跳轉到主要內容
openclaw security audit 會輸出以 checkId 為鍵的結構化發現。此頁是這些 ID 的參考目錄。如需高層次的威脅模型與強化指引,請參閱安全性 有些檢查只會在使用 openclaw security audit --deep 時執行:外掛/skill 程式碼掃描(plugins.code_safety*skills.code_safety*)以及即時閘道探測檢查(gateway.probe_*)。此表中的其他所有項目都會在一般的 openclaw security audit 中執行。 warn/critical 這樣的嚴重性,表示相同的 checkId 可能會依設定以任一層級輸出(例如閘道是否對遠端公開)。你在實際部署中最可能看到的高參考價值項目(並非完整清單):
checkId嚴重性重要原因主要修復鍵/路徑自動修復
fs.state_dir.perms_world_writable嚴重其他使用者/程序可以修改完整的 OpenClaw 狀態~/.openclaw 的檔案系統權限
fs.state_dir.perms_group_writable警告群組使用者可以修改完整的 OpenClaw 狀態~/.openclaw 的檔案系統權限
fs.state_dir.perms_readable警告狀態目錄可被其他人讀取~/.openclaw 的檔案系統權限
fs.state_dir.symlink警告狀態目錄目標會變成另一個信任邊界狀態目錄檔案系統配置
fs.config.perms_writable嚴重其他人可以變更驗證/工具政策/設定~/.openclaw/openclaw.json 的檔案系統權限
fs.config.symlink警告不支援寫入符號連結的設定檔,且會增加另一個信任邊界取代為一般設定檔,或將 OPENCLAW_CONFIG_PATH 指向實際檔案
fs.config.perms_group_readable警告群組使用者可以讀取設定權杖/設定值設定檔的檔案系統權限
fs.config.perms_world_readable嚴重設定可能會暴露權杖/設定值設定檔的檔案系統權限
fs.config_include.perms_writable嚴重設定 include 檔案可被其他人修改openclaw.json 參照的 include 檔案權限
fs.config_include.perms_group_readable警告群組使用者可以讀取 included 秘密/設定值openclaw.json 參照的 include 檔案權限
fs.config_include.perms_world_readable嚴重included 秘密/設定值可被所有人讀取openclaw.json 參照的 include 檔案權限
fs.auth_profiles.perms_writable嚴重其他人可以注入或取代已儲存的模型憑證agents/<agentId>/agent/auth-profiles.json 權限
fs.auth_profiles.perms_readable警告其他人可以讀取 API 金鑰與 OAuth 權杖agents/<agentId>/agent/auth-profiles.json 權限
fs.credentials_dir.perms_writable嚴重其他人可以修改通道配對/憑證狀態~/.openclaw/credentials 的檔案系統權限
fs.credentials_dir.perms_readable警告其他人可以讀取通道憑證狀態~/.openclaw/credentials 的檔案系統權限
fs.sessions_store.perms_readable警告其他人可以讀取工作階段逐字稿/中繼資料工作階段儲存區權限
fs.log_file.perms_readable警告其他人可以讀取已遮蔽但仍具敏感性的日誌閘道日誌檔案權限
fs.synced_dir警告iCloud/Dropbox/Drive 中的狀態/設定會擴大權杖/逐字稿暴露範圍將設定/狀態移出同步資料夾
gateway.bind_no_auth嚴重未使用共享秘密的遠端繫結gateway.bind, gateway.auth.*
gateway.loopback_no_auth嚴重反向代理的回送可能變成未經驗證gateway.auth.*, proxy setup
gateway.trusted_proxies_missing警告存在反向代理標頭,但未受信任gateway.trustedProxies
gateway.http.no_auth警告/嚴重使用 auth.mode="none" 時可存取閘道 HTTP APIgateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpc
gateway.http.session_key_override_enabled資訊HTTP API 呼叫者可以覆寫 sessionKeygateway.http.allowSessionKeyOverride
gateway.tools_invoke_http.dangerous_allow警告/嚴重透過 HTTP API 為 owner/admin 呼叫者重新啟用危險工具gateway.tools.allow
gateway.nodes.allow_commands_dangerous警告/嚴重啟用高影響性的節點命令(相機/螢幕/聯絡人/行事曆/SMS)gateway.nodes.allowCommands
gateway.nodes.deny_commands_ineffective警告類似模式的拒絕項目不會比對 shell 文字或群組gateway.nodes.denyCommands
gateway.tailscale_funnel嚴重公開網際網路暴露gateway.tailscale.mode
gateway.tailscale_serve資訊已透過 Serve 啟用 Tailnet 暴露gateway.tailscale.mode
gateway.control_ui.allowed_origins_required嚴重非回送 Control UI 缺少明確的瀏覽器來源允許清單gateway.controlUi.allowedOrigins
gateway.control_ui.allowed_origins_wildcard警告/嚴重allowedOrigins=["*"] 會停用瀏覽器來源允許清單gateway.controlUi.allowedOrigins
