec.safe_bins_interpreter_unprofiled警告safeBins 中没有显式配置文件的解释器/运行时 bin 会扩大 exec 风险tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.*
tools.exec.safe_bins_broad_behavior警告safeBins 中的广泛行为工具会削弱低风险 stdin 过滤信任模型tools.exec.safeBins, agents.list[].tools.exec.safeBins
tools.exec.safe_bin_trusted_dirs_risky警告safeBinTrustedDirs 包含可变或有风险的目录tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs
skills.workspace.symlink_escape警告工作区 skills/**/SKILL.md 解析到工作区根目录之外(符号链接链偏移)工作区 skills/** 文件系统状态
plugins.extensions_no_allowlistwarn插件是在没有显式插件允许列表的情况下安装的plugins.allowlistno
plugins.installs_unpinned_npm_specswarn插件索引记录未固定到不可变的 npm 规格插件安装元数据no
plugins.installs_missing_integritywarn插件索引记录缺少完整性元数据插件安装元数据no
plugins.installs_version_driftwarn插件索引记录与已安装的软件包不一致插件安装元数据no
plugins.code_safetywarn/critical插件代码扫描发现可疑或危险模式插件代码 / 安装来源no
plugins.code_safety.entry_pathwarn插件入口路径指向隐藏位置或 node_modules 位置插件清单 entryno
plugins.code_safety.entry_escapecritical插件入口逃逸出插件目录插件清单 entryno
plugins.code_safety.scan_failedwarn插件代码扫描无法完成插件路径 / 扫描环境no
skills.code_safetywarn/critical技能安装器元数据/代码包含可疑或危险模式技能安装来源no
skills.code_safety.scan_failedwarn技能代码扫描无法完成技能扫描环境no
security.exposure.open_channels_with_execwarn/critical共享/公开房间可以访问启用 exec 的智能体channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.*no
security.exposure.open_groups_with_elevatedcritical开放群组 + 提权工具会产生高影响的提示注入路径channels.*.groupPolicy, tools.elevated.*no
security.exposure.open_groups_with_runtime_or_fscritical/warn开放群组可以在没有沙箱/工作区保护的情况下访问命令/文件工具channels.*.groupPolicy, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.modeno
security.trust_model.multi_user_heuristicwarn配置看起来是多用户,而 Gateway 网关信任模型是个人助理拆分信任边界,或进行共享用户加固(sandbox.mode、工具拒绝/工作区作用域限定)no
tools.profile_minimal_overriddenwarn智能体覆盖绕过全局 minimal 配置文件agents.list[].tools.profileno
plugins.tools_reachable_permissive_policywarn插件工具在宽松上下文中可访问tools.profile + 工具允许/拒绝no
models.legacywarn仍配置了旧版模型系列模型选择no
models.weak_tierwarn已配置的模型低于当前推荐层级模型选择no
models.small_paramscritical/info小模型 + 不安全的工具表面会提高注入风险模型选择 + 沙箱/工具策略no
summary.attack_surfaceinfo凭证、渠道、工具和暴露态势的汇总摘要多个键名(见发现详情)no

相关