> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# 安全稽核檢查

`openclaw security audit` 會輸出以 `checkId` 為鍵的結構化發現。此頁是這些 ID 的參考目錄。如需高層次的威脅模型與強化指引，請參閱[安全性](/zh-TW/gateway/security)。

有些檢查只會在使用 `openclaw security audit --deep` 時執行：外掛/skill 程式碼掃描（`plugins.code_safety*`、`skills.code_safety*`）以及即時閘道探測檢查（`gateway.probe_*`）。此表中的其他所有項目都會在一般的 `openclaw security audit` 中執行。

像 `warn/critical` 這樣的嚴重性，表示相同的 `checkId` 可能會依設定以任一層級輸出（例如閘道是否對遠端公開）。你在實際部署中最可能看到的高參考價值項目（並非完整清單）：

| `checkId`                                                       | 嚴重性           | 重要原因                                                         | 主要修復鍵/路徑                                                                                      | 自動修復 |
| --------------------------------------------------------------- | ------------- | ------------------------------------------------------------ | --------------------------------------------------------------------------------------------- | ---- |
| `fs.state_dir.perms_world_writable`                             | 嚴重            | 其他使用者/程序可以修改完整的 OpenClaw 狀態                                  | `~/.openclaw` 的檔案系統權限                                                                         | 是    |
| `fs.state_dir.perms_group_writable`                             | 警告            | 群組使用者可以修改完整的 OpenClaw 狀態                                     | `~/.openclaw` 的檔案系統權限                                                                         | 是    |
| `fs.state_dir.perms_readable`                                   | 警告            | 狀態目錄可被其他人讀取                                                  | `~/.openclaw` 的檔案系統權限                                                                         | 是    |
| `fs.state_dir.symlink`                                          | 警告            | 狀態目錄目標會變成另一個信任邊界                                             | 狀態目錄檔案系統配置                                                                                    | 否    |
| `fs.config.perms_writable`                                      | 嚴重            | 其他人可以變更驗證/工具政策/設定                                            | `~/.openclaw/openclaw.json` 的檔案系統權限                                                           | 是    |
| `fs.config.symlink`                                             | 警告            | 不支援寫入符號連結的設定檔，且會增加另一個信任邊界                                    | 取代為一般設定檔，或將 `OPENCLAW_CONFIG_PATH` 指向實際檔案                                                     | 否    |
| `fs.config.perms_group_readable`                                | 警告            | 群組使用者可以讀取設定權杖/設定值                                            | 設定檔的檔案系統權限                                                                                    | 是    |
| `fs.config.perms_world_readable`                                | 嚴重            | 設定可能會暴露權杖/設定值                                                | 設定檔的檔案系統權限                                                                                    | 是    |
| `fs.config_include.perms_writable`                              | 嚴重            | 設定 include 檔案可被其他人修改                                         | `openclaw.json` 參照的 include 檔案權限                                                              | 是    |
| `fs.config_include.perms_group_readable`                        | 警告            | 群組使用者可以讀取 included 秘密/設定值                                    | `openclaw.json` 參照的 include 檔案權限                                                              | 是    |
| `fs.config_include.perms_world_readable`                        | 嚴重            | included 秘密/設定值可被所有人讀取                                       | `openclaw.json` 參照的 include 檔案權限                                                              | 是    |
| `fs.auth_profiles.perms_writable`                               | 嚴重            | 其他人可以注入或取代已儲存的模型憑證                                           | `agents/<agentId>/agent/auth-profiles.json` 權限                                                | 是    |
| `fs.auth_profiles.perms_readable`                               | 警告            | 其他人可以讀取 API 金鑰與 OAuth 權杖                                     | `agents/<agentId>/agent/auth-profiles.json` 權限                                                | 是    |
| `fs.credentials_dir.perms_writable`                             | 嚴重            | 其他人可以修改通道配對/憑證狀態                                             | `~/.openclaw/credentials` 的檔案系統權限                                                             | 是    |
| `fs.credentials_dir.perms_readable`                             | 警告            | 其他人可以讀取通道憑證狀態                                                | `~/.openclaw/credentials` 的檔案系統權限                                                             | 是    |
| `fs.sessions_store.perms_readable`                              | 警告            | 其他人可以讀取工作階段逐字稿/中繼資料                                          | 工作階段儲存區權限                                                                                     | 是    |
| `fs.log_file.perms_readable`                                    | 警告            | 其他人可以讀取已遮蔽但仍具敏感性的日誌                                          | 閘道日誌檔案權限                                                                                      | 是    |