gateway.control_ui.host_header_origin_fallback警告/嚴重啟用 Host 標頭來源 fallback(降低 DNS rebinding 強化)gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback
gateway.control_ui.insecure_auth警告已啟用不安全驗證相容性開關gateway.controlUi.allowInsecureAuth
gateway.control_ui.device_auth_disabled嚴重停用裝置身分檢查gateway.controlUi.dangerouslyDisableDeviceAuth
gateway.real_ip_fallback_enabled警告/嚴重信任 X-Real-IP fallback 可能因代理設定錯誤而啟用來源 IP 偽造gateway.allowRealIpFallback, gateway.trustedProxies
gateway.token_too_short警告短共享權杖較容易被暴力破解gateway.auth.token
gateway.auth_no_rate_limit警告未限制速率的公開驗證會增加暴力破解風險gateway.auth.rateLimit
gateway.trusted_proxy_auth嚴重代理身分現在會成為驗證邊界gateway.auth.mode="trusted-proxy"
gateway.trusted_proxy_no_proxies嚴重未設定受信任代理 IP 的 trusted-proxy 驗證並不安全gateway.trustedProxies
gateway.trusted_proxy_no_user_headercritical受信任代理驗證無法安全解析使用者身分gateway.auth.trustedProxy.userHeaderno
gateway.trusted_proxy_no_allowlistwarn受信任代理驗證接受任何已驗證的上游使用者gateway.auth.trustedProxy.allowUsersno
gateway.trusted_proxy_allow_loopbackwarn受信任代理驗證接受明確允許的 loopback 代理來源gateway.auth.trustedProxy.allowLoopbackno
gateway.probe_auth_secretref_unavailablewarn深度探測無法在此命令路徑中解析驗證 SecretRefs深度探測驗證來源 / SecretRef 可用性no
gateway.probe_failedwarn即時閘道探測失敗(僅限 --deep閘道可連線性/驗證no
discovery.mdns_full_modewarn/criticalmDNS 完整模式會在本機網路上公告 cliPath/sshPort 中繼資料discovery.mdns.mode, gateway.bindno
config.insecure_or_dangerous_flagswarn已啟用一個不安全/危險的除錯旗標發現詳細資料中命名的鍵no
security.audit.suppressions.activeinfo稽核輸出已設定抑制規則,可能會被篩選security.audit.suppressionsno
config.secrets.gateway_password_in_configwarn閘道密碼直接儲存在設定中gateway.auth.passwordno
config.secrets.hooks_token_in_configwarnHook bearer token 直接儲存在設定中hooks.tokenno
hooks.token_reuse_gateway_tokencriticalHook 入口權杖也會解鎖閘道驗證hooks.token, gateway.auth.token, gateway.auth.passwordno
hooks.token_too_shortwarnHook 入口較容易遭受暴力破解hooks.tokenno
hooks.default_session_key_unsetwarnHook 代理執行會扇出到產生的每請求工作階段hooks.defaultSessionKeyno
hooks.allowed_agent_ids_unrestrictedwarn/critical已驗證的 Hook 呼叫者可路由到任何已設定的代理hooks.allowedAgentIdsno
hooks.request_session_key_enabledwarn/critical外部呼叫者可以選擇 sessionKeyhooks.allowRequestSessionKeyno
hooks.request_session_key_prefixes_missingwarn/critical外部工作階段金鑰形狀沒有界限hooks.allowedSessionKeyPrefixesno
hooks.path_rootcriticalHook 路徑為 /,讓入口更容易發生碰撞或錯誤路由hooks.pathno
hooks.installs_unpinned_npm_specswarnHook 安裝記錄未固定到不可變的 npm 規格Hook 安裝中繼資料no
hooks.installs_missing_integritywarnHook 安裝記錄缺少完整性中繼資料Hook 安裝中繼資料no
hooks.installs_version_driftwarnHook 安裝記錄與已安裝套件發生漂移Hook 安裝中繼資料no
logging.redact_offwarn敏感值會洩漏到記錄/狀態logging.redactSensitiveyes
browser.control_invalid_configwarn瀏覽器控制設定在執行階段前無效browser.*no
browser.control_no_authcritical瀏覽器控制在沒有權杖/密碼驗證的情況下公開gateway.auth.*no
browser.remote_cdp_httpwarn透過純 HTTP 的遠端 CDP 缺少傳輸加密瀏覽器設定檔 cdpUrlno
browser.remote_cdp_private_hostwarn遠端 CDP 指向私人/內部主機瀏覽器設定檔 cdpUrl, browser.ssrfPolicy.*no
