--- read_when: - Вы увидели конкретный `checkId` в выводе `openclaw security audit` и хотите понять, что он означает - Вам нужен ключ/путь исправления для заданной находки - Вы оцениваете уровень серьезности в рамках выполнения аудита безопасности summary: Справочный каталог checkIds, выдаваемых openclaw security audit title: Проверки аудита безопасности x-i18n: generated_at: "2026-06-28T23:00:48Z" model: gpt-5.5 postprocess_version: locale-links-v1 provider: openai source_hash: 458498c81034624dc168135bc0748e9fe6e474160bb599f651cb96eafdcb070f source_path: gateway/security/audit-checks.md workflow: 16 --- `openclaw security audit` выводит структурированные результаты проверок, привязанные к `checkId`. Эта страница является справочным каталогом для этих ID. Общее описание модели угроз и рекомендации по усилению защиты см. в разделе [Безопасность](/ru/gateway/security). Высокосигнальные значения `checkId`, которые вы, скорее всего, увидите в реальных развертываниях (список не исчерпывающий): | `checkId` | Серьезность | Почему это важно | Основной ключ/путь исправления | Автоисправление | | ------------------------------------------------------------- | --------------------------- | -------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- | --------------- | | `fs.state_dir.perms_world_writable` | критическая | Другие пользователи/процессы могут изменять все состояние OpenClaw | права файловой системы на `~/.openclaw` | да | | `fs.state_dir.perms_group_writable` | предупреждение | Пользователи группы могут изменять все состояние OpenClaw | права файловой системы на `~/.openclaw` | да | | `fs.state_dir.perms_readable` | предупреждение | Каталог состояния доступен для чтения другим | права файловой системы на `~/.openclaw` | да | | `fs.state_dir.symlink` | предупреждение | Цель каталога состояния становится другой границей доверия | структура файловой системы каталога состояния | нет | | `fs.config.perms_writable` | критическая | Другие могут изменять политику/конфигурацию аутентификации и инструментов | права файловой системы на `~/.openclaw/openclaw.json` | да | | `fs.config.symlink` | предупреждение | Конфигурационные файлы-символические ссылки не поддерживаются для записи и добавляют другую границу доверия | замените обычным конфигурационным файлом или укажите `OPENCLAW_CONFIG_PATH` на реальный файл | нет | | `fs.config.perms_group_readable` | предупреждение | Пользователи группы могут читать токены/настройки конфигурации | права файловой системы на конфигурационный файл | да | | `fs.config.perms_world_readable` | критическая | Конфигурация может раскрывать токены/настройки | права файловой системы на конфигурационный файл | да | | `fs.config_include.perms_writable` | критическая | Включаемый конфигурационный файл может быть изменен другими | права включаемого файла, на который ссылается `openclaw.json` | да | | `fs.config_include.perms_group_readable` | предупреждение | Пользователи группы могут читать включенные секреты/настройки | права включаемого файла, на который ссылается `openclaw.json` | да | | `fs.config_include.perms_world_readable` | критическая | Включенные секреты/настройки доступны для чтения всем | права включаемого файла, на который ссылается `openclaw.json` | да | | `fs.auth_profiles.perms_writable` | критическая | Другие могут внедрять или заменять сохраненные учетные данные моделей | права `agents//agent/auth-profiles.json` | да | | `fs.auth_profiles.perms_readable` | предупреждение | Другие могут читать API-ключи и токены OAuth | права `agents//agent/auth-profiles.json` | да | | `fs.credentials_dir.perms_writable` | критическая | Другие могут изменять состояние сопряжения каналов/учетных данных | права файловой системы на `~/.openclaw/credentials` | да | | `fs.credentials_dir.perms_readable` | предупреждение | Другие могут читать состояние учетных данных канала | права файловой системы на `~/.openclaw/credentials` | да | | `fs.sessions_store.perms_readable` | предупреждение | Другие могут читать расшифровки сеансов/метаданные | права хранилища сеансов | да | | `fs.log_file.perms_readable` | предупреждение | Другие могут читать отредактированные, но все еще чувствительные журналы | права файла журнала Gateway | да | | `fs.synced_dir` | предупреждение | Состояние/конфигурация в iCloud/Dropbox/Drive расширяет раскрытие токенов/расшифровок | переместите конфигурацию/состояние из синхронизируемых папок | нет | | `gateway.bind_no_auth` | критическая | Удаленная привязка без общего секрета | `gateway.bind`, `gateway.auth.*` | нет | | `gateway.loopback_no_auth` | критическая | Обратное проксирование local loopback может стать неаутентифицированным | `gateway.auth.*`, настройка прокси | нет | | `gateway.trusted_proxies_missing` | предупреждение | Заголовки обратного прокси присутствуют, но не являются доверенными | `gateway.trustedProxies` | нет | | `gateway.http.no_auth` | предупреждение/критическая | HTTP API Gateway доступны с `auth.mode="none"` | `gateway.auth.mode`, `gateway.http.endpoints.*`, `plugins.entries.admin-http-rpc` | нет | | `gateway.http.session_key_override_enabled` | информация | Вызывающие HTTP API могут переопределять `sessionKey` | `gateway.http.allowSessionKeyOverride` | нет | | `gateway.tools_invoke_http.dangerous_allow` | предупреждение/критическая | Повторно включает опасные инструменты через HTTP API для вызывающих владельцев/администраторов | `gateway.tools.allow` | нет | | `gateway.nodes.allow_commands_dangerous` | предупреждение/критическая | Включает команды узлов с высоким воздействием (камера/экран/контакты/календарь/SMS) | `gateway.nodes.allowCommands` | нет | | `gateway.nodes.deny_commands_ineffective` | предупреждение | Записи запрета, похожие на шаблоны, не совпадают с текстом оболочки или группами | `gateway.nodes.denyCommands` | нет | | `gateway.tailscale_funnel` | критическая | Раскрытие в публичный интернет | `gateway.tailscale.mode` | нет | | `gateway.tailscale_serve` | информация | Доступ из tailnet включен через Serve | `gateway.tailscale.mode` | нет | | `gateway.control_ui.allowed_origins_required` | критическая | Control UI не на local loopback без явного списка разрешенных источников браузера | `gateway.controlUi.allowedOrigins` | нет | | `gateway.control_ui.allowed_origins_wildcard` | предупреждение/критическая | `allowedOrigins=["*"]` отключает список разрешенных источников браузера | `gateway.controlUi.allowedOrigins` | нет | | `gateway.control_ui.host_header_origin_fallback` | предупреждение/критическая | Включает fallback источника по заголовку Host (ослабление защиты от DNS rebinding) | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback` | нет | | `gateway.control_ui.insecure_auth` | предупреждение | Включен переключатель совместимости небезопасной аутентификации | `gateway.controlUi.allowInsecureAuth` | нет | | `gateway.control_ui.device_auth_disabled` | критическая | Отключает проверку идентичности устройства | `gateway.controlUi.dangerouslyDisableDeviceAuth` | нет | | `gateway.real_ip_fallback_enabled` | предупреждение/критическая | Доверие fallback `X-Real-IP` может включить подмену исходного IP через неверную настройку прокси | `gateway.allowRealIpFallback`, `gateway.trustedProxies` | нет | | `gateway.token_too_short` | предупреждение | Короткий общий токен легче подобрать перебором | `gateway.auth.token` | нет | | `gateway.auth_no_rate_limit` | предупреждение | Открытая аутентификация без ограничения частоты повышает риск перебора | `gateway.auth.rateLimit` | нет | | `gateway.trusted_proxy_auth` | критическая | Идентичность прокси теперь становится границей