| `fs.synced_dir`                                                 | 警告            | iCloud/Dropbox/Drive 中的狀態/設定會擴大權杖/逐字稿暴露範圍                    | 將設定/狀態移出同步資料夾                                                                                 | 否    |
| `gateway.bind_no_auth`                                          | 嚴重            | 未使用共享秘密的遠端繫結                                                 | `gateway.bind`, `gateway.auth.*`                                                              | 否    |
| `gateway.loopback_no_auth`                                      | 嚴重            | 反向代理的回送可能變成未經驗證                                              | `gateway.auth.*`, proxy setup                                                                 | 否    |
| `gateway.trusted_proxies_missing`                               | 警告            | 存在反向代理標頭，但未受信任                                               | `gateway.trustedProxies`                                                                      | 否    |
| `gateway.http.no_auth`                                          | 警告/嚴重         | 使用 `auth.mode="none"` 時可存取閘道 HTTP API                        | `gateway.auth.mode`, `gateway.http.endpoints.*`, `plugins.entries.admin-http-rpc`             | 否    |
| `gateway.http.session_key_override_enabled`                     | 資訊            | HTTP API 呼叫者可以覆寫 `sessionKey`                                | `gateway.http.allowSessionKeyOverride`                                                        | 否    |
| `gateway.tools_invoke_http.dangerous_allow`                     | 警告/嚴重         | 透過 HTTP API 為 owner/admin 呼叫者重新啟用危險工具                        | `gateway.tools.allow`                                                                         | 否    |
| `gateway.nodes.allow_commands_dangerous`                        | 警告/嚴重         | 啟用高影響性的節點命令（相機/螢幕/聯絡人/行事曆/SMS）                               | `gateway.nodes.allowCommands`                                                                 | 否    |
| `gateway.nodes.deny_commands_ineffective`                       | 警告            | 類似模式的拒絕項目不會比對 shell 文字或群組                                    | `gateway.nodes.denyCommands`                                                                  | 否    |
| `gateway.tailscale_funnel`                                      | 嚴重            | 公開網際網路暴露                                                     | `gateway.tailscale.mode`                                                                      | 否    |
| `gateway.tailscale_serve`                                       | 資訊            | 已透過 Serve 啟用 Tailnet 暴露                                      | `gateway.tailscale.mode`                                                                      | 否    |
| `gateway.control_ui.allowed_origins_required`                   | 嚴重            | 非回送 Control UI 缺少明確的瀏覽器來源允許清單                                | `gateway.controlUi.allowedOrigins`                                                            | 否    |
| `gateway.control_ui.allowed_origins_wildcard`                   | 警告/嚴重         | `allowedOrigins=["*"]` 會停用瀏覽器來源允許清單                          | `gateway.controlUi.allowedOrigins`                                                            | 否    |
| `gateway.control_ui.host_header_origin_fallback`                | 警告/嚴重         | 啟用 Host 標頭來源 fallback（降低 DNS rebinding 強化）                   | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`                                  | 否    |
| `gateway.control_ui.insecure_auth`                              | 警告            | 已啟用不安全驗證相容性開關                                                | `gateway.controlUi.allowInsecureAuth`                                                         | 否    |
| `gateway.control_ui.device_auth_disabled`                       | 嚴重            | 停用裝置身分檢查                                                     | `gateway.controlUi.dangerouslyDisableDeviceAuth`                                              | 否    |
| `gateway.real_ip_fallback_enabled`                              | 警告/嚴重         | 信任 `X-Real-IP` fallback 可能因代理設定錯誤而啟用來源 IP 偽造                 | `gateway.allowRealIpFallback`, `gateway.trustedProxies`                                       | 否    |
| `gateway.token_too_short`                                       | 警告            | 短共享權杖較容易被暴力破解                                                | `gateway.auth.token`                                                                          | 否    |
| `gateway.auth_no_rate_limit`                                    | 警告            | 未限制速率的公開驗證會增加暴力破解風險                                          | `gateway.auth.rateLimit`                                                                      | 否    |
| `gateway.trusted_proxy_auth`                                    | 嚴重            | 代理身分現在會成為驗證邊界                                                | `gateway.auth.mode="trusted-proxy"`                                                           | 否    |
