Gateway
Перевірки аудиту безпеки
openclaw security audit виводить структуровані знахідки, ключовані за checkId. Ця
сторінка є довідковим каталогом для цих ідентифікаторів. Високорівневу модель загроз
і рекомендації з посилення захисту див. у розділі Безпека.
Високоінформативні значення checkId, які ви найімовірніше побачите в реальних розгортаннях (не
вичерпний список):
checkId |
Серйозність | Чому це важливо | Основний ключ/шлях виправлення | Автовиправлення |
|---|---|---|---|---|
fs.state_dir.perms_world_writable |
критична | Інші користувачі/процеси можуть змінювати весь стан OpenClaw | права файлової системи для ~/.openclaw |
так |
fs.state_dir.perms_group_writable |
попередження | Користувачі групи можуть змінювати весь стан OpenClaw | права файлової системи для ~/.openclaw |
так |
fs.state_dir.perms_readable |
попередження | Каталог стану доступний для читання іншим | права файлової системи для ~/.openclaw |
так |
fs.state_dir.symlink |
попередження | Ціль каталогу стану стає ще однією межею довіри | структура файлової системи каталогу стану | ні |
fs.config.perms_writable |
критична | Інші можуть змінювати політику/конфігурацію автентифікації та інструментів | права файлової системи для ~/.openclaw/openclaw.json |
так |
fs.config.symlink |
попередження | Конфігураційні файли через символьні посилання не підтримуються для запису й додають ще одну межу довіри | замініть на звичайний конфігураційний файл або вкажіть OPENCLAW_CONFIG_PATH на справжній файл |
ні |
fs.config.perms_group_readable |
попередження | Користувачі групи можуть читати токени/налаштування конфігурації | права файлової системи для конфігураційного файлу | так |
fs.config.perms_world_readable |
критична | Конфігурація може розкривати токени/налаштування | права файлової системи для конфігураційного файлу | так |
fs.config_include.perms_writable |
критична | Файл включення конфігурації можуть змінювати інші | права файлу включення, на який посилається openclaw.json |
так |
fs.config_include.perms_group_readable |
попередження | Користувачі групи можуть читати включені секрети/налаштування | права файлу включення, на який посилається openclaw.json |
так |
fs.config_include.perms_world_readable |
критична | Включені секрети/налаштування доступні для читання всім | права файлу включення, на який посилається openclaw.json |
так |
fs.auth_profiles.perms_writable |
критична | Інші можуть впровадити або замінити збережені облікові дані моделі | права agents/<agentId>/agent/auth-profiles.json |
так |
fs.auth_profiles.perms_readable |
попередження | Інші можуть читати API-ключі та OAuth-токени | права agents/<agentId>/agent/auth-profiles.json |
так |
fs.credentials_dir.perms_writable |
критична | Інші можуть змінювати стан сполучення каналів/облікових даних | права файлової системи для ~/.openclaw/credentials |
так |
fs.credentials_dir.perms_readable |
попередження | Інші можуть читати стан облікових даних каналу | права файлової системи для ~/.openclaw/credentials |
так |
fs.sessions_store.perms_readable |
попередження | Інші можуть читати транскрипти/метадані сеансів | права сховища сеансів | так |
fs.log_file.perms_readable |
попередження | Інші можуть читати відредаговані, але все ще чутливі журнали | права файлу журналу Gateway | так |
fs.synced_dir |
попередження | Стан/конфігурація в iCloud/Dropbox/Drive розширює доступ до токенів/транскриптів | перенесіть конфігурацію/стан із синхронізованих папок | ні |
gateway.bind_no_auth |
критична | Віддалене прив’язування без спільного секрету | gateway.bind, gateway.auth.* |
ні |
gateway.loopback_no_auth |
критична | Loopback через зворотний проксі може стати неавтентифікованим | gateway.auth.*, налаштування проксі |
ні |
gateway.trusted_proxies_missing |
попередження | Заголовки зворотного проксі наявні, але не довірені | gateway.trustedProxies |
ні |
gateway.http.no_auth |
попередження/критична | HTTP API Gateway доступні з auth.mode="none" |
gateway.auth.mode, gateway.http.endpoints.* |
ні |
gateway.http.session_key_override_enabled |
інформаційна | Викликачі HTTP API можуть перевизначати sessionKey |