аутентификации | `gateway.auth.mode="trusted-proxy"` | нет | | `gateway.trusted_proxy_no_proxies` | критическая | Аутентификация через доверенный прокси без IP доверенных прокси небезопасна | `gateway.trustedProxies` | нет | | `gateway.trusted_proxy_no_user_header` | критическая | Аутентификация через доверенный прокси не может безопасно определить идентичность пользователя | `gateway.auth.trustedProxy.userHeader` | нет | | `gateway.trusted_proxy_no_allowlist` | предупреждение | Аутентификация через доверенный прокси принимает любого аутентифицированного вышестоящего пользователя | `gateway.auth.trustedProxy.allowUsers` | нет | | `gateway.trusted_proxy_allow_loopback` | warn | Аутентификация доверенного прокси принимает явно разрешенные источники прокси loopback | `gateway.auth.trustedProxy.allowLoopback` | no | | `gateway.probe_auth_secretref_unavailable` | warn | Глубокая проверка не смогла разрешить SecretRefs аутентификации в этом пути команды | источник аутентификации deep-probe / доступность SecretRef | no | | `gateway.probe_failed` | warn/critical | Живая проверка Gateway завершилась ошибкой | доступность Gateway/аутентификация | no | | `discovery.mdns_full_mode` | warn/critical | Полный режим mDNS объявляет метаданные `cliPath`/`sshPort` в локальной сети | `discovery.mdns.mode`, `gateway.bind` | no | | `config.insecure_or_dangerous_flags` | warn | Включен один небезопасный/опасный флаг отладки | ключ, указанный в деталях результата проверки | no | | `security.audit.suppressions.active` | info | Вывод аудита содержит настроенные подавления и может быть отфильтрован | `security.audit.suppressions` | no | | `config.secrets.gateway_password_in_config` | warn | Пароль Gateway хранится непосредственно в конфигурации | `gateway.auth.password` | no | | `config.secrets.hooks_token_in_config` | warn | Bearer-токен Hook хранится непосредственно в конфигурации | `hooks.token` | no | | `hooks.token_reuse_gateway_token` | critical | Токен входящего Hook также разблокирует аутентификацию Gateway | `hooks.token`, `gateway.auth.token`, `gateway.auth.password` | no | | `hooks.token_too_short` | warn | Более простой перебор входящего Hook | `hooks.token` | no | | `hooks.default_session_key_unset` | warn | Запуски агента Hook расходятся по сгенерированным сеансам на запрос | `hooks.defaultSessionKey` | no | | `hooks.allowed_agent_ids_unrestricted` | warn/critical | Аутентифицированные вызывающие Hook могут маршрутизировать к любому настроенному агенту | `hooks.allowedAgentIds` | no | | `hooks.request_session_key_enabled` | warn/critical | Внешний вызывающий может выбрать sessionKey | `hooks.allowRequestSessionKey` | no | | `hooks.request_session_key_prefixes_missing` | warn/critical | Нет ограничения на формы внешних ключей сеанса | `hooks.allowedSessionKeyPrefixes` | no | | `hooks.path_root` | critical | Путь Hook равен `/`, из-за чего входящий трафик легче конфликтует или маршрутизируется неверно | `hooks.path` | no | | `hooks.installs_unpinned_npm_specs` | warn | Записи установки Hook не привязаны к неизменяемым спецификациям npm | метаданные установки Hook | no | | `hooks.installs_missing_integrity` | warn | В записях установки Hook отсутствуют метаданные целостности | метаданные установки Hook | no | | `hooks.installs_version_drift` | warn | Записи установки Hook расходятся с установленными пакетами | метаданные установки Hook | no | | `logging.redact_off` | warn | Чувствительные значения попадают в журналы/статус | `logging.redactSensitive` | yes | | `browser.control_invalid_config` | warn | Конфигурация управления браузером недействительна до выполнения | `browser.*` | no | | `browser.control_no_auth` | critical | Управление браузером открыто без аутентификации по токену/паролю | `gateway.auth.