Gateway
Beveiligingsauditcontroles
openclaw security audit geeft gestructureerde bevindingen uit met checkId als sleutel. Deze
pagina is de referentiecatalogus voor die ID's. Zie Beveiliging voor het overkoepelende dreigingsmodel
en richtlijnen voor hardening.
checkId-waarden met hoge signaalwaarde die je waarschijnlijk in echte implementaties zult zien (niet
uitputtend):
checkId |
Ernst | Waarom dit belangrijk is | Primaire herstelsleutel/-pad | Automatisch herstel |
|---|---|---|---|---|
fs.state_dir.perms_world_writable |
kritiek | Andere gebruikers/processen kunnen de volledige OpenClaw-status wijzigen | bestandssysteemrechten op ~/.openclaw |
ja |
fs.state_dir.perms_group_writable |
waarschuwing | Groepsgebruikers kunnen de volledige OpenClaw-status wijzigen | bestandssysteemrechten op ~/.openclaw |
ja |
fs.state_dir.perms_readable |
waarschuwing | Statusmap is leesbaar voor anderen | bestandssysteemrechten op ~/.openclaw |
ja |
fs.state_dir.symlink |
waarschuwing | Doel van de statusmap wordt een andere vertrouwensgrens | bestandssysteemindeling van statusmap | nee |
fs.config.perms_writable |
kritiek | Anderen kunnen auth-/toolbeleid/configuratie wijzigen | bestandssysteemrechten op ~/.openclaw/openclaw.json |
ja |
fs.config.symlink |
waarschuwing | Gesymlinkte configuratiebestanden worden niet ondersteund voor schrijfbewerkingen en voegen een andere vertrouwensgrens toe | vervangen door een normaal configuratiebestand of OPENCLAW_CONFIG_PATH naar het echte bestand laten wijzen |
nee |
fs.config.perms_group_readable |
waarschuwing | Groepsgebruikers kunnen configuratietokens/-instellingen lezen | bestandssysteemrechten op configuratiebestand | ja |
fs.config.perms_world_readable |
kritiek | Configuratie kan tokens/instellingen blootleggen | bestandssysteemrechten op configuratiebestand | ja |
fs.config_include.perms_writable |
kritiek | Configuratie-include-bestand kan door anderen worden gewijzigd | include-bestandsrechten waarnaar wordt verwezen vanuit openclaw.json |
ja |
fs.config_include.perms_group_readable |
waarschuwing | Groepsgebruikers kunnen opgenomen geheimen/instellingen lezen | include-bestandsrechten waarnaar wordt verwezen vanuit openclaw.json |
ja |
fs.config_include.perms_world_readable |
kritiek | Opgenomen geheimen/instellingen zijn wereldwijd leesbaar | include-bestandsrechten waarnaar wordt verwezen vanuit openclaw.json |
ja |
fs.auth_profiles.perms_writable |
kritiek | Anderen kunnen opgeslagen modelreferenties injecteren of vervangen | rechten voor agents/<agentId>/agent/auth-profiles.json |
ja |
fs.auth_profiles.perms_readable |
waarschuwing | Anderen kunnen API-sleutels en OAuth-tokens lezen | rechten voor agents/<agentId>/agent/auth-profiles.json |
ja |
fs.credentials_dir.perms_writable |
kritiek | Anderen kunnen kanaalkoppeling/-referentiestatus wijzigen | bestandssysteemrechten op ~/.openclaw/credentials |
ja |
fs.credentials_dir.perms_readable |
waarschuwing | Anderen kunnen kanaalreferentiestatus lezen | bestandssysteemrechten op ~/.openclaw/credentials |
ja |
fs.sessions_store.perms_readable |
waarschuwing | Anderen kunnen sessietranscripten/metadata lezen | rechten voor sessieopslag | ja |
fs.log_file.perms_readable |
waarschuwing | Anderen kunnen geredigeerde maar nog steeds gevoelige logs lezen | rechten voor Gateway-logbestand | ja |
fs.synced_dir |
waarschuwing | Status/configuratie in iCloud/Dropbox/Drive vergroot blootstelling van tokens/transcripten | verplaats configuratie/status uit gesynchroniseerde mappen | nee |
gateway.bind_no_auth |
kritiek | Externe binding zonder gedeeld geheim | gateway.bind, gateway.auth.* |
nee |
gateway.loopback_no_auth |
kritiek | Loopback via reverse proxy kan niet-geauthenticeerd worden | gateway.auth.*, proxyconfiguratie |
nee |
gateway.trusted_proxies_missing |
waarschuwing | Reverse-proxy-headers zijn aanwezig maar niet vertrouwd | gateway.trustedProxies |
nee |
gateway.http.no_auth |
waarschuwing/kritiek | Gateway-HTTP-API's bereikbaar met auth.mode="none" |
gateway.auth.mode, gateway.http.endpoints.* |
nee |
