fs.state_dir.perms_world_writable | critical | 他のユーザー/プロセスがOpenClawの状態全体を変更できる | ~/.openclaw のファイルシステム権限 | yes |
fs.state_dir.perms_group_writable | warn | 同一グループのユーザーがOpenClawの状態全体を変更できる | ~/.openclaw のファイルシステム権限 | yes |
fs.state_dir.perms_readable | warn | stateディレクトリが他者から読み取り可能 | ~/.openclaw のファイルシステム権限 | yes |
fs.state_dir.symlink | warn | stateディレクトリの参照先が別の信頼境界になる | stateディレクトリのファイルシステム配置 | no |
fs.config.perms_writable | critical | 他者が認証/ツールポリシー/configを変更できる | ~/.openclaw/openclaw.json のファイルシステム権限 | yes |
fs.config.symlink | warn | シンボリックリンクされたconfigファイルは書き込み非対応で、別の信頼境界も追加する | 通常のconfigファイルへ置き換えるか、実ファイルを OPENCLAW_CONFIG_PATH で指定 | no |
fs.config.perms_group_readable | warn | 同一グループのユーザーがconfig内のトークン/設定を読める | configファイルのファイルシステム権限 | yes |
fs.config.perms_world_readable | critical | configからトークン/設定が露出する可能性がある | configファイルのファイルシステム権限 | yes |
fs.config_include.perms_writable | critical | config includeファイルを他者が変更できる | openclaw.json から参照されるincludeファイルの権限 | yes |
fs.config_include.perms_group_readable | warn | 同一グループのユーザーがincludeされたシークレット/設定を読める | openclaw.json から参照されるincludeファイルの権限 | yes |
fs.config_include.perms_world_readable | critical | includeされたシークレット/設定が誰でも読み取り可能 | openclaw.json から参照されるincludeファイルの権限 | yes |
fs.auth_profiles.perms_writable | critical | 他者が保存済みモデル認証情報を注入または置換できる | agents/<agentId>/agent/auth-profiles.json の権限 | yes |
fs.auth_profiles.perms_readable | warn | 他者がAPIキーやOAuthトークンを読める | agents/<agentId>/agent/auth-profiles.json の権限 | yes |
fs.credentials_dir.perms_writable | critical | 他者がチャンネルのペアリング/認証情報状態を変更できる | ~/.openclaw/credentials のファイルシステム権限 | yes |
fs.credentials_dir.perms_readable | warn | 他者がチャンネル認証情報状態を読める | ~/.openclaw/credentials のファイルシステム権限 | yes |
fs.sessions_store.perms_readable | warn | 他者がセッショントランスクリプト/メタデータを読める | セッションストアの権限 | yes |
fs.log_file.perms_readable | warn | 他者が、マスク済みでも依然として機微なログを読める | Gatewayログファイルの権限 | yes |
fs.synced_dir | warn | iCloud/Dropbox/Drive内のstate/configはトークン/トランスクリプト露出範囲を広げる | config/stateを同期フォルダ外へ移動する | no |
gateway.bind_no_auth | critical | 共有シークレットなしでリモートbindしている | gateway.bind, gateway.auth.* | no |
gateway.loopback_no_auth | critical | リバースプロキシされたloopbackが認証なしになる可能性がある | gateway.auth.*, proxy設定 | no |
gateway.trusted_proxies_missing | warn | リバースプロキシヘッダーは存在するが信頼されていない | gateway.trustedProxies | no |
gateway.http.no_auth | warn/critical | auth.mode="none" でGateway HTTP APIへ到達可能 | gateway.auth.mode, gateway.http.endpoints.* | no |
gateway.http.session_key_override_enabled | info | HTTP API呼び出し元が sessionKey を上書きできる | gateway.http.allowSessionKeyOverride | no |
gateway.tools_invoke_http.dangerous_allow | warn/critical | HTTP API経由で危険なツールを再び有効にする | gateway.tools.allow | no |
gateway.nodes.allow_commands_dangerous | warn/critical | 影響の大きいNodeコマンド(camera/screen/contacts/calendar/SMS)を有効化する | gateway.nodes.allowCommands | no |
gateway.nodes.deny_commands_ineffective | warn | パターン風のdenyエントリはシェルテキストやグループに一致しない | gateway.nodes.denyCommands | no |
gateway.tailscale_funnel | critical | 公開インターネットへ露出している | gateway.tailscale.mode | no |
