fs.state_dir.perms_world_writable | 嚴重 | 其他使用者/程序可以修改完整的 OpenClaw 狀態 | ~/.openclaw 的檔案系統權限 | 是 |
fs.state_dir.perms_group_writable | 警告 | 群組使用者可以修改完整的 OpenClaw 狀態 | ~/.openclaw 的檔案系統權限 | 是 |
fs.state_dir.perms_readable | 警告 | 狀態目錄可被其他人讀取 | ~/.openclaw 的檔案系統權限 | 是 |
fs.state_dir.symlink | 警告 | 狀態目錄目標會變成另一個信任邊界 | 狀態目錄檔案系統配置 | 否 |
fs.config.perms_writable | 嚴重 | 其他人可以變更驗證/工具政策/設定 | ~/.openclaw/openclaw.json 的檔案系統權限 | 是 |
fs.config.symlink | 警告 | 不支援寫入符號連結的設定檔,且會增加另一個信任邊界 | 取代為一般設定檔,或將 OPENCLAW_CONFIG_PATH 指向實際檔案 | 否 |
fs.config.perms_group_readable | 警告 | 群組使用者可以讀取設定權杖/設定值 | 設定檔的檔案系統權限 | 是 |
fs.config.perms_world_readable | 嚴重 | 設定可能會暴露權杖/設定值 | 設定檔的檔案系統權限 | 是 |
fs.config_include.perms_writable | 嚴重 | 設定 include 檔案可被其他人修改 | openclaw.json 參照的 include 檔案權限 | 是 |
fs.config_include.perms_group_readable | 警告 | 群組使用者可以讀取 included 秘密/設定值 | openclaw.json 參照的 include 檔案權限 | 是 |
fs.config_include.perms_world_readable | 嚴重 | included 秘密/設定值可被所有人讀取 | openclaw.json 參照的 include 檔案權限 | 是 |
fs.auth_profiles.perms_writable | 嚴重 | 其他人可以注入或取代已儲存的模型憑證 | agents/<agentId>/agent/auth-profiles.json 權限 | 是 |
fs.auth_profiles.perms_readable | 警告 | 其他人可以讀取 API 金鑰與 OAuth 權杖 | agents/<agentId>/agent/auth-profiles.json 權限 | 是 |
fs.credentials_dir.perms_writable | 嚴重 | 其他人可以修改通道配對/憑證狀態 | ~/.openclaw/credentials 的檔案系統權限 | 是 |
fs.credentials_dir.perms_readable | 警告 | 其他人可以讀取通道憑證狀態 | ~/.openclaw/credentials 的檔案系統權限 | 是 |
fs.sessions_store.perms_readable | 警告 | 其他人可以讀取工作階段逐字稿/中繼資料 | 工作階段儲存區權限 | 是 |
fs.log_file.perms_readable | 警告 | 其他人可以讀取已遮蔽但仍具敏感性的日誌 | 閘道日誌檔案權限 | 是 |
fs.synced_dir | 警告 | iCloud/Dropbox/Drive 中的狀態/設定會擴大權杖/逐字稿暴露範圍 | 將設定/狀態移出同步資料夾 | 否 |
gateway.bind_no_auth | 嚴重 | 未使用共享秘密的遠端繫結 | gateway.bind, gateway.auth.* | 否 |
gateway.loopback_no_auth | 嚴重 | 反向代理的回送可能變成未經驗證 | gateway.auth.*, proxy setup | 否 |
gateway.trusted_proxies_missing | 警告 | 存在反向代理標頭,但未受信任 | gateway.trustedProxies | 否 |
gateway.http.no_auth | 警告/嚴重 | 使用 auth.mode="none" 時可存取閘道 HTTP API | gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpc | 否 |
gateway.http.session_key_override_enabled | 資訊 | HTTP API 呼叫者可以覆寫 sessionKey | gateway.http.allowSessionKeyOverride | 否 |
gateway.tools_invoke_http.dangerous_allow | 警告/嚴重 | 透過 HTTP API 為 owner/admin 呼叫者重新啟用危險工具 | gateway.tools.allow | 否 |
gateway.nodes.allow_commands_dangerous | 警告/嚴重 | 啟用高影響性的節點命令(相機/螢幕/聯絡人/行事曆/SMS) | gateway.nodes.allowCommands | 否 |
gateway.nodes.deny_commands_ineffective | 警告 | 類似模式的拒絕項目不會比對 shell 文字或群組 | gateway.nodes.denyCommands | 否 |