| `gateway.trusted_proxy_no_proxies`                              | 嚴重            | 未設定受信任代理 IP 的 trusted-proxy 驗證並不安全                           | `gateway.trustedProxies`                                                                      | 否    |
| `gateway.trusted_proxy_no_user_header`                          | critical      | 受信任代理驗證無法安全解析使用者身分                                           | `gateway.auth.trustedProxy.userHeader`                                                        | no   |
| `gateway.trusted_proxy_no_allowlist`                            | warn          | 受信任代理驗證接受任何已驗證的上游使用者                                         | `gateway.auth.trustedProxy.allowUsers`                                                        | no   |
| `gateway.trusted_proxy_allow_loopback`                          | warn          | 受信任代理驗證接受明確允許的 loopback 代理來源                                 | `gateway.auth.trustedProxy.allowLoopback`                                                     | no   |
| `gateway.probe_auth_secretref_unavailable`                      | warn          | 深度探測無法在此命令路徑中解析驗證 SecretRefs                                 | 深度探測驗證來源 / SecretRef 可用性                                                                      | no   |
| `gateway.probe_failed`                                          | warn          | 即時閘道探測失敗（僅限 `--deep`）                                        | 閘道可連線性/驗證                                                                                     | no   |
| `discovery.mdns_full_mode`                                      | warn/critical | mDNS 完整模式會在本機網路上公告 `cliPath`/`sshPort` 中繼資料                  | `discovery.mdns.mode`, `gateway.bind`                                                         | no   |
| `config.insecure_or_dangerous_flags`                            | warn          | 已啟用一個不安全/危險的除錯旗標                                             | 發現詳細資料中命名的鍵                                                                                   | no   |
| `security.audit.suppressions.active`                            | info          | 稽核輸出已設定抑制規則，可能會被篩選                                           | `security.audit.suppressions`                                                                 | no   |
| `config.secrets.gateway_password_in_config`                     | warn          | 閘道密碼直接儲存在設定中                                                 | `gateway.auth.password`                                                                       | no   |
| `config.secrets.hooks_token_in_config`                          | warn          | Hook bearer token 直接儲存在設定中                                   | `hooks.token`                                                                                 | no   |
| `hooks.token_reuse_gateway_token`                               | critical      | Hook 入口權杖也會解鎖閘道驗證                                            | `hooks.token`, `gateway.auth.token`, `gateway.auth.password`                                  | no   |
| `hooks.token_too_short`                                         | warn          | Hook 入口較容易遭受暴力破解                                             | `hooks.token`                                                                                 | no   |
| `hooks.default_session_key_unset`                               | warn          | Hook 代理執行會扇出到產生的每請求工作階段                                      | `hooks.defaultSessionKey`                                                                     | no   |
| `hooks.allowed_agent_ids_unrestricted`                          | warn/critical | 已驗證的 Hook 呼叫者可路由到任何已設定的代理                                    | `hooks.allowedAgentIds`                                                                       | no   |
| `hooks.request_session_key_enabled`                             | warn/critical | 外部呼叫者可以選擇 sessionKey                                         | `hooks.allowRequestSessionKey`                                                                | no   |
| `hooks.request_session_key_prefixes_missing`                    | warn/critical | 外部工作階段金鑰形狀沒有界限                                               | `hooks.allowedSessionKeyPrefixes`                                                             | no   |
| `hooks.path_root`                                               | critical      | Hook 路徑為 `/`，讓入口更容易發生碰撞或錯誤路由                                 | `hooks.path`                                                                                  | no   |
| `hooks.installs_unpinned_npm_specs`                             | warn          | Hook 安裝記錄未固定到不可變的 npm 規格                                     | Hook 安裝中繼資料                                                                                   | no   |
| `hooks.installs_missing_integrity`                              | warn          | Hook 安裝記錄缺少完整性中繼資料                                           | Hook 安裝中繼資料                                                                                   | no   |