gateway.http.session_key_override_enabled |
info | HTTP-API-aanroepers kunnen sessionKey overschrijven |
gateway.http.allowSessionKeyOverride |
nee |
gateway.tools_invoke_http.dangerous_allow |
waarschuwing/kritiek | Schakelt gevaarlijke tools opnieuw in via HTTP-API | gateway.tools.allow |
nee |
gateway.nodes.allow_commands_dangerous |
waarschuwing/kritiek | Schakelt Node-opdrachten met hoge impact in (camera/scherm/contacten/agenda/SMS) | gateway.nodes.allowCommands |
nee |
gateway.nodes.deny_commands_ineffective |
waarschuwing | Patroonachtige deny-vermeldingen komen niet overeen met shelltekst of groepen | gateway.nodes.denyCommands |
nee |
gateway.tailscale_funnel |
kritiek | Blootstelling aan het openbare internet | gateway.tailscale.mode |
nee |
gateway.tailscale_serve |
info | Tailnet-blootstelling is ingeschakeld via Serve | gateway.tailscale.mode |
nee |
gateway.control_ui.allowed_origins_required |
kritiek | Niet-loopback Control UI zonder expliciete allowlist voor browserorigins | gateway.controlUi.allowedOrigins |
nee |
gateway.control_ui.allowed_origins_wildcard |
waarschuwing/kritiek | allowedOrigins=["*"] schakelt allowlisting van browserorigins uit |
gateway.controlUi.allowedOrigins |
nee |
gateway.control_ui.host_header_origin_fallback |
waarschuwing/kritiek | Schakelt Host-header-origin-fallback in (verlaging van DNS-rebinding-verharding) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback |
nee |
gateway.control_ui.insecure_auth |
waarschuwing | Compatibiliteitsschakelaar voor onveilige auth ingeschakeld | gateway.controlUi.allowInsecureAuth |
nee |
gateway.control_ui.device_auth_disabled |
kritiek | Schakelt controle op apparaatidentiteit uit | gateway.controlUi.dangerouslyDisableDeviceAuth |
nee |
gateway.real_ip_fallback_enabled |
waarschuwing/kritiek | Vertrouwen op X-Real-IP-fallback kan bron-IP-spoofing mogelijk maken via proxy-misconfiguratie |
gateway.allowRealIpFallback, gateway.trustedProxies |
nee |
gateway.token_too_short |
waarschuwing | Kort gedeeld token is gemakkelijker te brute-forcen | gateway.auth.token |
nee |
gateway.auth_no_rate_limit |
waarschuwing | Blootgestelde auth zonder rate limiting vergroot het risico op brute force | gateway.auth.rateLimit |
nee |
gateway.trusted_proxy_auth |
kritiek | Proxy-identiteit wordt nu de auth-grens | gateway.auth.mode="trusted-proxy" |
nee |
gateway.trusted_proxy_no_proxies |
kritiek | Trusted-proxy-auth zonder vertrouwde proxy-IP's is onveilig | gateway.trustedProxies |
nee |
gateway.trusted_proxy_no_user_header |
kritiek | Trusted-proxy-auth kan gebruikersidentiteit niet veilig bepalen | gateway.auth.trustedProxy.userHeader |
nee |
gateway.trusted_proxy_no_allowlist |
waarschuwing | Trusted-proxy-auth accepteert elke geauthenticeerde upstream-gebruiker | gateway.auth.trustedProxy.allowUsers |
nee |
gateway.trusted_proxy_allow_loopback |
warn | Trusted-proxy-auth accepteert expliciet toegestane loopback-proxybronnen | gateway.auth.trustedProxy.allowLoopback |
nee |
gateway.probe_auth_secretref_unavailable |
warn | Diepe probe kon auth-SecretRefs niet oplossen in dit commandopad | diepe-probe-authbron / beschikbaarheid van SecretRef | nee |
gateway.probe_failed |
warn/critical | Live Gateway-probe mislukt | bereikbaarheid/auth van Gateway | nee |
discovery.mdns_full_mode |
warn/critical | Volledige mDNS-modus adverteert cliPath/sshPort-metadata op het lokale netwerk |
discovery.mdns.mode, gateway.bind |
nee |
config.insecure_or_dangerous_flags |
warn | Onveilige/gevaarlijke debugvlaggen ingeschakeld | meerdere sleutels (zie details van bevinding) | nee |
config.secrets.gateway_password_in_config |
warn | Gateway-wachtwoord wordt rechtstreeks in de configuratie opgeslagen | gateway.auth.password |
nee |
config.secrets.hooks_token_in_config |
warn | Bearer-token voor hooks wordt rechtstreeks in de configuratie opgeslagen | hooks.token |
nee |
hooks.token_reuse_gateway_token |
critical | Hook-ingress-token ontgrendelt ook Gateway-auth | hooks.token, gateway.auth.token |
nee |
hooks.token_too_short |
