fs.state_dir.perms_world_writable | critical | Інші користувачі/процеси можуть змінювати весь стан OpenClaw | права файлової системи для ~/.openclaw | так |
fs.state_dir.perms_group_writable | warn | Користувачі групи можуть змінювати весь стан OpenClaw | права файлової системи для ~/.openclaw | так |
fs.state_dir.perms_readable | warn | Каталог стану доступний для читання іншими | права файлової системи для ~/.openclaw | так |
fs.state_dir.symlink | warn | Ціль каталогу стану стає іншою межею довіри | структура файлової системи каталогу стану | ні |
fs.config.perms_writable | critical | Інші можуть змінювати політику автентифікації/інструментів/конфігурацію | права файлової системи для ~/.openclaw/openclaw.json | так |
fs.config.symlink | warn | Символьні посилання для файлів конфігурації не підтримуються для запису й додають ще одну межу довіри | замініть на звичайний файл конфігурації або вкажіть OPENCLAW_CONFIG_PATH на реальний файл | ні |
fs.config.perms_group_readable | warn | Користувачі групи можуть читати токени/налаштування конфігурації | права файлової системи для файла конфігурації | так |
fs.config.perms_world_readable | critical | Конфігурація може розкривати токени/налаштування | права файлової системи для файла конфігурації | так |
fs.config_include.perms_writable | critical | Файл включення конфігурації може бути змінений іншими | права файлів включення, на які посилається openclaw.json | так |
fs.config_include.perms_group_readable | warn | Користувачі групи можуть читати включені секрети/налаштування | права файлів включення, на які посилається openclaw.json | так |
fs.config_include.perms_world_readable | critical | Включені секрети/налаштування доступні для читання всім | права файлів включення, на які посилається openclaw.json | так |
fs.auth_profiles.perms_writable | critical | Інші можуть впроваджувати або замінювати збережені облікові дані моделі | права agents/<agentId>/agent/auth-profiles.json | так |
fs.auth_profiles.perms_readable | warn | Інші можуть читати API-ключі й OAuth-токени | права agents/<agentId>/agent/auth-profiles.json | так |
fs.credentials_dir.perms_writable | critical | Інші можуть змінювати стан спарювання каналу/облікових даних | права файлової системи для ~/.openclaw/credentials | так |
fs.credentials_dir.perms_readable | warn | Інші можуть читати стан облікових даних каналу | права файлової системи для ~/.openclaw/credentials | так |
fs.sessions_store.perms_readable | warn | Інші можуть читати стенограми сеансів/метадані | права сховища сеансів | так |
fs.log_file.perms_readable | warn | Інші можуть читати журнали, редаговані для приховування даних, але все ще чутливі | права файла журналу Gateway | так |
fs.synced_dir | warn | Стан/конфігурація в iCloud/Dropbox/Drive розширює зону доступу до токенів/стенограм | перемістіть конфігурацію/стан за межі синхронізованих папок | ні |
gateway.bind_no_auth | critical | Віддалене прив’язування без спільного секрету | gateway.bind, gateway.auth.* | ні |
gateway.loopback_no_auth | critical | local loopback за зворотним проксі може стати неавтентифікованим | gateway.auth.*, налаштування проксі | ні |
gateway.trusted_proxies_missing | warn | Заголовки зворотного проксі присутні, але не довірені | gateway.trustedProxies | ні |
gateway.http.no_auth | warn/critical | HTTP API Gateway доступні з auth.mode="none" | gateway.auth.mode, gateway.http.endpoints.* | ні |
gateway.http.session_key_override_enabled | info | Викликачі HTTP API можуть перевизначати sessionKey | gateway.http.allowSessionKeyOverride | ні |
gateway.tools_invoke_http.dangerous_allow | warn/critical | Повторно вмикає небезпечні інструменти через HTTP API | gateway.tools.allow | ні |
gateway.nodes.allow_commands_dangerous | warn/critical | Вмикає команди вузла з високим впливом (камера/екран/контакти/календар/SMS) | gateway.nodes.allowCommands | ні |
gateway.nodes.deny_commands_ineffective | warn | Записи deny, схожі на шаблони, не збігаються з текстом shell або групами | gateway.nodes.denyCommands | ні |
gateway.tailscale_funnel | critical | Доступність із публічного інтернету | gateway.tailscale.mode | ні |
gateway.tailscale_serve | info | Доступ у Tailnet увімкнено через Serve | gateway.tailscale.mode | ні |
gateway.control_ui.allowed_origins_required | critical | Control UI поза local loopback без явного списку дозволених browser-origin | gateway.controlUi.allowedOrigins | ні |
gateway.control_ui.allowed_origins_wildcard | warn/critical | allowedOrigins=["*"] вимикає список дозволених browser-origin | gateway.controlUi.allowedOrigins | ні |
gateway.control_ui.host_header_origin_fallback | warn/critical | Вмикає резервний варіант origin через заголовок Host (пониження захисту від DNS rebinding) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback | ні |
gateway.control_ui.insecure_auth | warn | Увімкнено перемикач сумісності з небезпечною автентифікацією | gateway.controlUi.allowInsecureAuth | ні |
gateway.control_ui.device_auth_disabled | critical | Вимикає перевірку ідентичності пристрою | gateway.controlUi.dangerouslyDisableDeviceAuth | ні |
