Güvenlik denetimi kontrolleri

openclaw security audit, checkId ile anahtarlanmış yapılandırılmış bulgular üretir. Bu sayfa, bu kimlikler için başvuru kataloğudur. Üst düzey tehdit modeli ve sağlamlaştırma rehberliği için Güvenlik bölümüne bakın. Gerçek dağıtımlarda büyük olasılıkla göreceğiniz yüksek sinyal değerine sahip checkId değerleri (kapsamlı değildir):

`checkId`	Önem derecesi	Neden önemli	Birincil düzeltme anahtarı/yolu	Otomatik düzeltme
`fs.state_dir.perms_world_writable`	kritik	Diğer kullanıcılar/süreçler tüm OpenClaw durumunu değiştirebilir	`~/.openclaw` üzerinde dosya sistemi izinleri	evet
`fs.state_dir.perms_group_writable`	uyarı	Grup kullanıcıları tüm OpenClaw durumunu değiştirebilir	`~/.openclaw` üzerinde dosya sistemi izinleri	evet
`fs.state_dir.perms_readable`	uyarı	Durum dizini başkaları tarafından okunabilir	`~/.openclaw` üzerinde dosya sistemi izinleri	evet
`fs.state_dir.symlink`	uyarı	Durum dizini hedefi başka bir güven sınırı haline gelir	durum dizini dosya sistemi yerleşimi	hayır
`fs.config.perms_writable`	kritik	Başkaları kimlik doğrulama/araç ilkesi/yapılandırmasını değiştirebilir	`~/.openclaw/openclaw.json` üzerinde dosya sistemi izinleri	evet
`fs.config.symlink`	uyarı	Sembolik bağlı yapılandırma dosyaları yazma için desteklenmez ve başka bir güven sınırı ekler	normal bir yapılandırma dosyasıyla değiştirin veya `OPENCLAW_CONFIG_PATH` değerini gerçek dosyaya yönlendirin	hayır
`fs.config.perms_group_readable`	uyarı	Grup kullanıcıları yapılandırma tokenlarını/ayarlarını okuyabilir	yapılandırma dosyasında dosya sistemi izinleri	evet
`fs.config.perms_world_readable`	kritik	Yapılandırma tokenları/ayarları açığa çıkarabilir	yapılandırma dosyasında dosya sistemi izinleri	evet
`fs.config_include.perms_writable`	kritik	Yapılandırma include dosyası başkaları tarafından değiştirilebilir	`openclaw.json` içinden başvurulan include dosyası izinleri	evet
`fs.config_include.perms_group_readable`	uyarı	Grup kullanıcıları dahil edilen sırları/ayarları okuyabilir	`openclaw.json` içinden başvurulan include dosyası izinleri	evet
`fs.config_include.perms_world_readable`	kritik	Dahil edilen sırlar/ayarlar herkes tarafından okunabilir	`openclaw.json` içinden başvurulan include dosyası izinleri	evet
`fs.auth_profiles.perms_writable`	kritik	Başkaları saklanan model kimlik bilgilerini enjekte edebilir veya değiştirebilir	`agents/<agentId>/agent/auth-profiles.json` izinleri	evet
`fs.auth_profiles.perms_readable`	uyarı	Başkaları API anahtarlarını ve OAuth tokenlarını okuyabilir	`agents/<agentId>/agent/auth-profiles.json` izinleri	evet
`fs.credentials_dir.perms_writable`	kritik	Başkaları kanal eşleştirme/kimlik bilgisi durumunu değiştirebilir	`~/.openclaw/credentials` üzerinde dosya sistemi izinleri	evet
`fs.credentials_dir.perms_readable`	uyarı	Başkaları kanal kimlik bilgisi durumunu okuyabilir	`~/.openclaw/credentials` üzerinde dosya sistemi izinleri	evet
`fs.sessions_store.perms_readable`	uyarı	Başkaları oturum transkriptlerini/meta verilerini okuyabilir	oturum deposu izinleri	evet
`fs.log_file.perms_readable`	uyarı	Başkaları redakte edilmiş ama hâlâ hassas günlükleri okuyabilir	Gateway günlük dosyası izinleri	evet