gateway.tailscale_funnel | 嚴重 | 公開網際網路暴露 | gateway.tailscale.mode | 否 |
gateway.tailscale_serve | 資訊 | 已透過 Serve 啟用 Tailnet 暴露 | gateway.tailscale.mode | 否 |
gateway.control_ui.allowed_origins_required | 嚴重 | 非回送 Control UI 缺少明確的瀏覽器來源允許清單 | gateway.controlUi.allowedOrigins | 否 |
gateway.control_ui.allowed_origins_wildcard | 警告/嚴重 | allowedOrigins=["*"] 會停用瀏覽器來源允許清單 | gateway.controlUi.allowedOrigins | 否 |
gateway.control_ui.host_header_origin_fallback | 警告/嚴重 | 啟用 Host 標頭來源 fallback(降低 DNS rebinding 強化) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback | 否 |
gateway.control_ui.insecure_auth | 警告 | 已啟用不安全驗證相容性開關 | gateway.controlUi.allowInsecureAuth | 否 |
gateway.control_ui.device_auth_disabled | 嚴重 | 停用裝置身分檢查 | gateway.controlUi.dangerouslyDisableDeviceAuth | 否 |
gateway.real_ip_fallback_enabled | 警告/嚴重 | 信任 X-Real-IP fallback 可能因代理設定錯誤而啟用來源 IP 偽造 | gateway.allowRealIpFallback, gateway.trustedProxies | 否 |
gateway.token_too_short | 警告 | 短共享權杖較容易被暴力破解 | gateway.auth.token | 否 |
gateway.auth_no_rate_limit | 警告 | 未限制速率的公開驗證會增加暴力破解風險 | gateway.auth.rateLimit | 否 |
gateway.trusted_proxy_auth | 嚴重 | 代理身分現在會成為驗證邊界 | gateway.auth.mode="trusted-proxy" | 否 |
gateway.trusted_proxy_no_proxies | 嚴重 | 未設定受信任代理 IP 的 trusted-proxy 驗證並不安全 | gateway.trustedProxies | 否 |
gateway.trusted_proxy_no_user_header | critical | 受信任代理驗證無法安全解析使用者身分 | gateway.auth.trustedProxy.userHeader | no |
gateway.trusted_proxy_no_allowlist | warn | 受信任代理驗證接受任何已驗證的上游使用者 | gateway.auth.trustedProxy.allowUsers | no |
gateway.trusted_proxy_allow_loopback | warn | 受信任代理驗證接受明確允許的 loopback 代理來源 | gateway.auth.trustedProxy.allowLoopback | no |
gateway.probe_auth_secretref_unavailable | warn | 深度探測無法在此命令路徑中解析驗證 SecretRefs | 深度探測驗證來源 / SecretRef 可用性 | no |
gateway.probe_failed | warn | 即時閘道探測失敗(僅限 --deep) | 閘道可連線性/驗證 | no |
discovery.mdns_full_mode | warn/critical | mDNS 完整模式會在本機網路上公告 cliPath/sshPort 中繼資料 | discovery.mdns.mode, gateway.bind | no |
config.insecure_or_dangerous_flags | warn | 已啟用一個不安全/危險的除錯旗標 | 發現詳細資料中命名的鍵 | no |
security.audit.suppressions.active | info | 稽核輸出已設定抑制規則,可能會被篩選 | security.audit.suppressions | no |
config.secrets.gateway_password_in_config | warn | 閘道密碼直接儲存在設定中 | gateway.auth.password | no |
config.secrets.hooks_token_in_config | warn | Hook bearer token 直接儲存在設定中 | hooks.token | no |
hooks.token_reuse_gateway_token | critical | Hook 入口權杖也會解鎖閘道驗證 | hooks.token, gateway.auth.token, gateway.auth.password | no |
hooks.token_too_short | warn | Hook 入口較容易遭受暴力破解 | hooks.token | no |