gateway.http.allowSessionKeyOverride |
ні |
gateway.tools_invoke_http.dangerous_allow |
попередження/критична | Повторно вмикає небезпечні інструменти через HTTP API | gateway.tools.allow |
ні |
gateway.nodes.allow_commands_dangerous |
попередження/критична | Вмикає команди Node з високим впливом (камера/екран/контакти/календар/SMS) | gateway.nodes.allowCommands |
ні |
gateway.nodes.deny_commands_ineffective |
попередження | Записи заборони, схожі на шаблони, не відповідають тексту shell або групам | gateway.nodes.denyCommands |
ні |
gateway.tailscale_funnel |
критична | Доступ із публічного інтернету | gateway.tailscale.mode |
ні |
gateway.tailscale_serve |
інформаційна | Доступ із tailnet увімкнено через Serve | gateway.tailscale.mode |
ні |
gateway.control_ui.allowed_origins_required |
критична | Control UI не через loopback без явного списку дозволених browser-origin | gateway.controlUi.allowedOrigins |
ні |
gateway.control_ui.allowed_origins_wildcard |
попередження/критична | allowedOrigins=["*"] вимикає список дозволених browser-origin |
gateway.controlUi.allowedOrigins |
ні |
gateway.control_ui.host_header_origin_fallback |
попередження/критична | Вмикає fallback origin із заголовка Host (послаблення захисту від DNS rebinding) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback |
ні |
gateway.control_ui.insecure_auth |
попередження | Увімкнено перемикач сумісності небезпечної автентифікації | gateway.controlUi.allowInsecureAuth |
ні |
gateway.control_ui.device_auth_disabled |
критична | Вимикає перевірку ідентичності пристрою | gateway.controlUi.dangerouslyDisableDeviceAuth |
ні |
gateway.real_ip_fallback_enabled |
попередження/критична | Довіра до fallback X-Real-IP може дозволити підміну source-IP через неправильну конфігурацію проксі |
gateway.allowRealIpFallback, gateway.trustedProxies |
ні |
gateway.token_too_short |
попередження | Короткий спільний токен легше підібрати перебором | gateway.auth.token |
ні |
gateway.auth_no_rate_limit |
попередження | Відкрита автентифікація без обмеження частоти підвищує ризик перебору | gateway.auth.rateLimit |
ні |
gateway.trusted_proxy_auth |
критична | Ідентичність проксі тепер стає межею автентифікації | gateway.auth.mode="trusted-proxy" |
ні |
gateway.trusted_proxy_no_proxies |
критична | Автентифікація trusted-proxy без довірених IP проксі небезпечна | gateway.trustedProxies |
ні |
gateway.trusted_proxy_no_user_header |
критична | Автентифікація trusted-proxy не може безпечно визначити ідентичність користувача | gateway.auth.trustedProxy.userHeader |
ні |
gateway.trusted_proxy_no_allowlist |
попередження | Автентифікація trusted-proxy приймає будь-якого автентифікованого upstream-користувача | gateway.auth.trustedProxy.allowUsers |
ні |
gateway.trusted_proxy_allow_loopback |
warn | Автентифікація через довірений проксі приймає явно дозволені джерела проксі loopback | gateway.auth.trustedProxy.allowLoopback |
ні |
gateway.probe_auth_secretref_unavailable |
warn | Глибока перевірка не змогла розв'язати SecretRefs автентифікації в цьому шляху команди | джерело автентифікації deep-probe / доступність SecretRef | ні |
gateway.probe_failed |
warn/critical | Жива перевірка Gateway не вдалася | доступність/автентифікація Gateway | ні |
discovery.mdns_full_mode |
warn/critical | Повний режим mDNS оголошує метадані cliPath/sshPort у локальній мережі |
discovery.mdns.mode, gateway.bind |
ні |
config.insecure_or_dangerous_flags |
warn | Увімкнено будь-які небезпечні або ризиковані прапорці налагодження | кілька ключів (див. деталі знахідки) | ні |
config.secrets.gateway_password_in_config |
warn | Пароль Gateway зберігається безпосередньо в конфігурації | gateway.auth.password |
ні |
config.secrets.hooks_token_in_config |
warn | Токен носія хука зберігається безпосередньо в конфігурації | hooks.token |
ні |
hooks.token_reuse_gateway_token |
critical | Токен входу хука також відкриває автентифікацію Gateway | hooks.token, gateway.auth.token |
ні |
hooks.token_too_short |
warn | Легший перебір для входу хука | hooks.token |
ні |
hooks.default_session_key_unset |