| `hooks.installs_version_drift`                                  | warn          | Hook 安裝記錄與已安裝套件發生漂移                                          | Hook 安裝中繼資料                                                                                   | no   |
| `logging.redact_off`                                            | warn          | 敏感值會洩漏到記錄/狀態                                                 | `logging.redactSensitive`                                                                     | yes  |
| `browser.control_invalid_config`                                | warn          | 瀏覽器控制設定在執行階段前無效                                              | `browser.*`                                                                                   | no   |
| `browser.control_no_auth`                                       | critical      | 瀏覽器控制在沒有權杖/密碼驗證的情況下公開                                        | `gateway.auth.*`                                                                              | no   |
| `browser.remote_cdp_http`                                       | warn          | 透過純 HTTP 的遠端 CDP 缺少傳輸加密                                      | 瀏覽器設定檔 `cdpUrl`                                                                               | no   |
| `browser.remote_cdp_private_host`                               | warn          | 遠端 CDP 指向私人/內部主機                                             | 瀏覽器設定檔 `cdpUrl`, `browser.ssrfPolicy.*`                                                       | no   |
| `sandbox.docker_config_mode_off`                                | warn          | Sandbox Docker 設定存在但未啟用                                      | `agents.*.sandbox.mode`                                                                       | no   |
| `sandbox.bind_mount_non_absolute`                               | warn          | 相對 bind mount 可能以不可預測方式解析                                    | `agents.*.sandbox.docker.binds[]`                                                             | no   |
| `sandbox.dangerous_bind_mount`                                  | critical      | Sandbox bind mount 目標為被封鎖的系統、憑證或 Docker socket 路徑            | `agents.*.sandbox.docker.binds[]`                                                             | no   |
| `sandbox.dangerous_network_mode`                                | critical      | Sandbox Docker 網路使用 `host` 或 `container:*` 命名空間加入模式          | `agents.*.sandbox.docker.network`                                                             | no   |
| `sandbox.dangerous_seccomp_profile`                             | critical      | Sandbox seccomp profile 會削弱容器隔離                              | `agents.*.sandbox.docker.securityOpt`                                                         | no   |
| `sandbox.dangerous_apparmor_profile`                            | critical      | Sandbox AppArmor profile 會削弱容器隔離                             | `agents.*.sandbox.docker.securityOpt`                                                         | no   |
| `sandbox.browser_cdp_bridge_unrestricted`                       | warn          | Sandbox 瀏覽器橋接在沒有來源範圍限制的情況下公開                                 | `sandbox.browser.cdpSourceRange`                                                              | no   |
| `sandbox.browser_container.non_loopback_publish`                | critical      | 現有瀏覽器容器在非 loopback 介面上發布 CDP                                 | 瀏覽器 Sandbox 容器發布設定                                                                            | no   |
| `sandbox.browser_container.hash_label_missing`                  | warn          | 現有瀏覽器容器早於目前的設定雜湊標籤                                           | `openclaw sandbox recreate --browser --all`                                                   | no   |
| `sandbox.browser_container.hash_epoch_stale`                    | warn          | 現有瀏覽器容器早於目前的瀏覽器設定 epoch                                      | `openclaw sandbox recreate --browser --all`                                                   | no   |
| `sandbox.browser_container.docker_probe_timeout`                | warn          | 瀏覽器容器的 Docker 標籤探測逾時                                         | Docker daemon 可連線性                                                                            | no   |
| `tools.exec.host_sandbox_no_sandbox_defaults`                   | warn          | 當 Sandbox 關閉時，`exec host=sandbox` 會失敗關閉                      | `tools.exec.host`, `agents.defaults.sandbox.mode`                                             | no   |
| `tools.exec.host_sandbox_no_sandbox_agents`                     | warn          | 當 Sandbox 關閉時，每代理的 `exec host=sandbox` 會失敗關閉                 | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`                                 | no   |
| `tools.exec.security_full_configured`                           | warn/critical | 主機 exec 正以 `security="full"` 執行                              | `tools.exec.security`, `agents.list[].tools.exec.security`                                    | no   |
| `tools.exec.agent_skill_mcp_boundary_drift`                     | warn          | 當主機 exec 可連到 MCP 用戶端/登錄檔時，代理技能允許清單仍存在                        | `agents.list[].tools.exec.*`, Sandbox/OS 隔離, MCP 伺服器憑證                                        | no   |