hooks.default_session_key_unset | warn | Hook 代理執行會扇出到產生的每請求工作階段 | hooks.defaultSessionKey | no |
hooks.allowed_agent_ids_unrestricted | warn/critical | 已驗證的 Hook 呼叫者可路由到任何已設定的代理 | hooks.allowedAgentIds | no |
hooks.request_session_key_enabled | warn/critical | 外部呼叫者可以選擇 sessionKey | hooks.allowRequestSessionKey | no |
hooks.request_session_key_prefixes_missing | warn/critical | 外部工作階段金鑰形狀沒有界限 | hooks.allowedSessionKeyPrefixes | no |
hooks.path_root | critical | Hook 路徑為 /,讓入口更容易發生碰撞或錯誤路由 | hooks.path | no |
hooks.installs_unpinned_npm_specs | warn | Hook 安裝記錄未固定到不可變的 npm 規格 | Hook 安裝中繼資料 | no |
hooks.installs_missing_integrity | warn | Hook 安裝記錄缺少完整性中繼資料 | Hook 安裝中繼資料 | no |
hooks.installs_version_drift | warn | Hook 安裝記錄與已安裝套件發生漂移 | Hook 安裝中繼資料 | no |
logging.redact_off | warn | 敏感值會洩漏到記錄/狀態 | logging.redactSensitive | yes |
browser.control_invalid_config | warn | 瀏覽器控制設定在執行階段前無效 | browser.* | no |
browser.control_no_auth | critical | 瀏覽器控制在沒有權杖/密碼驗證的情況下公開 | gateway.auth.* | no |
browser.remote_cdp_http | warn | 透過純 HTTP 的遠端 CDP 缺少傳輸加密 | 瀏覽器設定檔 cdpUrl | no |
browser.remote_cdp_private_host | warn | 遠端 CDP 指向私人/內部主機 | 瀏覽器設定檔 cdpUrl, browser.ssrfPolicy.* | no |
sandbox.docker_config_mode_off | warn | Sandbox Docker 設定存在但未啟用 | agents.*.sandbox.mode | no |
sandbox.bind_mount_non_absolute | warn | 相對 bind mount 可能以不可預測方式解析 | agents.*.sandbox.docker.binds[] | no |
sandbox.dangerous_bind_mount | critical | Sandbox bind mount 目標為被封鎖的系統、憑證或 Docker socket 路徑 | agents.*.sandbox.docker.binds[] | no |
sandbox.dangerous_network_mode | critical | Sandbox Docker 網路使用 host 或 container:* 命名空間加入模式 | agents.*.sandbox.docker.network | no |
sandbox.dangerous_seccomp_profile | critical | Sandbox seccomp profile 會削弱容器隔離 | agents.*.sandbox.docker.securityOpt | no |
sandbox.dangerous_apparmor_profile | critical | Sandbox AppArmor profile 會削弱容器隔離 | agents.*.sandbox.docker.securityOpt | no |
sandbox.browser_cdp_bridge_unrestricted | warn | Sandbox 瀏覽器橋接在沒有來源範圍限制的情況下公開 | sandbox.browser.cdpSourceRange | no |
sandbox.browser_container.non_loopback_publish | critical | 現有瀏覽器容器在非 loopback 介面上發布 CDP | 瀏覽器 Sandbox 容器發布設定 | no |
sandbox.browser_container.hash_label_missing | warn | 現有瀏覽器容器早於目前的設定雜湊標籤 | openclaw sandbox recreate --browser --all | no |
sandbox.browser_container.hash_epoch_stale | warn | 現有瀏覽器容器早於目前的瀏覽器設定 epoch | openclaw sandbox recreate --browser --all | no |
sandbox.browser_container.docker_probe_timeout | warn | 瀏覽器容器的 Docker 標籤探測逾時 | Docker daemon 可連線性 | no |