sandbox.docker_config_mode_offwarnSandbox Docker 設定存在但未啟用agents.*.sandbox.modeno
sandbox.bind_mount_non_absolutewarn相對 bind mount 可能以不可預測方式解析agents.*.sandbox.docker.binds[]no
sandbox.dangerous_bind_mountcriticalSandbox bind mount 目標為被封鎖的系統、憑證或 Docker socket 路徑agents.*.sandbox.docker.binds[]no
sandbox.dangerous_network_modecriticalSandbox Docker 網路使用 hostcontainer:* 命名空間加入模式agents.*.sandbox.docker.networkno
sandbox.dangerous_seccomp_profilecriticalSandbox seccomp profile 會削弱容器隔離agents.*.sandbox.docker.securityOptno
sandbox.dangerous_apparmor_profilecriticalSandbox AppArmor profile 會削弱容器隔離agents.*.sandbox.docker.securityOptno
sandbox.browser_cdp_bridge_unrestrictedwarnSandbox 瀏覽器橋接在沒有來源範圍限制的情況下公開sandbox.browser.cdpSourceRangeno
sandbox.browser_container.non_loopback_publishcritical現有瀏覽器容器在非 loopback 介面上發布 CDP瀏覽器 Sandbox 容器發布設定no
sandbox.browser_container.hash_label_missingwarn現有瀏覽器容器早於目前的設定雜湊標籤openclaw sandbox recreate --browser --allno
sandbox.browser_container.hash_epoch_stalewarn現有瀏覽器容器早於目前的瀏覽器設定 epochopenclaw sandbox recreate --browser --allno
sandbox.browser_container.docker_probe_timeoutwarn瀏覽器容器的 Docker 標籤探測逾時Docker daemon 可連線性no
tools.exec.host_sandbox_no_sandbox_defaultswarn當 Sandbox 關閉時,exec host=sandbox 會失敗關閉tools.exec.host, agents.defaults.sandbox.modeno
tools.exec.host_sandbox_no_sandbox_agentswarn當 Sandbox 關閉時,每代理的 exec host=sandbox 會失敗關閉agents.list[].tools.exec.host, agents.list[].sandbox.modeno
tools.exec.security_full_configuredwarn/critical主機 exec 正以 security="full" 執行tools.exec.security, agents.list[].tools.exec.securityno
tools.exec.agent_skill_mcp_boundary_driftwarn當主機 exec 可連到 MCP 用戶端/登錄檔時,代理技能允許清單仍存在agents.list[].tools.exec.*, Sandbox/OS 隔離, MCP 伺服器憑證no
tools.exec.fs_tools_disabled_but_exec_enabled警告檔案系統工具政策不會讓 shell 執行變成唯讀tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess
tools.exec.auto_allow_skills_enabled警告Exec 核准會隱含信任 skill bins主機核准檔案
tools.exec.allowlist_interpreter_without_strict_inline_eval警告直譯器允許清單允許內嵌 eval,且不強制重新核准tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, exec 核准允許清單
tools.exec.safe_bins_interpreter_unprofiled警告safeBins 中的直譯器/執行階段 bins 未明確設定 profiles,會擴大 exec 風險tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.*
tools.exec.safe_bins_broad_behavior警告safeBins 中的寬泛行為工具會削弱低風險 stdin 篩選信任模型tools.exec.safeBins, agents.list[].tools.exec.safeBins
tools.exec.safe_bin_trusted_dirs_risky警告safeBinTrustedDirs 包含可變或高風險目錄tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs
tools.elevated.allowFrom.<provider>.wildcard嚴重tools.elevated.allowFrom.<provider> 包含 "*",會核准每個傳送者tools.elevated.allowFrom.<provider>
tools.elevated.allowFrom.<provider>.large警告<provider> 的提升權限允許清單超過 25 個項目tools.elevated.allowFrom.<provider>