warn | Gemakkelijkere brute force op hook-ingress | hooks.token |
nee |
hooks.default_session_key_unset |
warn | Uitvoeringen van hook-agents waaieren uit naar gegenereerde sessies per aanvraag | hooks.defaultSessionKey |
nee |
hooks.allowed_agent_ids_unrestricted |
warn/critical | Geauthenticeerde hook-aanroepers kunnen naar elke geconfigureerde agent routeren | hooks.allowedAgentIds |
nee |
hooks.request_session_key_enabled |
warn/critical | Externe aanroeper kan sessionKey kiezen | hooks.allowRequestSessionKey |
nee |
hooks.request_session_key_prefixes_missing |
warn/critical | Geen begrenzing op vormen van externe sessiesleutels | hooks.allowedSessionKeyPrefixes |
nee |
hooks.path_root |
critical | Hookpad is /, waardoor ingress gemakkelijker kan botsen of verkeerd routeren |
hooks.path |
nee |
hooks.installs_unpinned_npm_specs |
warn | Hook-installatierecords zijn niet vastgepind op onveranderlijke npm-specificaties | hook-installatiemetadata | nee |
hooks.installs_missing_integrity |
warn | Hook-installatierecords missen integriteitsmetadata | hook-installatiemetadata | nee |
hooks.installs_version_drift |
warn | Hook-installatierecords wijken af van geinstalleerde pakketten | hook-installatiemetadata | nee |
logging.redact_off |
warn | Gevoelige waarden lekken naar logs/status | logging.redactSensitive |
ja |
browser.control_invalid_config |
warn | Browserbesturingsconfiguratie is ongeldig voor runtime | browser.* |
nee |
browser.control_no_auth |
critical | Browserbesturing blootgesteld zonder token-/wachtwoordauth | gateway.auth.* |
nee |
browser.remote_cdp_http |
warn | Externe CDP via gewone HTTP mist transportversleuteling | browserprofiel cdpUrl |
nee |
browser.remote_cdp_private_host |
warn | Externe CDP richt zich op een private/interne host | browserprofiel cdpUrl, browser.ssrfPolicy.* |
nee |
sandbox.docker_config_mode_off |
warn | Sandbox-Docker-configuratie aanwezig maar inactief | agents.*.sandbox.mode |
nee |
sandbox.bind_mount_non_absolute |
warn | Relatieve bind mounts kunnen onvoorspelbaar worden opgelost | agents.*.sandbox.docker.binds[] |
nee |
sandbox.dangerous_bind_mount |
critical | Sandbox-bind mount richt zich op geblokkeerde systeem-, credential- of Docker-socketpaden | agents.*.sandbox.docker.binds[] |
nee |
sandbox.dangerous_network_mode |
critical | Sandbox-Docker-netwerk gebruikt host- of container:*-naamruimte-joinmodus |
agents.*.sandbox.docker.network |
nee |
sandbox.dangerous_seccomp_profile |
critical | Sandbox-seccomp-profiel verzwakt containerisolatie | agents.*.sandbox.docker.securityOpt |
nee |
sandbox.dangerous_apparmor_profile |
critical | Sandbox-AppArmor-profiel verzwakt containerisolatie | agents.*.sandbox.docker.securityOpt |
nee |
sandbox.browser_cdp_bridge_unrestricted |
warn | Sandbox-browserbridge is blootgesteld zonder beperking op bronbereik | sandbox.browser.cdpSourceRange |
nee |
sandbox.browser_container.non_loopback_publish |
critical | Bestaande browsercontainer publiceert CDP op niet-loopback-interfaces | publicatieconfiguratie van browser-sandboxcontainer | nee |
sandbox.browser_container.hash_label_missing |
warn | Bestaande browsercontainer dateert van voor huidige config-hashlabels | openclaw sandbox recreate --browser --all |
nee |
sandbox.browser_container.hash_epoch_stale |
warn | Bestaande browsercontainer dateert van voor huidig browserconfiguratietijdperk | openclaw sandbox recreate --browser --all |
nee |
tools.exec.host_sandbox_no_sandbox_defaults |
warn | exec host=sandbox faalt gesloten wanneer sandbox uit staat |
tools.exec.host, agents.defaults.sandbox.mode |
nee |
tools.exec.host_sandbox_no_sandbox_agents |
warn | Per-agent exec host=sandbox faalt gesloten wanneer sandbox uit staat |
agents.list[].tools.exec.host, agents.list[].sandbox.mode |
nee |
tools.exec.security_full_configured |
warn/critical | Host-exec draait met security="full" |
tools.exec.security, agents.list[].tools.exec.security |
nee |
tools.exec.auto_allow_skills_enabled |
warn | Exec-goedkeuringen vertrouwen skill-bins impliciet | ~/.openclaw/exec-approvals.json |
nee |