gateway.tailscale_serve | info | Serve経由でTailnet公開が有効になっている | gateway.tailscale.mode | no |
gateway.control_ui.allowed_origins_required | critical | loopback以外のControl UIに明示的なブラウザーorigin許可リストがない | gateway.controlUi.allowedOrigins | no |
gateway.control_ui.allowed_origins_wildcard | warn/critical | allowedOrigins=["*"] によりブラウザーorigin許可リストが無効化される | gateway.controlUi.allowedOrigins | no |
gateway.control_ui.host_header_origin_fallback | warn/critical | Hostヘッダーoriginフォールバックを有効にし、DNS rebinding対策を弱める | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback | no |
gateway.control_ui.insecure_auth | warn | insecure-auth互換トグルが有効 | gateway.controlUi.allowInsecureAuth | no |
gateway.control_ui.device_auth_disabled | critical | デバイスIDチェックを無効化する | gateway.controlUi.dangerouslyDisableDeviceAuth | no |
gateway.real_ip_fallback_enabled | warn/critical | X-Real-IP フォールバックを信頼すると、プロキシ設定ミス時に送信元IPスプーフィングが可能 | gateway.allowRealIpFallback, gateway.trustedProxies | no |
gateway.token_too_short | warn | 短い共有トークンは総当たりされやすい | gateway.auth.token | no |
gateway.auth_no_rate_limit | warn | 公開された認証にレート制限がないと総当たりリスクが高まる | gateway.auth.rateLimit | no |
gateway.trusted_proxy_auth | critical | proxy IDが認証境界になる | gateway.auth.mode="trusted-proxy" | no |
gateway.trusted_proxy_no_proxies | critical | 信頼済みプロキシIPなしのtrusted-proxy認証は危険 | gateway.trustedProxies | no |
gateway.trusted_proxy_no_user_header | critical | trusted-proxy認証でユーザーIDを安全に解決できない | gateway.auth.trustedProxy.userHeader | no |
gateway.trusted_proxy_no_allowlist | warn | trusted-proxy認証が認証済み上流ユーザーをすべて受け入れる | gateway.auth.trustedProxy.allowUsers | no |
checkId | 重大度 | 重要な理由 | 主なfix key/path | 自動修正 |
| ------------------------------------------------------------- | ------------- | -------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- | -------- |
gateway.probe_auth_secretref_unavailable | warn | このコマンド経路ではdeep probeが認証SecretRefを解決できなかった | deep-probe認証ソース / SecretRefの利用可否 | no |
gateway.probe_failed | warn/critical | Gatewayへのライブプローブに失敗した | Gateway到達性/認証 | no |
discovery.mdns_full_mode | warn/critical | mDNS full modeがローカルネットワーク上に cliPath/sshPort メタデータを広告する | discovery.mdns.mode, gateway.bind | no |
config.insecure_or_dangerous_flags | warn | 安全でない/危険なデバッグフラグが有効になっている | 複数キー(検出結果の詳細を参照) | no |
config.secrets.gateway_password_in_config | warn | Gatewayパスワードがconfigに直接保存されている | gateway.auth.password | no |
config.secrets.hooks_token_in_config | warn | Hook bearer tokenがconfigに直接保存されている | hooks.token | no |
hooks.token_reuse_gateway_token | critical | Hook受信トークンがGateway認証の解除にも使える | hooks.token, gateway.auth.token | no |
hooks.token_too_short | warn | Hook受信で総当たりしやすい | hooks.token | no |
hooks.default_session_key_unset | warn | Hookエージェント実行がリクエストごとに生成されるセッションへ分散する | hooks.defaultSessionKey | no |
hooks.allowed_agent_ids_unrestricted | warn/critical | 認証済みHook呼び出し元が任意の設定済みエージェントへルーティングできる | hooks.allowedAgentIds | no |
hooks.request_session_key_enabled | warn/critical | 外部呼び出し元がsessionKeyを選択できる | hooks.allowRequestSessionKey | no |