`fs.synced_dir`	uyarı	iCloud/Dropbox/Drive içindeki durum/yapılandırma, token/transkript maruziyetini genişletir	yapılandırmayı/durumu eşitlenen klasörlerin dışına taşıyın	hayır
`gateway.bind_no_auth`	kritik	Paylaşılan sır olmadan uzak bind	`gateway.bind`, `gateway.auth.*`	hayır
`gateway.loopback_no_auth`	kritik	Ters proxy üzerinden sunulan loopback kimlik doğrulamasız hale gelebilir	`gateway.auth.*`, proxy kurulumu	hayır
`gateway.trusted_proxies_missing`	uyarı	Ters proxy üst bilgileri mevcut ama güvenilir değil	`gateway.trustedProxies`	hayır
`gateway.http.no_auth`	uyarı/kritik	Gateway HTTP API’leri `auth.mode="none"` ile erişilebilir	`gateway.auth.mode`, `gateway.http.endpoints.*`	hayır
`gateway.http.session_key_override_enabled`	bilgi	HTTP API çağıranları `sessionKey` değerini geçersiz kılabilir	`gateway.http.allowSessionKeyOverride`	hayır
`gateway.tools_invoke_http.dangerous_allow`	uyarı/kritik	Tehlikeli araçları HTTP API üzerinden yeniden etkinleştirir	`gateway.tools.allow`	hayır
`gateway.nodes.allow_commands_dangerous`	uyarı/kritik	Yüksek etkili node komutlarını etkinleştirir (kamera/ekran/kişiler/takvim/SMS)	`gateway.nodes.allowCommands`	hayır
`gateway.nodes.deny_commands_ineffective`	uyarı	Kalıp benzeri deny girdileri shell metniyle veya gruplarla eşleşmez	`gateway.nodes.denyCommands`	hayır
`gateway.tailscale_funnel`	kritik	Genel internet maruziyeti	`gateway.tailscale.mode`	hayır
`gateway.tailscale_serve`	bilgi	Tailnet maruziyeti Serve üzerinden etkinleştirilmiş	`gateway.tailscale.mode`	hayır
`gateway.control_ui.allowed_origins_required`	kritik	Açık tarayıcı origin izin listesi olmadan loopback olmayan Control UI	`gateway.controlUi.allowedOrigins`	hayır
`gateway.control_ui.allowed_origins_wildcard`	uyarı/kritik	`allowedOrigins=["*"]` tarayıcı origin izin listesini devre dışı bırakır	`gateway.controlUi.allowedOrigins`	hayır
`gateway.control_ui.host_header_origin_fallback`	uyarı/kritik	Host üst bilgisi origin fallback özelliğini etkinleştirir (DNS rebinding sertleştirmesini düşürür)	`gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`	hayır
`gateway.control_ui.insecure_auth`	uyarı	Güvensiz kimlik doğrulama uyumluluk anahtarı etkinleştirilmiş	`gateway.controlUi.allowInsecureAuth`	hayır
`gateway.control_ui.device_auth_disabled`	kritik	Cihaz kimliği denetimini devre dışı bırakır	`gateway.controlUi.dangerouslyDisableDeviceAuth`	hayır
`gateway.real_ip_fallback_enabled`	uyarı/kritik	`X-Real-IP` fallback değerine güvenmek, proxy yanlış yapılandırması üzerinden kaynak IP sahteciliğine olanak tanıyabilir	`gateway.allowRealIpFallback`, `gateway.trustedProxies`	hayır
`gateway.token_too_short`	uyarı	Kısa paylaşılan token brute force ile daha kolay kırılır	`gateway.auth.token`	hayır
`gateway.auth_no_rate_limit`	uyarı	Hız sınırlaması olmadan açığa çıkarılan kimlik doğrulama brute force riskini artırır	`gateway.auth.rateLimit`	hayır
`gateway.trusted_proxy_auth`	kritik	Proxy kimliği artık kimlik doğrulama sınırı haline gelir	`gateway.auth.mode="trusted-proxy"`	hayır
`gateway.trusted_proxy_no_proxies`	kritik	Güvenilir proxy IP’leri olmadan trusted-proxy kimlik doğrulaması güvensizdir	`gateway.trustedProxies`	hayır
`gateway.trusted_proxy_no_user_header`	kritik	Trusted-proxy kimlik doğrulaması kullanıcı kimliğini güvenli şekilde çözümleyemez	`gateway.auth.trustedProxy.userHeader`	hayır