agents.claude_cli.permission_mode_overridden_by_yolo警告Claude CLI --permission-mode 會被忽略,因為 OpenClaw exec 是完全無人值守tools.exec.security, tools.exec.ask, cliBackends.claude-cli 參數
skills.workspace.symlink_escape警告工作區 skills/**/SKILL.md 解析到工作區根目錄之外(符號連結鏈漂移)工作區 skills/** 檔案系統狀態
skills.workspace.scan_truncated警告工作區 skill 掃描在完成前達到目錄造訪上限扁平化/簡化工作區 skills/ 目錄樹
plugins.extensions_no_allowlist警告外掛安裝時沒有明確的外掛允許清單plugins.allowlist
plugins.allow_phantom_entries警告plugins.allow 列出了一個沒有相符已安裝外掛的 IDplugins.allow
plugins.installs_unpinned_npm_specs警告外掛索引記錄未固定到不可變 npm 規格外掛安裝中繼資料
plugins.installs_missing_integrity警告外掛索引記錄缺少完整性中繼資料外掛安裝中繼資料
plugins.installs_version_drift警告外掛索引記錄與已安裝套件產生偏移外掛安裝中繼資料
plugins.code_safety警告/嚴重外掛程式碼掃描發現可疑或危險模式(僅限 --deep外掛程式碼 / 安裝來源
plugins.code_safety.entry_path警告外掛進入點路徑指向隱藏或 node_modules 位置外掛 manifest entry
plugins.code_safety.entry_escape嚴重外掛進入點逸出外掛目錄外掛 manifest entry
plugins.code_safety.manifest_parse_error警告程式碼安全掃描期間無法剖析外掛 manifest外掛 manifest 檔案
plugins.code_safety.scan_failed警告外掛程式碼掃描無法完成(僅限 --deep外掛路徑 / 掃描環境
plugins.<pluginId>.security_audit_failed警告外掛擁有的安全稽核收集器擲出錯誤該外掛的安全稽核收集器
skills.code_safety警告/嚴重Skill 安裝器中繼資料/程式碼包含可疑或危險模式(僅限 --deepskill 安裝來源
skills.code_safety.scan_failed警告Skill 程式碼掃描無法完成(僅限 --deepskill 掃描環境
security.exposure.open_channels_with_exec警告/嚴重共用/公開房間可觸及啟用 exec 的代理channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.*
security.exposure.open_groups_with_elevated嚴重開放 DM/群組 + 提升權限工具會建立高衝擊提示詞注入路徑頂層或巢狀 DM 政策路徑、帳號覆寫、channels.*.groupPolicy
security.exposure.open_groups_with_runtime_or_fs嚴重/警告開放 DM/群組可在沒有沙箱/工作區防護的情況下觸及命令/檔案工具DM/群組政策路徑、tools.profile/denytools.fs.workspaceOnlyagents.*.sandbox.mode
security.trust_model.multi_user_heuristic警告設定看起來是多使用者,但閘道信任模型是個人助理分割信任邊界,或共用使用者強化(sandbox.mode、工具拒絕/工作區範圍限定)
tools.profile_minimal_overridden警告代理覆寫繞過全域 minimal profileagents.list[].tools.profile
plugins.tools_reachable_permissive_policy警告在寬鬆內容中可觸及擴充工具tools.profile + 工具允許/拒絕
models.legacy警告仍設定了舊版模型家族模型選擇
models.weak_tier警告已設定模型低於目前建議級別模型選擇
models.small_params嚴重/資訊小型模型 + 不安全工具表面會提高注入風險模型選擇 + 沙箱/工具政策
channels.<provider>.dm.open嚴重<provider> DM 政策是 "open";任何人都能 DM 機器人channels.<provider>.dmPolicy, .allowFrom
channels.<provider>.dm.open_invalid警告dmPolicy="open"allowFrom 中沒有 "*",前後不一致channels.<provider>.allowFrom
channels.<provider>.dm.scope_main_multiuser警告多個 DM 傳送者目前共用主要工作階段session.dmScope
channels.<provider>.allowFrom.dangerous_name_matching_enabled資訊dangerouslyAllowNameMatching 重新啟用可變名稱/電子郵件/tag 傳送者比對停用 dangerouslyAllowNameMatching,使用穩定的傳送者 ID
channels.<provider>.account.read_only_resolution警告無法完整解析某個 channel 帳號以供稽核(缺少 secret/閘道)確保參照的 secret 可解析,或針對即時閘道快照執行
channels.<provider>.warning.<n>資訊/警告/嚴重供應商特定安全警告,依自由格式外掛文字分類請參閱發現項目詳細資料
summary.attack_surface資訊驗證、channel、工具與暴露態勢的彙總摘要多個 key(請參閱發現項目詳細資料)
channels.<provider>.*tools.elevated.allowFrom.<provider>.* checkIds 會依每個已設定的頻道/提供者產生,因此在實際輸出中,<provider> 是真正的頻道 ID(例如 telegramdiscord),而不是字面字串。

相關