Skip to main content
openclaw security audit 会发出以 checkId 为键的结构化发现。此页面是这些 ID 的参考目录。有关高层威胁模型和加固指南,请参阅安全 有些检查仅会在使用 openclaw security audit --deep 时运行:插件/技能代码扫描(plugins.code_safety*skills.code_safety*)和实时 Gateway 网关探测检查(gateway.probe_*)。此表中的其他所有检查都会在普通的 openclaw security audit 中运行。 warn/critical 这样的严重性表示同一个 checkId 可能会根据配置以任一级别发出(例如,取决于 Gateway 网关是否远程暴露)。你在真实部署中最可能看到的高信号值(并非详尽列表):
checkId严重程度影响主要修复键/路径自动修复
fs.state_dir.perms_world_writable严重其他用户/进程可以修改完整的 OpenClaw 状态~/.openclaw 上的文件系统权限
fs.state_dir.perms_group_writable警告组用户可以修改完整的 OpenClaw 状态~/.openclaw 上的文件系统权限
fs.state_dir.perms_readable警告状态目录可被其他用户读取~/.openclaw 上的文件系统权限
fs.state_dir.symlink警告状态目录目标会成为另一个信任边界状态目录文件系统布局
fs.config.perms_writable严重其他用户可以更改凭证/工具策略/配置~/.openclaw/openclaw.json 上的文件系统权限
fs.config.symlink警告不支持写入符号链接配置文件,并且会增加另一个信任边界替换为常规配置文件,或将 OPENCLAW_CONFIG_PATH 指向真实文件
fs.config.perms_group_readable警告组用户可以读取配置令牌/设置配置文件上的文件系统权限
fs.config.perms_world_readable严重配置可能暴露令牌/设置配置文件上的文件系统权限
fs.config_include.perms_writable严重配置包含文件可被其他用户修改openclaw.json 引用的包含文件权限
fs.config_include.perms_group_readable警告组用户可以读取包含的密钥/设置openclaw.json 引用的包含文件权限
fs.config_include.perms_world_readable严重包含的密钥/设置可被所有用户读取openclaw.json 引用的包含文件权限
fs.auth_profiles.perms_writable严重其他用户可以注入或替换已存储的模型凭证agents/<agentId>/agent/auth-profiles.json 权限
fs.auth_profiles.perms_readable警告其他用户可以读取 API key 和 OAuth 令牌agents/<agentId>/agent/auth-profiles.json 权限
fs.credentials_dir.perms_writable严重其他用户可以修改渠道配对/凭证状态~/.openclaw/credentials 上的文件系统权限
fs.credentials_dir.perms_readable警告其他用户可以读取渠道凭证状态~/.openclaw/credentials 上的文件系统权限
fs.sessions_store.perms_readable警告其他用户可以读取会话记录/元数据会话存储权限
fs.log_file.perms_readable警告其他用户可以读取已脱敏但仍敏感的日志Gateway 网关日志文件权限
fs.synced_dir警告iCloud/Dropbox/Drive 中的状态/配置会扩大令牌/记录暴露面将配置/状态移出同步文件夹
gateway.bind_no_auth严重没有共享密钥的远程绑定gateway.bind, gateway.auth.*
gateway.loopback_no_auth严重经过反向代理的 local loopback 可能变为未认证gateway.auth.*, 代理设置
gateway.trusted_proxies_missing警告存在反向代理标头,但未被信任gateway.trustedProxies
gateway.http.no_auth警告/严重auth.mode="none" 时可访问 Gateway 网关 HTTP APIgateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpc
gateway.http.session_key_override_enabled信息HTTP API 调用方可以覆盖 sessionKeygateway.http.allowSessionKeyOverride
gateway.tools_invoke_http.dangerous_allow警告/严重为所有者/管理员调用方通过 HTTP API 重新启用危险工具gateway.tools.allow
gateway.nodes.allow_commands_dangerous警告/严重启用高影响节点命令(相机/屏幕/联系人/日历/SMS)gateway.nodes.allowCommands
gateway.nodes.deny_commands_ineffective警告类似模式的拒绝条目不会匹配 shell 文本或组gateway.nodes.denyCommands
gateway.tailscale_funnel严重暴露到公网gateway.tailscale.mode
gateway.tailscale_serve信息已通过 Serve 启用 Tailnet 暴露gateway.tailscale.mode
gateway.control_ui.allowed_origins_required严重非 local loopback 的 Control UI 没有显式浏览器来源允许列表gateway.controlUi.allowedOrigins