`gateway.trusted_proxy_no_allowlist`	uyarı	Trusted-proxy kimlik doğrulaması, kimliği doğrulanmış herhangi bir upstream kullanıcıyı kabul eder	`gateway.auth.trustedProxy.allowUsers`	hayır
`gateway.trusted_proxy_allow_loopback`	uyarı	Trusted-proxy kimlik doğrulaması açıkça izin verilen loopback proxy kaynaklarını kabul ediyor	`gateway.auth.trustedProxy.allowLoopback`	hayır
`gateway.probe_auth_secretref_unavailable`	uyarı	Derin yoklama bu komut yolunda kimlik doğrulama SecretRef’lerini çözemedi	derin yoklama kimlik doğrulama kaynağı / SecretRef kullanılabilirliği	hayır
`gateway.probe_failed`	uyarı/kritik	Canlı Gateway yoklaması başarısız oldu	gateway erişilebilirliği/kimlik doğrulaması	hayır
`discovery.mdns_full_mode`	uyarı/kritik	mDNS tam modu yerel ağda `cliPath`/`sshPort` meta verilerini duyurur	`discovery.mdns.mode`, `gateway.bind`	hayır
`config.insecure_or_dangerous_flags`	uyarı	Herhangi bir güvensiz/tehlikeli hata ayıklama bayrağı etkin	birden çok anahtar (bulgu ayrıntısına bakın)	hayır
`config.secrets.gateway_password_in_config`	uyarı	Gateway parolası doğrudan yapılandırmada saklanıyor	`gateway.auth.password`	hayır
`config.secrets.hooks_token_in_config`	uyarı	Hook bearer token’ı doğrudan yapılandırmada saklanıyor	`hooks.token`	hayır
`hooks.token_reuse_gateway_token`	kritik	Hook giriş token’ı Gateway kimlik doğrulamasının da kilidini açıyor	`hooks.token`, `gateway.auth.token`	hayır
`hooks.token_too_short`	uyarı	Hook girişinde brute force’u kolaylaştırır	`hooks.token`	hayır
`hooks.default_session_key_unset`	uyarı	Hook ajan çalıştırmaları oluşturulan istek başına oturumlara yayılır	`hooks.defaultSessionKey`	hayır
`hooks.allowed_agent_ids_unrestricted`	uyarı/kritik	Kimliği doğrulanmış hook çağıranları yapılandırılmış herhangi bir ajana yönlendirebilir	`hooks.allowedAgentIds`	hayır
`hooks.request_session_key_enabled`	uyarı/kritik	Dış çağıran sessionKey seçebilir	`hooks.allowRequestSessionKey`	hayır
`hooks.request_session_key_prefixes_missing`	uyarı/kritik	Dış oturum anahtarı biçimleri için sınır yok	`hooks.allowedSessionKeyPrefixes`	hayır
`hooks.path_root`	kritik	Hook yolu `/`, bu da girişin çakışmasını veya yanlış yönlendirilmesini kolaylaştırır	`hooks.path`	hayır
`hooks.installs_unpinned_npm_specs`	uyarı	Hook kurulum kayıtları değişmez npm belirtimlerine sabitlenmemiş	hook kurulum meta verileri	hayır
`hooks.installs_missing_integrity`	uyarı	Hook kurulum kayıtlarında bütünlük meta verileri yok	hook kurulum meta verileri	hayır
`hooks.installs_version_drift`	uyarı	Hook kurulum kayıtları kurulu paketlerden sapıyor	hook kurulum meta verileri	hayır
`logging.redact_off`	uyarı	Hassas değerler günlüklere/duruma sızar	`logging.redactSensitive`	evet
`browser.control_invalid_config`	uyarı	Browser kontrol yapılandırması çalışma zamanından önce geçersiz	`browser.*`	hayır
`browser.control_no_auth`	kritik	Browser kontrolü token/parola kimlik doğrulaması olmadan açığa çıkarılmış	`gateway.auth.*`	hayır
`browser.remote_cdp_http`	uyarı	Düz HTTP üzerinden uzak CDP taşıma şifrelemesinden yoksun	browser profili `cdpUrl`	hayır
`browser.remote_cdp_private_host`	uyarı	Uzak CDP özel/dahili bir ana bilgisayarı hedefliyor	browser profili `cdpUrl`, `browser.ssrfPolicy.*`	hayır