| `tools.exec.fs_tools_disabled_but_exec_enabled`                 | 警告            | 檔案系統工具政策不會讓 shell 執行變成唯讀                                     | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess`                  | 否    |
| `tools.exec.auto_allow_skills_enabled`                          | 警告            | Exec 核准會隱含信任 skill bins                                      | 主機核准檔案                                                                                        | 否    |
| `tools.exec.allowlist_interpreter_without_strict_inline_eval`   | 警告            | 直譯器允許清單允許內嵌 eval，且不強制重新核准                                    | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, exec 核准允許清單       | 否    |
| `tools.exec.safe_bins_interpreter_unprofiled`                   | 警告            | `safeBins` 中的直譯器/執行階段 bins 未明確設定 profiles，會擴大 exec 風險        | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`             | 否    |
| `tools.exec.safe_bins_broad_behavior`                           | 警告            | `safeBins` 中的寬泛行為工具會削弱低風險 stdin 篩選信任模型                       | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`                                    | 否    |
| `tools.exec.safe_bin_trusted_dirs_risky`                        | 警告            | `safeBinTrustedDirs` 包含可變或高風險目錄                              | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs`                | 否    |
| `tools.elevated.allowFrom.<provider>.wildcard`                  | 嚴重            | `tools.elevated.allowFrom.<provider>` 包含 `"*"`，會核准每個傳送者      | `tools.elevated.allowFrom.<provider>`                                                         | 否    |
| `tools.elevated.allowFrom.<provider>.large`                     | 警告            | `<provider>` 的提升權限允許清單超過 25 個項目                              | `tools.elevated.allowFrom.<provider>`                                                         | 否    |
| `agents.claude_cli.permission_mode_overridden_by_yolo`          | 警告            | Claude CLI `--permission-mode` 會被忽略，因為 OpenClaw exec 是完全無人值守 | `tools.exec.security`, `tools.exec.ask`, `cliBackends.claude-cli` 參數                          | 否    |
| `skills.workspace.symlink_escape`                               | 警告            | 工作區 `skills/**/SKILL.md` 解析到工作區根目錄之外（符號連結鏈漂移）                | 工作區 `skills/**` 檔案系統狀態                                                                        | 否    |
| `skills.workspace.scan_truncated`                               | 警告            | 工作區 skill 掃描在完成前達到目錄造訪上限                                     | 扁平化/簡化工作區 `skills/` 目錄樹                                                                       | 否    |
| `plugins.extensions_no_allowlist`                               | 警告            | 外掛安裝時沒有明確的外掛允許清單                                             | `plugins.allowlist`                                                                           | 否    |
| `plugins.allow_phantom_entries`                                 | 警告            | `plugins.allow` 列出了一個沒有相符已安裝外掛的 ID                           | `plugins.allow`                                                                               | 否    |
| `plugins.installs_unpinned_npm_specs`                           | 警告            | 外掛索引記錄未固定到不可變 npm 規格                                         | 外掛安裝中繼資料                                                                                      | 否    |
| `plugins.installs_missing_integrity`                            | 警告            | 外掛索引記錄缺少完整性中繼資料                                              | 外掛安裝中繼資料                                                                                      | 否    |
| `plugins.installs_version_drift`                                | 警告            | 外掛索引記錄與已安裝套件產生偏移                                             | 外掛安裝中繼資料                                                                                      | 否    |
| `plugins.code_safety`                                           | 警告/嚴重         | 外掛程式碼掃描發現可疑或危險模式（僅限 `--deep`）                                | 外掛程式碼 / 安裝來源                                                                                  | 否    |
| `plugins.code_safety.entry_path`                                | 警告            | 外掛進入點路徑指向隱藏或 `node_modules` 位置                               | 外掛 manifest `entry`                                                                           | 否    |
| `plugins.code_safety.entry_escape`                              | 嚴重            | 外掛進入點逸出外掛目錄                                                  | 外掛 manifest `entry`                                                                           | 否    |
| `plugins.code_safety.manifest_parse_error`                      | 警告            | 程式碼安全掃描期間無法剖析外掛 manifest                                     | 外掛 manifest 檔案                                                                                | 否    |
| `plugins.code_safety.scan_failed`                               | 警告            | 外掛程式碼掃描無法完成（僅限 `--deep`）                                     | 外掛路徑 / 掃描環境                                                                                   | 否    |