gateway.control_ui.allowed_origins_wildcard警告/严重allowedOrigins=["*"] 会禁用浏览器来源允许列表gateway.controlUi.allowedOrigins
gateway.control_ui.host_header_origin_fallback警告/严重启用 Host 标头来源回退(降低 DNS 重新绑定加固级别)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
gateway.control_ui.insecure_auth警告已启用不安全认证兼容开关gateway.controlUi.allowInsecureAuth
gateway.control_ui.device_auth_disabled严重禁用设备身份检查gateway.controlUi.dangerouslyDisableDeviceAuth
gateway.real_ip_fallback_enabled警告/严重信任 X-Real-IP 回退可能因代理配置错误而启用源 IP 欺骗gateway.allowRealIpFallback, gateway.trustedProxies
gateway.token_too_short警告短共享令牌更容易被暴力破解gateway.auth.token
gateway.auth_no_rate_limit警告暴露的认证没有速率限制会增加暴力破解风险gateway.auth.rateLimit
gateway.trusted_proxy_auth严重代理身份现在会成为认证边界gateway.auth.mode="trusted-proxy"
gateway.trusted_proxy_no_proxies严重没有可信代理 IP 的可信代理认证是不安全的gateway.trustedProxies
gateway.trusted_proxy_no_user_header严重受信代理身份验证无法安全解析用户身份gateway.auth.trustedProxy.userHeader
gateway.trusted_proxy_no_allowlist警告受信代理身份验证接受任何已认证的上游用户gateway.auth.trustedProxy.allowUsers
gateway.trusted_proxy_allow_loopback警告受信代理身份验证接受显式允许的回环代理来源gateway.auth.trustedProxy.allowLoopback
gateway.probe_auth_secretref_unavailable警告深度探测无法在此命令路径中解析身份验证 SecretRefs深度探测身份验证来源 / SecretRef 可用性
gateway.probe_failed警告实时 Gateway 网关探测失败(仅限 --deepGateway 网关可达性/身份验证
discovery.mdns_full_mode警告/严重mDNS 完整模式会在本地网络上播发 cliPath/sshPort 元数据discovery.mdns.mode, gateway.bind
config.insecure_or_dangerous_flags警告已启用一个不安全/危险的调试标志发现详情中命名的键
security.audit.suppressions.active信息审计输出配置了抑制项,可能已被过滤security.audit.suppressions
config.secrets.gateway_password_in_config警告Gateway 网关密码直接存储在配置中gateway.auth.password
config.secrets.hooks_token_in_config警告钩子 bearer 令牌直接存储在配置中hooks.token
hooks.token_reuse_gateway_token严重钩子入口令牌也会解锁 Gateway 网关身份验证hooks.token, gateway.auth.token, gateway.auth.password
hooks.token_too_short警告钩子入口更容易被暴力破解hooks.token
hooks.default_session_key_unset警告钩子智能体运行会扇出到生成的按请求会话hooks.defaultSessionKey
hooks.allowed_agent_ids_unrestricted警告/严重已认证的钩子调用方可能路由到任何已配置的智能体hooks.allowedAgentIds
hooks.request_session_key_enabled警告/严重外部调用方可以选择 sessionKeyhooks.allowRequestSessionKey
hooks.request_session_key_prefixes_missing警告/严重外部会话键形态没有边界hooks.allowedSessionKeyPrefixes
hooks.path_root严重钩子路径为 /,使入口更容易冲突或误路由hooks.path
hooks.installs_unpinned_npm_specs警告钩子安装记录未固定到不可变的 npm 规格钩子安装元数据
hooks.installs_missing_integrity警告钩子安装记录缺少完整性元数据钩子安装元数据
hooks.installs_version_drift警告钩子安装记录与已安装包发生漂移钩子安装元数据
logging.redact_off警告敏感值会泄漏到日志/状态logging.redactSensitive
browser.control_invalid_config警告浏览器控制配置在运行时之前无效browser.*
browser.control_no_auth严重浏览器控制在没有令牌/密码身份验证的情况下暴露gateway.auth.*
browser.remote_cdp_http警告通过明文 HTTP 使用远程 CDP 缺少传输加密浏览器配置文件 cdpUrl