*` | no | | `browser.remote_cdp_http` | warn | Удаленный CDP по обычному HTTP не имеет транспортного шифрования | профиль браузера `cdpUrl` | no | | `browser.remote_cdp_private_host` | warn | Удаленный CDP нацелен на частный/внутренний хост | профиль браузера `cdpUrl`, `browser.ssrfPolicy.*` | no | | `sandbox.docker_config_mode_off` | warn | Конфигурация Docker песочницы присутствует, но неактивна | `agents.*.sandbox.mode` | no | | `sandbox.bind_mount_non_absolute` | warn | Относительные bind mount могут разрешаться непредсказуемо | `agents.*.sandbox.docker.binds[]` | no | | `sandbox.dangerous_bind_mount` | critical | Bind mount песочницы нацелен на заблокированные системные пути, учетные данные или пути сокета Docker | `agents.*.sandbox.docker.binds[]` | no | | `sandbox.dangerous_network_mode` | critical | Сеть Docker песочницы использует режим присоединения к пространству имен `host` или `container:*` | `agents.*.sandbox.docker.network` | no | | `sandbox.dangerous_seccomp_profile` | critical | Профиль seccomp песочницы ослабляет изоляцию контейнера | `agents.*.sandbox.docker.securityOpt` | no | | `sandbox.dangerous_apparmor_profile` | critical | Профиль AppArmor песочницы ослабляет изоляцию контейнера | `agents.*.sandbox.docker.securityOpt` | no | | `sandbox.browser_cdp_bridge_unrestricted` | warn | Мост браузера песочницы открыт без ограничения диапазона источников | `sandbox.browser.cdpSourceRange` | no | | `sandbox.browser_container.non_loopback_publish` | critical | Существующий контейнер браузера публикует CDP на интерфейсах не loopback | конфигурация публикации контейнера браузерной песочницы | no | | `sandbox.browser_container.hash_label_missing` | warn | Существующий контейнер браузера создан до текущих меток хеша конфигурации | `openclaw sandbox recreate --browser --all` | no | | `sandbox.browser_container.hash_epoch_stale` | warn | Существующий контейнер браузера создан до текущей эпохи конфигурации браузера | `openclaw sandbox recreate --browser --all` | no | | `tools.exec.host_sandbox_no_sandbox_defaults` | warn | `exec host=sandbox` отказывает закрыто, когда песочница выключена | `tools.exec.host`, `agents.defaults.sandbox.mode` | no | | `tools.exec.host_sandbox_no_sandbox_agents` | warn | Агентский `exec host=sandbox` отказывает закрыто, когда песочница выключена | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode` | no | | `tools.exec.security_full_configured` | warn/critical | Выполнение на хосте работает с `security="full"` | `tools.exec.security`, `agents.list[].tools.exec.security` | no | | `tools.exec.fs_tools_disabled_but_exec_enabled` | warn | Политика файловых инструментов не делает выполнение shell доступным только для чтения | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess` | no | | `tools.exec.auto_allow_skills_enabled` | warn | Одобрения exec неявно доверяют исполняемым файлам Skills | файл одобрений хоста | no | | `tools.exec.allowlist_interpreter_without_strict_inline_eval` | warn | Списки разрешенных интерпретаторов допускают inline eval без принудительного повторного одобрения | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, список разрешений одобрений exec | no | | `tools.exec.safe_bins_interpreter_unprofiled` | warn | Исполняемые файлы интерпретаторов/сред выполнения в `safeBins` без явных профилей расширяют риск exec | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*` | no | | `tools.exec.safe_bins_broad_behavior` | warn | Инструменты широкого поведения в `safeBins` ослабляют низкорисковую модель доверия с фильтрацией stdin | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins` | no | | `tools.exec.safe_bin_trusted_dirs_risky` | warn | `safeBinTrustedDirs` включает изменяемые или рискованные каталоги | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs` | no | | `skills.workspace.symlink_escape` | warn | `skills/**/SKILL.md` рабочей области разрешается за пределы корня рабочей области (дрейф цепочки символьных ссылок) | состояние файловой системы рабочей области `skills/**` | нет | | `plugins.extensions_no_allowlist` | warn | Plugins установлены без явного списка разрешенных plugins | `plugins.allowlist` | нет | | `plugins.installs_unpinned_npm_specs` | warn | Записи индекса Plugin не закреплены за неизменяемыми спецификациями npm | метаданные установки plugin | нет | | `plugins.installs_missing_integrity` | warn | В записях индекса Plugin отсутствуют метаданные целостности | метаданные установки plugin | нет | | `plugins.installs_version_drift` | warn | Записи индекса Plugin расходятся с установленными пакетами | метаданные установки plugin | нет | | `plugins.code_safety` | warn/critical | Сканирование кода Plugin обнаружило подозрительные или опасные паттерны | код plugin / источник установки | нет | | `plugins.code_safety.entry_path` | warn | Путь входа Plugin указывает на скрытые расположения или расположения `node_modules` | `entry` манифеста plugin | нет | | `plugins.code_safety.entry_escape` | critical | Точка входа Plugin выходит за пределы каталога plugin | `entry` манифеста plugin | нет | | `plugins.code_safety.scan_failed` | warn | Сканирование кода Plugin не удалось завершить | путь plugin / среда сканирования | нет | | `skills.code_safety` | warn/critical | Метаданные/код установщика Skill содержит подозрительные или опасные паттерны | источник установки skill | нет | | `skills.code_safety.scan_failed` | warn | Сканирование кода skill не удалось завершить | среда сканирования skill | нет | | `security.exposure.open_channels_with_exec` | warn/critical | Общие/публичные комнаты могут получать доступ к агентам с включенным exec | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*` | нет | | `security.exposure.open_groups_with_elevated` | critical | Открытые личные сообщения/группы + расширенные инструменты создают высокоопасные пути prompt-injection | пути политик личных сообщений верхнего уровня или вложенные, переопределения аккаунтов, `channels.*.groupPolicy` | нет | | `security.exposure.open_groups_with_runtime_or_fs` | critical/warn | Открытые личные сообщения/группы могут получать доступ к инструментам команд/файлов без защит sandbox/рабочей области | пути политик личных сообщений/групп, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode` | нет | | `security.trust_model.multi_user_heuristic` | warn | Конфигурация выглядит многопользовательской, тогда как модель доверия Gateway рассчитана на личного ассистента | разделенные границы доверия или усиление защиты для общих пользователей (`sandbox.mode`, запрет инструментов/ограничение областью рабочей области) | нет | | `tools.profile_minimal_overridden` | warn | Переопределения агента обходят глобальный минимальный профиль | `agents.list[].tools.profile` | нет | | `plugins.tools_reachable_permissive_policy` | warn | Инструменты расширений доступны в разрешительных контекстах | `tools.profile` + разрешение/запрет инструментов | нет | | `models.legacy` | warn | Устаревшие семейства моделей все еще настроены | выбор модели | нет | | `models.weak_tier` | warn | Настроенные модели ниже текущих рекомендуемых уровней | выбор модели | нет | | `models.small_params` | critical/info | Малые модели + небезопасные поверхности инструментов повышают риск инъекций | выбор модели + политика sandbox/инструментов | нет | | `summary.attack_surface` | info | Сводная оценка состояния аутентификации, каналов, инструментов и подверженности рискам | несколько ключей (см. сведения о находке) | нет | ## Связанные материалы - [Безопасность](/ru/gateway/security) - [Конфигурация](/ru/gateway/configuration) - [Аутентификация доверенного прокси](/ru/gateway/trusted-proxy-auth)