warn | Запуски агента хука розгалужуються у згенеровані сеанси для кожного запиту | hooks.defaultSessionKey |
ні |
hooks.allowed_agent_ids_unrestricted |
warn/critical | Автентифіковані викликачі хука можуть маршрутизувати до будь-якого налаштованого агента | hooks.allowedAgentIds |
ні |
hooks.request_session_key_enabled |
warn/critical | Зовнішній викликач може вибрати sessionKey | hooks.allowRequestSessionKey |
ні |
hooks.request_session_key_prefixes_missing |
warn/critical | Немає обмеження на форми зовнішніх ключів сеансу | hooks.allowedSessionKeyPrefixes |
ні |
hooks.path_root |
critical | Шлях хука — /, що полегшує конфлікт або помилкову маршрутизацію входу |
hooks.path |
ні |
hooks.installs_unpinned_npm_specs |
warn | Записи встановлення хуків не закріплені до незмінних специфікацій npm | метадані встановлення хука | ні |
hooks.installs_missing_integrity |
warn | Записам встановлення хуків бракує метаданих цілісності | метадані встановлення хука | ні |
hooks.installs_version_drift |
warn | Записи встановлення хуків розходяться зі встановленими пакетами | метадані встановлення хука | ні |
logging.redact_off |
warn | Чутливі значення потрапляють у журнали/стан | logging.redactSensitive |
так |
browser.control_invalid_config |
warn | Конфігурація керування браузером недійсна до виконання | browser.* |
ні |
browser.control_no_auth |
critical | Керування браузером відкрито без автентифікації токеном/паролем | gateway.auth.* |
ні |
browser.remote_cdp_http |
warn | Віддалений CDP через звичайний HTTP не має транспортного шифрування | профіль браузера cdpUrl |
ні |
browser.remote_cdp_private_host |
warn | Віддалений CDP націлений на приватний/внутрішній хост | профіль браузера cdpUrl, browser.ssrfPolicy.* |
ні |
sandbox.docker_config_mode_off |
warn | Конфігурація Docker Sandbox присутня, але неактивна | agents.*.sandbox.mode |
ні |
sandbox.bind_mount_non_absolute |
warn | Відносні прив'язування монтування можуть розв'язуватися непередбачувано | agents.*.sandbox.docker.binds[] |
ні |
sandbox.dangerous_bind_mount |
critical | Прив'язування монтування Sandbox націлене на заблоковані системні, облікові шляхи або шляхи сокета Docker | agents.*.sandbox.docker.binds[] |
ні |
sandbox.dangerous_network_mode |
critical | Мережа Docker Sandbox використовує режим host або приєднання до простору імен container:* |
agents.*.sandbox.docker.network |
ні |
sandbox.dangerous_seccomp_profile |
critical | Профіль seccomp Sandbox послаблює ізоляцію контейнера | agents.*.sandbox.docker.securityOpt |
ні |
sandbox.dangerous_apparmor_profile |
critical | Профіль AppArmor Sandbox послаблює ізоляцію контейнера | agents.*.sandbox.docker.securityOpt |
ні |
sandbox.browser_cdp_bridge_unrestricted |
warn | Міст браузера Sandbox відкрито без обмеження діапазону джерел | sandbox.browser.cdpSourceRange |
ні |
sandbox.browser_container.non_loopback_publish |
critical | Наявний контейнер браузера публікує CDP на інтерфейсах, що не є loopback | конфігурація публікації контейнера браузерної Sandbox | ні |
sandbox.browser_container.hash_label_missing |
warn | Наявний контейнер браузера створено до поточних міток хешу конфігурації | openclaw sandbox recreate --browser --all |
ні |
sandbox.browser_container.hash_epoch_stale |
warn | Наявний контейнер браузера створено до поточної епохи конфігурації браузера | openclaw sandbox recreate --browser --all |
ні |
tools.exec.host_sandbox_no_sandbox_defaults |
warn | exec host=sandbox завершується закритим, коли Sandbox вимкнено |
tools.exec.host, agents.defaults.sandbox.mode |
ні |
tools.exec.host_sandbox_no_sandbox_agents |
warn | Поагентний exec host=sandbox завершується закритим, коли Sandbox вимкнено |
agents.list[].tools.exec.host, agents.list[].sandbox.mode |
ні |
tools.exec.security_full_configured |
warn/critical | Виконання на хості працює з security="full" |
tools.exec.security, agents.list[].tools.exec.security |
ні |
tools.exec.auto_allow_skills_enabled |
warn | Схвалення виконання неявно довіряють бінарним файлам Skills | ~/.openclaw/exec-approvals.json |
ні |
tools.exec.allowlist_interpreter_without_strict_inline_eval |