browser.remote_cdp_private_host警告远程 CDP 指向私有/内部主机浏览器配置文件 cdpUrl, browser.ssrfPolicy.*
sandbox.docker_config_mode_off警告存在沙箱 Docker 配置但未激活agents.*.sandbox.mode
sandbox.bind_mount_non_absolute警告相对绑定挂载可能以不可预测方式解析agents.*.sandbox.docker.binds[]
sandbox.dangerous_bind_mount严重沙箱绑定挂载指向被阻止的系统、凭据或 Docker socket 路径agents.*.sandbox.docker.binds[]
sandbox.dangerous_network_mode严重沙箱 Docker 网络使用 hostcontainer:* 命名空间加入模式agents.*.sandbox.docker.network
sandbox.dangerous_seccomp_profile严重沙箱 seccomp 配置文件削弱容器隔离agents.*.sandbox.docker.securityOpt
sandbox.dangerous_apparmor_profile严重沙箱 AppArmor 配置文件削弱容器隔离agents.*.sandbox.docker.securityOpt
sandbox.browser_cdp_bridge_unrestricted警告沙箱浏览器桥接在没有来源范围限制的情况下暴露sandbox.browser.cdpSourceRange
sandbox.browser_container.non_loopback_publish严重现有浏览器容器在非回环接口上发布 CDP浏览器沙箱容器发布配置
sandbox.browser_container.hash_label_missing警告现有浏览器容器早于当前配置哈希标签openclaw sandbox recreate --browser --all
sandbox.browser_container.hash_epoch_stale警告现有浏览器容器早于当前浏览器配置纪元openclaw sandbox recreate --browser --all
sandbox.browser_container.docker_probe_timeout警告浏览器容器的 Docker 标签探测超时Docker 守护进程可达性
tools.exec.host_sandbox_no_sandbox_defaults警告当沙箱关闭时,exec host=sandbox 会失败关闭tools.exec.host, agents.defaults.sandbox.mode
tools.exec.host_sandbox_no_sandbox_agents警告当沙箱关闭时,按智能体 exec host=sandbox 会失败关闭agents.list[].tools.exec.host, agents.list[].sandbox.mode
tools.exec.security_full_configured警告/严重主机 exec 正在以 security="full" 运行tools.exec.security, agents.list[].tools.exec.security
tools.exec.agent_skill_mcp_boundary_drift警告存在智能体技能允许列表,同时主机 exec 可访问 MCP 客户端/注册表agents.list[].tools.exec.*, 沙箱/OS 隔离, MCP 服务器凭据
tools.exec.fs_tools_disabled_but_exec_enabled警告文件系统工具策略不会让 shell 执行变为只读tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess
tools.exec.auto_allow_skills_enabled警告Exec 审批会隐式信任 skill bin主机审批文件
tools.exec.allowlist_interpreter_without_strict_inline_eval警告解释器允许列表允许内联求值且不会强制重新审批tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, exec 审批允许列表
tools.exec.safe_bins_interpreter_unprofiled警告safeBins 中没有显式配置文件的解释器/运行时 bin 会扩大 exec 风险tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.*
tools.exec.safe_bins_broad_behavior警告safeBins 中的宽行为工具会削弱低风险 stdin 过滤信任模型tools.exec.safeBins, agents.list[].tools.exec.safeBins
tools.exec.safe_bin_trusted_dirs_risky警告safeBinTrustedDirs 包含可变或有风险的目录tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs
tools.elevated.allowFrom.<provider>.wildcard严重tools.elevated.allowFrom.<provider> 包含 "*",会批准每个发送者tools.elevated.allowFrom.<provider>
tools.elevated.allowFrom.<provider>.large警告<provider> 的提升权限允许列表超过 25 个条目tools.elevated.allowFrom.<provider>
agents.claude_cli.permission_mode_overridden_by_yolo警告Claude CLI --permission-mode 会被忽略,因为 OpenClaw exec 完全无人值守tools.exec.security, tools.exec.ask, cliBackends.claude-cli 参数