`sandbox.docker_config_mode_off`	uyarı	Sandbox Docker yapılandırması mevcut ancak etkin değil	`agents.*.sandbox.mode`	hayır
`sandbox.bind_mount_non_absolute`	uyarı	Göreli bind mount’lar öngörülemez biçimde çözümlenebilir	`agents.*.sandbox.docker.binds[]`	hayır
`sandbox.dangerous_bind_mount`	kritik	Sandbox bind mount’ı engellenmiş sistem, kimlik bilgisi veya Docker soketi yollarını hedefliyor	`agents.*.sandbox.docker.binds[]`	hayır
`sandbox.dangerous_network_mode`	kritik	Sandbox Docker ağı `host` veya `container:*` namespace-birleştirme modunu kullanıyor	`agents.*.sandbox.docker.network`	hayır
`sandbox.dangerous_seccomp_profile`	kritik	Sandbox seccomp profili konteyner izolasyonunu zayıflatıyor	`agents.*.sandbox.docker.securityOpt`	hayır
`sandbox.dangerous_apparmor_profile`	kritik	Sandbox AppArmor profili konteyner izolasyonunu zayıflatıyor	`agents.*.sandbox.docker.securityOpt`	hayır
`sandbox.browser_cdp_bridge_unrestricted`	uyarı	Sandbox browser köprüsü kaynak aralığı kısıtlaması olmadan açığa çıkarılmış	`sandbox.browser.cdpSourceRange`	hayır
`sandbox.browser_container.non_loopback_publish`	kritik	Mevcut browser konteyneri CDP’yi loopback olmayan arayüzlerde yayımlıyor	browser sandbox konteyner yayımlama yapılandırması	hayır
`sandbox.browser_container.hash_label_missing`	uyarı	Mevcut browser konteyneri güncel yapılandırma karması etiketlerinden daha eski	`openclaw sandbox recreate --browser --all`	hayır
`sandbox.browser_container.hash_epoch_stale`	uyarı	Mevcut browser konteyneri güncel browser yapılandırma epoch’undan daha eski	`openclaw sandbox recreate --browser --all`	hayır
`tools.exec.host_sandbox_no_sandbox_defaults`	uyarı	Sandbox kapalıyken `exec host=sandbox` güvenli kapalı durumda başarısız olur	`tools.exec.host`, `agents.defaults.sandbox.mode`	hayır
`tools.exec.host_sandbox_no_sandbox_agents`	uyarı	Sandbox kapalıyken ajan başına `exec host=sandbox` güvenli kapalı durumda başarısız olur	`agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`	hayır
`tools.exec.security_full_configured`	uyarı/kritik	Ana bilgisayar exec’i `security="full"` ile çalışıyor	`tools.exec.security`, `agents.list[].tools.exec.security`	hayır
`tools.exec.fs_tools_disabled_but_exec_enabled`	uyarı	Dosya sistemi aracı ilkesi kabuk yürütmeyi salt okunur yapmaz	`tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess`	hayır
`tools.exec.auto_allow_skills_enabled`	uyarı	Exec onayları skill bin’lerine örtük olarak güvenir	`~/.openclaw/exec-approvals.json`	hayır
`tools.exec.allowlist_interpreter_without_strict_inline_eval`	uyarı	Yorumlayıcı izin listeleri zorunlu yeniden onay olmadan inline eval’e izin verir	`tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, exec onayları izin listesi	hayır
`tools.exec.safe_bins_interpreter_unprofiled`	uyarı	Açık profiller olmadan `safeBins` içindeki yorumlayıcı/çalışma zamanı bin’leri exec riskini genişletir	`tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`	hayır
`tools.exec.safe_bins_broad_behavior`	uyarı	`safeBins` içindeki geniş davranışlı araçlar düşük riskli stdin filtre güven modelini zayıflatır	`tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`	hayır
`tools.exec.safe_bin_trusted_dirs_risky`	uyarı	`safeBinTrustedDirs` değiştirilebilir veya riskli dizinler içeriyor	`tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs`	hayır