tools.exec.allowlist_interpreter_without_strict_inline_eval |
warn | Interpreter-allowlists staan inline-eval toe zonder verplichte hergoedkeuring | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, exec-goedkeuringsallowlist |
nee |
tools.exec.safe_bins_interpreter_unprofiled |
warn | Interpreter-/runtime-bins in safeBins zonder expliciete profielen verbreden exec-risico |
tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* |
nee |
tools.exec.safe_bins_broad_behavior |
warn | Tools met breed gedrag in safeBins verzwakken het vertrouwensmodel met laag risico en stdin-filter |
tools.exec.safeBins, agents.list[].tools.exec.safeBins |
nee |
tools.exec.safe_bin_trusted_dirs_risky |
warn | safeBinTrustedDirs bevat muteerbare of risicovolle mappen |
tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs |
nee |
skills.workspace.symlink_escape |
warn | Workspace skills/**/SKILL.md wordt buiten de workspace-root opgelost (drift in symlinkketen) |
bestandssysteemstatus van workspace skills/** |
nee |
plugins.extensions_no_allowlist |
warn | Plugins worden geinstalleerd zonder expliciete plugin-allowlist | plugins.allowlist |
nee |
plugins.installs_unpinned_npm_specs |
warn | Plugin-indexrecords zijn niet vastgepind op onveranderlijke npm-specificaties | metadata voor Plugin-installatie | no |
plugins.installs_missing_integrity |
warn | Plugin-indexrecords missen integriteitsmetadata | metadata voor Plugin-installatie | no |
plugins.installs_version_drift |
warn | Plugin-indexrecords wijken af van geïnstalleerde pakketten | metadata voor Plugin-installatie | no |
plugins.code_safety |
warn/critical | Plugin-codescan heeft verdachte of gevaarlijke patronen gevonden | Plugin-code / installatiebron | no |
plugins.code_safety.entry_path |
warn | Plugin-invoerpad wijst naar verborgen locaties of node_modules-locaties |
Plugin-manifest entry |
no |
plugins.code_safety.entry_escape |
critical | Plugin-invoer ontsnapt uit de Plugin-directory | Plugin-manifest entry |
no |
plugins.code_safety.scan_failed |
warn | Plugin-codescan kon niet worden voltooid | Plugin-pad / scanomgeving | no |
skills.code_safety |
warn/critical | Metadata/code van Skill-installatieprogramma bevat verdachte of gevaarlijke patronen | Skill-installatiebron | no |
skills.code_safety.scan_failed |
warn | Skill-codescan kon niet worden voltooid | Skill-scanomgeving | no |
security.exposure.open_channels_with_exec |
warn/critical | Gedeelde/openbare ruimten kunnen agents met exec ingeschakeld bereiken | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* |
no |
security.exposure.open_groups_with_elevated |
critical | Open groepen + verhoogde tools creëren prompt-injectiepaden met grote impact | channels.*.groupPolicy, tools.elevated.* |
no |
security.exposure.open_groups_with_runtime_or_fs |
critical/warn | Open groepen kunnen opdracht-/bestandstools bereiken zonder sandbox-/workspace-beveiligingen | channels.*.groupPolicy, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode |
no |
security.trust_model.multi_user_heuristic |
warn | Configuratie lijkt multi-user terwijl het Gateway-vertrouwensmodel persoonlijke assistent is | gescheiden vertrouwensgrenzen, of hardening voor gedeelde gebruikers (sandbox.mode, tool-deny/workspace-scoping) |
no |
tools.profile_minimal_overridden |
warn | Agent-overschrijvingen omzeilen globaal minimaal profiel | agents.list[].tools.profile |
no |
plugins.tools_reachable_permissive_policy |
warn | Extension-tools bereikbaar in permissieve contexten | tools.profile + tool-allow/deny |
no |
models.legacy |
warn | Verouderde modelfamilies zijn nog steeds geconfigureerd | modelselectie | no |
models.weak_tier |
warn | Geconfigureerde modellen liggen onder de huidige aanbevolen niveaus | modelselectie | no |
models.small_params |
critical/info | Kleine modellen + onveilige tool-oppervlakken verhogen injectierisico | modelkeuze + sandbox-/toolbeleid | no |
summary.attack_surface |
info | Samenvatting op hoofdlijnen van authenticatie-, kanaal-, tool- en blootstellingshouding | meerdere sleutels (zie bevindingsdetail) | no |