skills.workspace.symlink_escape警告工作区 skills/**/SKILL.md 解析到工作区根目录之外(符号链接链漂移)工作区 skills/** 文件系统状态
skills.workspace.scan_truncated警告工作区 skill 扫描在完成前触及目录访问上限展平/简化工作区 skills/ 目录树
plugins.extensions_no_allowlist警告插件安装时没有显式插件允许列表plugins.allowlist
plugins.allow_phantom_entries警告plugins.allow 列出了一个没有匹配已安装插件的 IDplugins.allow
plugins.installs_unpinned_npm_specs警告插件索引记录未固定到不可变 npm 规格插件安装元数据
plugins.installs_missing_integrity警告插件索引记录缺少完整性元数据插件安装元数据
plugins.installs_version_drift警告插件索引记录与已安装包发生漂移插件安装元数据
plugins.code_safety警告/严重插件代码扫描发现可疑或危险模式(仅 --deep插件代码 / 安装源
plugins.code_safety.entry_path警告插件入口路径指向隐藏位置或 node_modules 位置插件清单 entry
plugins.code_safety.entry_escape严重插件入口逃逸出插件目录插件清单 entry
plugins.code_safety.manifest_parse_error警告在代码安全扫描期间无法解析插件清单插件清单文件
plugins.code_safety.scan_failed警告插件代码扫描无法完成(仅 --deep插件路径 / 扫描环境
plugins.<pluginId>.security_audit_failed警告插件拥有的安全审计收集器抛出错误该插件的安全审计收集器
skills.code_safety警告/严重skill 安装器元数据/代码包含可疑或危险模式(仅 --deepskill 安装源
skills.code_safety.scan_failed警告skill 代码扫描无法完成(仅 --deepskill 扫描环境
security.exposure.open_channels_with_exec警告/严重共享/公共房间可以访问启用 exec 的智能体channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.*
security.exposure.open_groups_with_elevated严重开放私信/群组 + 提升权限工具会创建高影响的提示注入路径顶层或嵌套私信策略路径、账号覆盖、channels.*.groupPolicy
security.exposure.open_groups_with_runtime_or_fs严重/警告开放私信/群组可以在没有沙箱/工作区防护的情况下访问命令/文件工具私信/群组策略路径、tools.profile/denytools.fs.workspaceOnlyagents.*.sandbox.mode
security.trust_model.multi_user_heuristic警告配置看起来是多用户,而 Gateway 网关信任模型是个人助手拆分信任边界,或共享用户加固(sandbox.mode、工具 deny/工作区范围限定)
tools.profile_minimal_overridden警告智能体覆盖会绕过全局 minimal profileagents.list[].tools.profile
plugins.tools_reachable_permissive_policy警告扩展工具在宽松上下文中可访问tools.profile + 工具 allow/deny
models.legacy警告仍配置了旧版模型系列模型选择
models.weak_tier警告已配置模型低于当前推荐层级模型选择
models.small_params严重/信息小模型 + 不安全的工具表面会提高注入风险模型选择 + 沙箱/工具策略
channels.<provider>.dm.open严重<provider> 私信策略为 "open";任何人都可以给 bot 发私信channels.<provider>.dmPolicy, .allowFrom
channels.<provider>.dm.open_invalid警告dmPolicy="open"allowFrom 中没有 "*",配置不一致channels.<provider>.allowFrom
channels.<provider>.dm.scope_main_multiuser警告多个私信发送者当前共享主会话session.dmScope
channels.<provider>.allowFrom.dangerous_name_matching_enabled信息dangerouslyAllowNameMatching 会重新启用可变姓名/邮箱/标签发送者匹配禁用 dangerouslyAllowNameMatching,使用稳定的发送者 ID
channels.<provider>.account.read_only_resolution警告无法为审计完全解析某个渠道账号(缺少密钥/Gateway 网关)确保引用的密钥可解析,或针对实时 Gateway 网关快照运行
channels.<provider>.warning.<n>信息/警告/严重提供商特定安全警告,从自由格式插件文本分类查看发现详情
summary.attack_surface信息凭证、渠道、工具和暴露态势的汇总摘要多个键(查看发现详情)
channels.<provider>.*tools.elevated.allowFrom.<provider>.* checkIds 会按已配置的渠道/提供商生成,因此在实际输出中,<provider> 是真实的渠道 ID(例如 telegramdiscord),而不是字面字符串。

相关内容