hooks.request_session_key_prefixes_missing | warn/critical | 外部session keyの形に制限がない | hooks.allowedSessionKeyPrefixes | no |
hooks.path_root | critical | Hookパスが / のため、受信が衝突または誤ルーティングしやすい | hooks.path | no |
hooks.installs_unpinned_npm_specs | warn | Hookインストール記録が不変のnpm指定に固定されていない | hookインストールメタデータ | no |
hooks.installs_missing_integrity | warn | Hookインストール記録にintegrityメタデータがない | hookインストールメタデータ | no |
hooks.installs_version_drift | warn | Hookインストール記録がインストール済みパッケージとずれている | hookインストールメタデータ | no |
logging.redact_off | warn | 機微な値がログ/statusへ漏れる | logging.redactSensitive | yes |
browser.control_invalid_config | warn | 実行前のbrowser control設定が無効 | browser.* | no |
browser.control_no_auth | critical | Browser controlがトークン/パスワード認証なしで公開されている | gateway.auth.* | no |
browser.remote_cdp_http | warn | プレーンHTTP上のリモートCDPには転送暗号化がない | browser profile cdpUrl | no |
browser.remote_cdp_private_host | warn | リモートCDPがprivate/internalホストを対象にしている | browser profile cdpUrl, browser.ssrfPolicy.* | no |
sandbox.docker_config_mode_off | warn | sandbox Docker設定があるが無効状態 | agents.*.sandbox.mode | no |
sandbox.bind_mount_non_absolute | warn | 相対bind mountは予測しにくい解決結果になる | agents.*.sandbox.docker.binds[] | no |
sandbox.dangerous_bind_mount | critical | sandbox bind mountの対象が、ブロック対象のシステム/認証情報/Dockerソケットパスである | agents.*.sandbox.docker.binds[] | no |
sandbox.dangerous_network_mode | critical | sandbox Dockerネットワークが host または container:* 名前空間結合モードを使っている | agents.*.sandbox.docker.network | no |
sandbox.dangerous_seccomp_profile | critical | sandbox seccompプロファイルがコンテナ分離を弱める | agents.*.sandbox.docker.securityOpt | no |
sandbox.dangerous_apparmor_profile | critical | sandbox AppArmorプロファイルがコンテナ分離を弱める | agents.*.sandbox.docker.securityOpt | no |
sandbox.browser_cdp_bridge_unrestricted | warn | sandbox browser bridgeが送信元範囲制限なしで公開されている | sandbox.browser.cdpSourceRange | no |
sandbox.browser_container.non_loopback_publish | critical | 既存のbrowserコンテナが非loopbackインターフェースでCDPを公開している | browser sandboxコンテナのpublish設定 | no |
sandbox.browser_container.hash_label_missing | warn | 既存のbrowserコンテナが現在のconfig-hashラベル以前のもの | openclaw sandbox recreate --browser --all | no |
sandbox.browser_container.hash_epoch_stale | warn | 既存のbrowserコンテナが現在のbrowser config epoch以前のもの | openclaw sandbox recreate --browser --all | no |
tools.exec.host_sandbox_no_sandbox_defaults | warn | exec host=sandbox はsandboxがオフだとfail closedする | tools.exec.host, agents.defaults.sandbox.mode | no |
tools.exec.host_sandbox_no_sandbox_agents | warn | エージェントごとの exec host=sandbox はsandboxがオフだとfail closedする | agents.list[].tools.exec.host, agents.list[].sandbox.mode | no |
tools.exec.security_full_configured | warn/critical | ホストexecが security="full" で動作している | tools.exec.security, agents.list[].tools.exec.security | no |
tools.exec.auto_allow_skills_enabled | warn | exec承認がSkillのbinを暗黙に信頼する | ~/.openclaw/exec-approvals.json | no |
tools.exec.allowlist_interpreter_without_strict_inline_eval | warn | インタープリター許可リストが、再承認強制なしでインラインevalを許可する | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, exec approvals allowlist | no |