| `plugins.<pluginId>.security_audit_failed`                      | 警告            | 外掛擁有的安全稽核收集器擲出錯誤                                             | 該外掛的安全稽核收集器                                                                                   | 否    |
| `skills.code_safety`                                            | 警告/嚴重         | Skill 安裝器中繼資料/程式碼包含可疑或危險模式（僅限 `--deep`）                      | skill 安裝來源                                                                                    | 否    |
| `skills.code_safety.scan_failed`                                | 警告            | Skill 程式碼掃描無法完成（僅限 `--deep`）                                 | skill 掃描環境                                                                                    | 否    |
| `security.exposure.open_channels_with_exec`                     | 警告/嚴重         | 共用/公開房間可觸及啟用 exec 的代理                                        | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*` | 否    |
| `security.exposure.open_groups_with_elevated`                   | 嚴重            | 開放 DM/群組 + 提升權限工具會建立高衝擊提示詞注入路徑                               | 頂層或巢狀 DM 政策路徑、帳號覆寫、`channels.*.groupPolicy`                                                   | 否    |
| `security.exposure.open_groups_with_runtime_or_fs`              | 嚴重/警告         | 開放 DM/群組可在沒有沙箱/工作區防護的情況下觸及命令/檔案工具                            | DM/群組政策路徑、`tools.profile/deny`、`tools.fs.workspaceOnly`、`agents.*.sandbox.mode`               | 否    |
| `security.trust_model.multi_user_heuristic`                     | 警告            | 設定看起來是多使用者，但閘道信任模型是個人助理                                      | 分割信任邊界，或共用使用者強化（`sandbox.mode`、工具拒絕/工作區範圍限定）                                                  | 否    |
| `tools.profile_minimal_overridden`                              | 警告            | 代理覆寫繞過全域 minimal profile                                     | `agents.list[].tools.profile`                                                                 | 否    |
| `plugins.tools_reachable_permissive_policy`                     | 警告            | 在寬鬆內容中可觸及擴充工具                                                | `tools.profile` + 工具允許/拒絕                                                                     | 否    |
| `models.legacy`                                                 | 警告            | 仍設定了舊版模型家族                                                   | 模型選擇                                                                                          | 否    |
| `models.weak_tier`                                              | 警告            | 已設定模型低於目前建議級別                                                | 模型選擇                                                                                          | 否    |
| `models.small_params`                                           | 嚴重/資訊         | 小型模型 + 不安全工具表面會提高注入風險                                        | 模型選擇 + 沙箱/工具政策                                                                                | 否    |
| `channels.<provider>.dm.open`                                   | 嚴重            | `<provider>` DM 政策是 `"open"`；任何人都能 DM 機器人                    | `channels.<provider>.dmPolicy`, `.allowFrom`                                                  | 否    |
| `channels.<provider>.dm.open_invalid`                           | 警告            | `dmPolicy="open"` 但 `allowFrom` 中沒有 `"*"`，前後不一致              | `channels.<provider>.allowFrom`                                                               | 否    |
| `channels.<provider>.dm.scope_main_multiuser`                   | 警告            | 多個 DM 傳送者目前共用主要工作階段                                          | `session.dmScope`                                                                             | 否    |
| `channels.<provider>.allowFrom.dangerous_name_matching_enabled` | 資訊            | `dangerouslyAllowNameMatching` 重新啟用可變名稱/電子郵件/tag 傳送者比對       | 停用 `dangerouslyAllowNameMatching`，使用穩定的傳送者 ID                                                 | 否    |
| `channels.<provider>.account.read_only_resolution`              | 警告            | 無法完整解析某個 channel 帳號以供稽核（缺少 secret/閘道）                        | 確保參照的 secret 可解析，或針對即時閘道快照執行                                                                  | 否    |
| `channels.<provider>.warning.<n>`                               | 資訊/警告/嚴重      | 供應商特定安全警告，依自由格式外掛文字分類                                        | 請參閱發現項目詳細資料                                                                                   | 否    |
| `summary.attack_surface`                                        | 資訊            | 驗證、channel、工具與暴露態勢的彙總摘要                                      | 多個 key（請參閱發現項目詳細資料）                                                                           | 否    |

`channels.<provider>.*` 和 `tools.elevated.allowFrom.<provider>.*` checkIds 會依每個已設定的頻道/提供者產生，因此在實際輸出中，`<provider>` 是真正的頻道 ID（例如 `telegram`、`discord`），而不是字面字串。

## 相關

* [安全性](/zh-TW/gateway/security)
* [設定](/zh-TW/gateway/configuration)
* [信任的代理驗證](/zh-TW/gateway/trusted-proxy-auth)