`skills.workspace.symlink_escape`	uyarı	Çalışma alanı `skills/**/SKILL.md` çalışma alanı kökü dışına çözümleniyor (sembolik bağlantı zinciri sapması)	çalışma alanı `skills/**` dosya sistemi durumu	hayır
`plugins.extensions_no_allowlist`	warn	Plugin’ler açık bir Plugin izin listesi olmadan yüklenmiş	`plugins.allowlist`	hayır
`plugins.installs_unpinned_npm_specs`	warn	Plugin dizini kayıtları değişmez npm belirtimlerine sabitlenmemiş	Plugin yükleme meta verileri	hayır
`plugins.installs_missing_integrity`	warn	Plugin dizini kayıtlarında bütünlük meta verileri yok	Plugin yükleme meta verileri	hayır
`plugins.installs_version_drift`	warn	Plugin dizini kayıtları yüklü paketlerden sapıyor	Plugin yükleme meta verileri	hayır
`plugins.code_safety`	warn/critical	Plugin kodu taraması şüpheli veya tehlikeli kalıplar buldu	Plugin kodu / yükleme kaynağı	hayır
`plugins.code_safety.entry_path`	warn	Plugin giriş yolu gizli veya `node_modules` konumlarını işaret ediyor	Plugin manifest `entry`	hayır
`plugins.code_safety.entry_escape`	critical	Plugin girişi Plugin dizininin dışına çıkıyor	Plugin manifest `entry`	hayır
`plugins.code_safety.scan_failed`	warn	Plugin kodu taraması tamamlanamadı	Plugin yolu / tarama ortamı	hayır
`skills.code_safety`	warn/critical	Skill yükleyici meta verileri/kodu şüpheli veya tehlikeli kalıplar içeriyor	Skill yükleme kaynağı	hayır
`skills.code_safety.scan_failed`	warn	Skill kodu taraması tamamlanamadı	Skill tarama ortamı	hayır
`security.exposure.open_channels_with_exec`	warn/critical	Paylaşılan/genel odalar, exec etkinleştirilmiş aracılara ulaşabilir	`channels..dmPolicy`, `channels..groupPolicy`, `tools.exec.`, `agents.list[].tools.exec.`	hayır
`security.exposure.open_groups_with_elevated`	critical	Açık gruplar + yükseltilmiş araçlar, yüksek etkili prompt enjeksiyonu yolları oluşturur	`channels..groupPolicy`, `tools.elevated.`	hayır
`security.exposure.open_groups_with_runtime_or_fs`	critical/warn	Açık gruplar, sandbox/çalışma alanı korumaları olmadan komut/dosya araçlarına ulaşabilir	`channels..groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents..sandbox.mode`	hayır
`security.trust_model.multi_user_heuristic`	warn	Yapılandırma çok kullanıcılı görünüyor, ancak Gateway güven modeli kişisel asistandır	güven sınırlarını ayırın veya paylaşılan kullanıcı güçlendirmesi (`sandbox.mode`, araç reddi/çalışma alanı kapsamı)	hayır
`tools.profile_minimal_overridden`	warn	Aracı geçersiz kılmaları global minimal profili atlıyor	`agents.list[].tools.profile`	hayır
`plugins.tools_reachable_permissive_policy`	warn	Uzantı araçlarına izin verici bağlamlarda ulaşılabilir	`tools.profile` + araç izin verme/reddetme	hayır
`models.legacy`	warn	Eski model aileleri hâlâ yapılandırılmış	model seçimi	hayır
`models.weak_tier`	warn	Yapılandırılmış modeller mevcut önerilen katmanların altında	model seçimi	hayır
`models.small_params`	critical/info	Küçük modeller + güvenli olmayan araç yüzeyleri enjeksiyon riskini artırır	model seçimi + sandbox/araç politikası	hayır
`summary.attack_surface`	info	Kimlik doğrulama, kanal, araç ve maruz kalma duruşunun toplu özeti	birden çok anahtar (bulgu ayrıntısına bakın)	hayır

Gateway

Remote access

Security

Nodes and media

Web interfaces