tools.exec.host_sandbox_no_sandbox_defaults | warn | 當 Sandbox 關閉時,exec host=sandbox 會失敗關閉 | tools.exec.host, agents.defaults.sandbox.mode | no |
tools.exec.host_sandbox_no_sandbox_agents | warn | 當 Sandbox 關閉時,每代理的 exec host=sandbox 會失敗關閉 | agents.list[].tools.exec.host, agents.list[].sandbox.mode | no |
tools.exec.security_full_configured | warn/critical | 主機 exec 正以 security="full" 執行 | tools.exec.security, agents.list[].tools.exec.security | no |
tools.exec.agent_skill_mcp_boundary_drift | warn | 當主機 exec 可連到 MCP 用戶端/登錄檔時,代理技能允許清單仍存在 | agents.list[].tools.exec.*, Sandbox/OS 隔離, MCP 伺服器憑證 | no |
tools.exec.fs_tools_disabled_but_exec_enabled | 警告 | 檔案系統工具政策不會讓 shell 執行變成唯讀 | tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess | 否 |
tools.exec.auto_allow_skills_enabled | 警告 | Exec 核准會隱含信任 skill bins | 主機核准檔案 | 否 |
tools.exec.allowlist_interpreter_without_strict_inline_eval | 警告 | 直譯器允許清單允許內嵌 eval,且不強制重新核准 | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, exec 核准允許清單 | 否 |
tools.exec.safe_bins_interpreter_unprofiled | 警告 | safeBins 中的直譯器/執行階段 bins 未明確設定 profiles,會擴大 exec 風險 | tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* | 否 |
tools.exec.safe_bins_broad_behavior | 警告 | safeBins 中的寬泛行為工具會削弱低風險 stdin 篩選信任模型 | tools.exec.safeBins, agents.list[].tools.exec.safeBins | 否 |
tools.exec.safe_bin_trusted_dirs_risky | 警告 | safeBinTrustedDirs 包含可變或高風險目錄 | tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs | 否 |
tools.elevated.allowFrom.<provider>.wildcard | 嚴重 | tools.elevated.allowFrom.<provider> 包含 "*",會核准每個傳送者 | tools.elevated.allowFrom.<provider> | 否 |
tools.elevated.allowFrom.<provider>.large | 警告 | <provider> 的提升權限允許清單超過 25 個項目 | tools.elevated.allowFrom.<provider> | 否 |
agents.claude_cli.permission_mode_overridden_by_yolo | 警告 | Claude CLI --permission-mode 會被忽略,因為 OpenClaw exec 是完全無人值守 | tools.exec.security, tools.exec.ask, cliBackends.claude-cli 參數 | 否 |
skills.workspace.symlink_escape | 警告 | 工作區 skills/**/SKILL.md 解析到工作區根目錄之外(符號連結鏈漂移) | 工作區 skills/** 檔案系統狀態 | 否 |
skills.workspace.scan_truncated | 警告 | 工作區 skill 掃描在完成前達到目錄造訪上限 | 扁平化/簡化工作區 skills/ 目錄樹 | 否 |
plugins.extensions_no_allowlist | 警告 | 外掛安裝時沒有明確的外掛允許清單 | plugins.allowlist | 否 |
plugins.allow_phantom_entries | 警告 | plugins.allow 列出了一個沒有相符已安裝外掛的 ID | plugins.allow | 否 |
plugins.installs_unpinned_npm_specs | 警告 | 外掛索引記錄未固定到不可變 npm 規格 | 外掛安裝中繼資料 | 否 |
plugins.installs_missing_integrity | 警告 | 外掛索引記錄缺少完整性中繼資料 | 外掛安裝中繼資料 | 否 |
