Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

openclaw security

Herramientas de seguridad (auditoría + correcciones opcionales). Relacionado:

Auditoría

openclaw security audit
openclaw security audit --deep
openclaw security audit --deep --password <password>
openclaw security audit --deep --token <token>
openclaw security audit --fix
openclaw security audit --json
security audit simple permanece en la ruta fría de configuración/sistema de archivos/solo lectura. No descubre los recopiladores de seguridad del runtime de plugins de forma predeterminada, por lo que las auditorías rutinarias no cargan el runtime de todos los plugins instalados. Usa --deep para incluir sondeos en vivo de Gateway de mejor esfuerzo y recopiladores de auditoría de seguridad propiedad de los plugins; los llamadores internos explícitos también pueden optar por esos recopiladores propiedad de los plugins cuando ya tienen un ámbito de runtime adecuado. La auditoría advierte cuando varios remitentes de DM comparten la sesión principal y recomienda el modo DM seguro: session.dmScope="per-channel-peer" (o per-account-channel-peer para canales multicuenta) para bandejas de entrada compartidas. Esto sirve para reforzar bandejas de entrada cooperativas/compartidas. Un único Gateway compartido por operadores mutuamente no confiables/adversarios no es una configuración recomendada; separa los límites de confianza con gateways separados (o usuarios/hosts del sistema operativo separados). También emite security.trust_model.multi_user_heuristic cuando la configuración sugiere una entrada probable de usuarios compartidos (por ejemplo, política abierta de DM/grupos, destinos de grupo configurados o reglas de remitente con comodín), y te recuerda que OpenClaw usa de forma predeterminada un modelo de confianza de asistente personal. Para configuraciones intencionales de usuarios compartidos, la guía de auditoría indica aislar todas las sesiones en sandbox, mantener el acceso al sistema de archivos limitado al workspace y mantener identidades o credenciales personales/privadas fuera de ese runtime. También advierte cuando se usan modelos pequeños (<=300B) sin sandboxing y con herramientas web/navegador habilitadas. Para la entrada por webhook, advierte cuando hooks.token reutiliza el token de Gateway, cuando hooks.token es corto, cuando hooks.path="/", cuando hooks.defaultSessionKey no está definido, cuando hooks.allowedAgentIds no tiene restricciones, cuando las sobrescrituras de sessionKey de solicitud están habilitadas y cuando las sobrescrituras están habilitadas sin hooks.allowedSessionKeyPrefixes. También advierte cuando la configuración Docker de sandbox está configurada mientras el modo sandbox está desactivado, cuando gateway.nodes.denyCommands usa entradas ineficaces con aspecto de patrón o desconocidas (solo coincidencia exacta de nombres de comando de nodo, no filtrado de texto de shell), cuando gateway.nodes.allowCommands habilita explícitamente comandos de nodo peligrosos, cuando tools.profile="minimal" global es sobrescrito por perfiles de herramientas de agentes, cuando las herramientas de escritura/edición están deshabilitadas pero exec sigue disponible sin un límite restrictivo de sistema de archivos de sandbox, cuando grupos abiertos exponen herramientas de runtime/sistema de archivos sin protecciones de sandbox/workspace, y cuando las herramientas de plugins instalados pueden ser accesibles bajo una política permisiva de herramientas. También marca gateway.allowRealIpFallback=true (riesgo de suplantación de encabezados si los proxies están mal configurados) y discovery.mdns.mode="full" (filtración de metadatos mediante registros TXT de mDNS). También advierte cuando el navegador de sandbox usa la red Docker bridge sin sandbox.browser.cdpSourceRange. También marca modos de red Docker de sandbox peligrosos (incluidos host y uniones de espacio de nombres container:*). También advierte cuando los contenedores Docker existentes del navegador de sandbox tienen etiquetas hash faltantes/obsoletas (por ejemplo, contenedores previos a la migración sin openclaw.browserConfigEpoch) y recomienda openclaw sandbox recreate --browser --all. También advierte cuando los registros de instalación de plugins/hooks basados en npm no están fijados, carecen de metadatos de integridad o difieren de las versiones de paquetes instaladas actualmente. Advierte cuando las allowlists de canal dependen de nombres/correos electrónicos/etiquetas mutables en lugar de IDs estables (Discord, Slack, Google Chat, Microsoft Teams, Mattermost, ámbitos IRC donde corresponda). Advierte cuando gateway.auth.mode="none" deja las API HTTP de Gateway accesibles sin un secreto compartido (/tools/invoke más cualquier endpoint /v1/* habilitado). Los ajustes con prefijo dangerous/dangerously son sobrescrituras explícitas de emergencia del operador; habilitar uno no es, por sí mismo, un reporte de vulnerabilidad de seguridad. Para el inventario completo de parámetros peligrosos, consulta la sección “Resumen de flags inseguros o peligrosos” en Seguridad. Comportamiento de SecretRef:
  • security audit resuelve SecretRefs compatibles en modo de solo lectura para sus rutas objetivo.
  • Si un SecretRef no está disponible en la ruta del comando actual, la auditoría continúa y reporta secretDiagnostics (en lugar de fallar).
  • --token y --password solo sobrescriben la autenticación de sondeo profundo para esa invocación del comando; no reescriben la configuración ni los mapeos de SecretRef.

Salida JSON

Usa --json para comprobaciones de CI/política: 
openclaw security audit --json | jq '.summary'
openclaw security audit --deep --json | jq '.findings[] | select(.severity=="critical") | .checkId'
Si --fix y --json se combinan, la salida incluye tanto las acciones de corrección como el informe final: 
openclaw security audit --fix --json | jq '{fix: .fix.ok, summary: .report.summary}'

Qué cambia --fix

--fix aplica remediaciones seguras y deterministas:
  • cambia groupPolicy="open" común a groupPolicy="allowlist" (incluidas variantes de cuenta en canales compatibles)
  • cuando la política de grupos de WhatsApp cambia a allowlist, rellena groupAllowFrom desde el archivo allowFrom almacenado cuando esa lista existe y la configuración aún no define allowFrom
  • establece logging.redactSensitive de "off" a "tools"
  • refuerza los permisos de estado/configuración y archivos sensibles comunes (credentials/*.json, auth-profiles.json, sessions.json, *.jsonl de sesión)
  • también refuerza los archivos de inclusión de configuración referenciados desde openclaw.json
  • usa chmod en hosts POSIX y restablecimientos de icacls en Windows
--fix no:
  • rota tokens/contraseñas/claves de API
  • deshabilita herramientas (gateway, cron, exec, etc.)
  • cambia las decisiones de bind/autenticación/exposición de red de gateway
  • elimina ni reescribe plugins/Skills

Relacionado