tools.exec.safe_bins_interpreter_unprofiled | warn | safeBins 内のインタープリター/ランタイムbinに明示的プロファイルがなく、execリスクが広がる | tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* | no |
tools.exec.safe_bins_broad_behavior | warn | safeBins 内の広範な動作を持つツールが、低リスクstdin-filter信頼モデルを弱める | tools.exec.safeBins, agents.list[].tools.exec.safeBins | no |
tools.exec.safe_bin_trusted_dirs_risky | warn | safeBinTrustedDirs に変更可能または危険なディレクトリが含まれる | tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs | no |
skills.workspace.symlink_escape | warn | workspace skills/**/SKILL.md がworkspaceルート外へ解決される(symlinkチェーンのずれ) | workspace skills/** のファイルシステム状態 | no |
plugins.extensions_no_allowlist | warn | 明示的なPlugin許可リストなしでPluginがインストールされている | plugins.allowlist | no |
plugins.installs_unpinned_npm_specs | warn | Pluginインストール記録が不変のnpm指定に固定されていない | Pluginインストールメタデータ | no |
checkId | 重大度 | 重要な理由 | 主なfix key/path | 自動修正 |
| ------------------------------------------------------------- | ------------- | -------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- | -------- |
plugins.installs_missing_integrity | warn | Pluginインストール記録にintegrityメタデータがない | Pluginインストールメタデータ | no |
plugins.installs_version_drift | warn | Pluginインストール記録がインストール済みパッケージとずれている | Pluginインストールメタデータ | no |
plugins.code_safety | warn/critical | Pluginコードスキャンで疑わしい、または危険なパターンが見つかった | Pluginコード / インストール元 | no |
plugins.code_safety.entry_path | warn | Pluginエントリーパスが隠し場所または node_modules 配下を指している | Pluginマニフェスト entry | no |
plugins.code_safety.entry_escape | critical | PluginエントリーがPluginディレクトリ外へ逸脱している | Pluginマニフェスト entry | no |
plugins.code_safety.scan_failed | warn | Pluginコードスキャンを完了できなかった | Pluginパス / スキャン環境 | no |
skills.code_safety | warn/critical | Skillインストーラーメタデータ/コードに疑わしい、または危険なパターンがある | Skillインストール元 | no |
skills.code_safety.scan_failed | warn | Skillコードスキャンを完了できなかった | Skillスキャン環境 | no |
security.exposure.open_channels_with_exec | warn/critical | 共有/公開ルームからexec有効エージェントへ到達できる | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* | no |
security.exposure.open_groups_with_elevated | critical | 開放グループ + 昇格ツールにより高インパクトなプロンプトインジェクション経路が生まれる | channels.*.groupPolicy, tools.elevated.* | no |
security.exposure.open_groups_with_runtime_or_fs | critical/warn | 開放グループからsandbox/workspaceガードなしでコマンド/ファイルツールへ到達できる | channels.*.groupPolicy, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode | no |
security.trust_model.multi_user_heuristic | warn | configがマルチユーザー構成に見える一方で、Gateway信頼モデルは個人アシスタント前提 | 信頼境界を分離する、または共有ユーザーハードニング(sandbox.mode、tool deny/workspace scoping`) | no |
tools.profile_minimal_overridden | warn | エージェント上書きがグローバルminimalプロファイルを回避している | agents.list[].tools.profile | no |
plugins.tools_reachable_permissive_policy | warn | 緩いポリシー下でextensionツールへ到達可能 | tools.profile + ツール allow/deny | no |
models.legacy | warn | 旧世代のモデルファミリーがまだ設定されている | モデル選択 | no |
models.weak_tier | warn | 設定済みモデルが現在推奨される階層より低い | モデル選択 | no |
models.small_params | critical/info | 小型モデル + 安全でないツール面によりインジェクションリスクが高まる | モデル選択 + sandbox/ツールポリシー | no |
summary.attack_surface | info | 認証、チャンネル、ツール、公開範囲の姿勢に関する集約サマリー | 複数キー(検出結果の詳細を参照) | no |