warn | Списки дозволених інтерпретаторів дозволяють inline eval без примусового повторного схвалення | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, список дозволених схвалень виконання |
ні |
tools.exec.safe_bins_interpreter_unprofiled |
warn | Бінарні файли інтерпретатора/середовища виконання в safeBins без явних профілів розширюють ризик виконання |
tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* |
ні |
tools.exec.safe_bins_broad_behavior |
warn | Інструменти з широкою поведінкою в safeBins послаблюють модель довіри stdin-фільтра з низьким ризиком |
tools.exec.safeBins, agents.list[].tools.exec.safeBins |
ні |
tools.exec.safe_bin_trusted_dirs_risky |
warn | safeBinTrustedDirs містить змінювані або ризиковані каталоги |
tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs |
ні |
skills.workspace.symlink_escape |
warn | Workspace skills/**/SKILL.md розв'язується за межі кореня workspace (зсув ланцюга symlink) |
стан файлової системи workspace skills/** |
ні |
plugins.extensions_no_allowlist |
warn | Plugins встановлено без явного списку дозволених plugin | plugins.allowlist |
ні |
plugins.installs_unpinned_npm_specs |
warn | Записи індексу Plugin не закріплені до незмінних специфікацій npm | метадані встановлення Plugin | no |
plugins.installs_missing_integrity |
warn | У записах індексу Plugin бракує метаданих цілісності | метадані встановлення Plugin | no |
plugins.installs_version_drift |
warn | Записи індексу Plugin розходяться зі встановленими пакетами | метадані встановлення Plugin | no |
plugins.code_safety |
warn/critical | Сканування коду Plugin виявило підозрілі або небезпечні шаблони | код Plugin / джерело встановлення | no |
plugins.code_safety.entry_path |
warn | Шлях входу Plugin вказує на приховані розташування або розташування в node_modules |
маніфест Plugin entry |
no |
plugins.code_safety.entry_escape |
critical | Вхід Plugin виходить за межі каталогу Plugin | маніфест Plugin entry |
no |
plugins.code_safety.scan_failed |
warn | Сканування коду Plugin не вдалося завершити | шлях Plugin / середовище сканування | no |
skills.code_safety |
warn/critical | Метадані/код інсталятора Skills містить підозрілі або небезпечні шаблони | джерело встановлення Skills | no |
skills.code_safety.scan_failed |
warn | Сканування коду Skills не вдалося завершити | середовище сканування Skills | no |
security.exposure.open_channels_with_exec |
warn/critical | Спільні/публічні кімнати можуть досягати агентів із дозволеним exec | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* |
no |
security.exposure.open_groups_with_elevated |
critical | Відкриті групи + підвищені інструменти створюють шляхи prompt-injection із високим впливом | channels.*.groupPolicy, tools.elevated.* |
no |
security.exposure.open_groups_with_runtime_or_fs |
critical/warn | Відкриті групи можуть досягати інструментів команд/файлів без запобіжників sandbox/workspace | channels.*.groupPolicy, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode |
no |
security.trust_model.multi_user_heuristic |
warn | Конфігурація виглядає багатокористувацькою, тоді як модель довіри Gateway є персональним асистентом | розділіть межі довіри або посильте захист для спільних користувачів (sandbox.mode, заборона інструментів/обмеження області workspace) |
no |
tools.profile_minimal_overridden |
warn | Перевизначення агента обходять глобальний мінімальний профіль | agents.list[].tools.profile |
no |
plugins.tools_reachable_permissive_policy |
warn | Інструменти розширень досяжні в дозвільних контекстах | tools.profile + дозволи/заборони інструментів |
no |
models.legacy |
warn | Застарілі сімейства моделей досі налаштовані | вибір моделі | no |
models.weak_tier |
warn | Налаштовані моделі нижчі за поточні рекомендовані рівні | вибір моделі | no |
models.small_params |
critical/info | Малі моделі + небезпечні поверхні інструментів підвищують ризик ін’єкцій | вибір моделі + політика sandbox/інструментів | no |
summary.attack_surface |
info | Зведений підсумок стану автентифікації, каналу, інструментів і експозиції | кілька ключів (див. деталі знахідки) | no |