plugins.installs_version_drift | 警告 | 外掛索引記錄與已安裝套件產生偏移 | 外掛安裝中繼資料 | 否 |
plugins.code_safety | 警告/嚴重 | 外掛程式碼掃描發現可疑或危險模式(僅限 --deep) | 外掛程式碼 / 安裝來源 | 否 |
plugins.code_safety.entry_path | 警告 | 外掛進入點路徑指向隱藏或 node_modules 位置 | 外掛 manifest entry | 否 |
plugins.code_safety.entry_escape | 嚴重 | 外掛進入點逸出外掛目錄 | 外掛 manifest entry | 否 |
plugins.code_safety.manifest_parse_error | 警告 | 程式碼安全掃描期間無法剖析外掛 manifest | 外掛 manifest 檔案 | 否 |
plugins.code_safety.scan_failed | 警告 | 外掛程式碼掃描無法完成(僅限 --deep) | 外掛路徑 / 掃描環境 | 否 |
plugins.<pluginId>.security_audit_failed | 警告 | 外掛擁有的安全稽核收集器擲出錯誤 | 該外掛的安全稽核收集器 | 否 |
skills.code_safety | 警告/嚴重 | Skill 安裝器中繼資料/程式碼包含可疑或危險模式(僅限 --deep) | skill 安裝來源 | 否 |
skills.code_safety.scan_failed | 警告 | Skill 程式碼掃描無法完成(僅限 --deep) | skill 掃描環境 | 否 |
security.exposure.open_channels_with_exec | 警告/嚴重 | 共用/公開房間可觸及啟用 exec 的代理 | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* | 否 |
security.exposure.open_groups_with_elevated | 嚴重 | 開放 DM/群組 + 提升權限工具會建立高衝擊提示詞注入路徑 | 頂層或巢狀 DM 政策路徑、帳號覆寫、channels.*.groupPolicy | 否 |
security.exposure.open_groups_with_runtime_or_fs | 嚴重/警告 | 開放 DM/群組可在沒有沙箱/工作區防護的情況下觸及命令/檔案工具 | DM/群組政策路徑、tools.profile/deny、tools.fs.workspaceOnly、agents.*.sandbox.mode | 否 |
security.trust_model.multi_user_heuristic | 警告 | 設定看起來是多使用者,但閘道信任模型是個人助理 | 分割信任邊界,或共用使用者強化(sandbox.mode、工具拒絕/工作區範圍限定) | 否 |
tools.profile_minimal_overridden | 警告 | 代理覆寫繞過全域 minimal profile | agents.list[].tools.profile | 否 |
plugins.tools_reachable_permissive_policy | 警告 | 在寬鬆內容中可觸及擴充工具 | tools.profile + 工具允許/拒絕 | 否 |
models.legacy | 警告 | 仍設定了舊版模型家族 | 模型選擇 | 否 |
models.weak_tier | 警告 | 已設定模型低於目前建議級別 | 模型選擇 | 否 |
models.small_params | 嚴重/資訊 | 小型模型 + 不安全工具表面會提高注入風險 | 模型選擇 + 沙箱/工具政策 | 否 |
channels.<provider>.dm.open | 嚴重 | <provider> DM 政策是 "open";任何人都能 DM 機器人 | channels.<provider>.dmPolicy, .allowFrom | 否 |
channels.<provider>.dm.open_invalid | 警告 | dmPolicy="open" 但 allowFrom 中沒有 "*",前後不一致 | channels.<provider>.allowFrom | 否 |
channels.<provider>.dm.scope_main_multiuser | 警告 | 多個 DM 傳送者目前共用主要工作階段 | session.dmScope | 否 |
channels.<provider>.allowFrom.dangerous_name_matching_enabled | 資訊 | dangerouslyAllowNameMatching 重新啟用可變名稱/電子郵件/tag 傳送者比對 | 停用 dangerouslyAllowNameMatching,使用穩定的傳送者 ID | 否 |
channels.<provider>.account.read_only_resolution | 警告 | 無法完整解析某個 channel 帳號以供稽核(缺少 secret/閘道) | 確保參照的 secret 可解析,或針對即時閘道快照執行 | 否 |
channels.<provider>.warning.<n> | 資訊/警告/嚴重 | 供應商特定安全警告,依自由格式外掛文字分類 | 請參閱發現項目詳細資料 | 否 |
summary.attack_surface | 資訊 | 驗證、channel、工具與暴露態勢的彙總摘要 | 多個 key(請參閱發現項目詳細資料) | 否 |