gateway.real_ip_fallback_enabled | warn/critical | Довіра до резервного X-Real-IP може дозволити підміну IP-адреси джерела через помилкову конфігурацію проксі | gateway.allowRealIpFallback, gateway.trustedProxies | ні |
gateway.token_too_short | warn | Короткий спільний токен легше підібрати перебором | gateway.auth.token | ні |
gateway.auth_no_rate_limit | warn | Відкрита автентифікація без обмеження частоти збільшує ризик brute-force | gateway.auth.rateLimit | ні |
gateway.trusted_proxy_auth | critical | Ідентичність проксі тепер стає межею автентифікації | gateway.auth.mode="trusted-proxy" | ні |
gateway.trusted_proxy_no_proxies | critical | Автентифікація trusted-proxy без IP-адрес довірених проксі є небезпечною | gateway.trustedProxies | ні |
gateway.trusted_proxy_no_user_header | critical | Автентифікація trusted-proxy не може безпечно визначити ідентичність користувача | gateway.auth.trustedProxy.userHeader | ні |
gateway.trusted_proxy_no_allowlist | warn | Автентифікація trusted-proxy приймає будь-якого автентифікованого користувача upstream | gateway.auth.trustedProxy.allowUsers | ні |
gateway.probe_auth_secretref_unavailable | warn | Глибока перевірка не змогла розв’язати auth SecretRef у цьому шляху команди | джерело auth для глибокої перевірки / доступність SecretRef | ні |
gateway.probe_failed | warn/critical | Не вдалася жива перевірка Gateway | доступність/автентифікація Gateway | ні |
discovery.mdns_full_mode | warn/critical | Повний режим mDNS рекламує метадані cliPath/sshPort у локальній мережі | discovery.mdns.mode, gateway.bind | ні |
config.insecure_or_dangerous_flags | warn | Увімкнено будь-які небезпечні/ризиковані прапорці налагодження | кілька ключів (див. деталі результату перевірки) | ні |
config.secrets.gateway_password_in_config | warn | Пароль Gateway зберігається безпосередньо в конфігурації | gateway.auth.password | ні |
config.secrets.hooks_token_in_config | warn | Bearer-токен hooks зберігається безпосередньо в конфігурації | hooks.token | ні |
hooks.token_reuse_gateway_token | critical | Токен вхідного hooks також відкриває автентифікацію Gateway | hooks.token, gateway.auth.token | ні |
hooks.token_too_short | warn | Полегшує brute force для вхідного hooks | hooks.token | ні |
hooks.default_session_key_unset | warn | Агент hooks розгалужує виконання на згенеровані окремі сеанси для кожного запиту | hooks.defaultSessionKey | ні |
hooks.allowed_agent_ids_unrestricted | warn/critical | Автентифіковані викликачі hooks можуть спрямовувати запити до будь-якого налаштованого агента | hooks.allowedAgentIds | ні |
hooks.request_session_key_enabled | warn/critical | Зовнішній викликач може вибирати sessionKey | hooks.allowRequestSessionKey | ні |
hooks.request_session_key_prefixes_missing | warn/critical | Немає обмеження на форму зовнішніх ключів сеансу | hooks.allowedSessionKeyPrefixes | ні |
hooks.path_root | critical | Шлях hooks — це /, що полегшує колізії або хибну маршрутизацію вхідних запитів | hooks.path | ні |
hooks.installs_unpinned_npm_specs | warn | Записи встановлення hooks не закріплені за незмінними npm-специфікаціями | метадані встановлення hooks | ні |
hooks.installs_missing_integrity | warn | У записах встановлення hooks відсутні метадані цілісності | метадані встановлення hooks | ні |
hooks.installs_version_drift | warn | Записи встановлення hooks розходяться з установленими пакетами | метадані встановлення hooks | ні |
logging.redact_off | warn | Чутливі значення потрапляють у журнали/стан | logging.redactSensitive | так |
browser.control_invalid_config | warn | Конфігурація керування браузером недійсна ще до запуску | browser.* | ні |
browser.control_no_auth | critical | Керування браузером відкрите без автентифікації токеном/паролем | gateway.auth.* | ні |
browser.remote_cdp_http | warn | Віддалений CDP через звичайний HTTP не має шифрування транспорту | профіль браузера cdpUrl | ні |
browser.remote_cdp_private_host | warn | Віддалений CDP націлений на приватний/внутрішній хост | профіль браузера cdpUrl, browser.ssrfPolicy.* | ні |
sandbox.docker_config_mode_off | warn | Конфігурація Docker для Sandbox присутня, але неактивна | agents.*.sandbox.mode | ні |
sandbox.bind_mount_non_absolute | warn | Відносні bind mounts можуть розв’язуватися непередбачувано | agents.*.sandbox.docker.binds[] | ні |
sandbox.dangerous_bind_mount | critical | Bind mount Sandbox націлений на заблоковані системні шляхи, облікові дані або шляхи сокета Docker | agents.*.sandbox.docker.binds[] | ні |
sandbox.dangerous_network_mode | critical | Мережа Docker для Sandbox використовує режим host або container:* зі спільним простором імен | agents.*.sandbox.docker.network | ні |
sandbox.dangerous_seccomp_profile | critical | Профіль seccomp Sandbox послаблює ізоляцію контейнера | agents.*.sandbox.docker.securityOpt | ні |
sandbox.dangerous_apparmor_profile | critical | Профіль AppArmor Sandbox послаблює ізоляцію контейнера | agents.*.sandbox.docker.securityOpt | ні |
sandbox.browser_cdp_bridge_unrestricted | warn | Міст CDP браузера Sandbox відкритий без обмеження діапазону джерел | sandbox.browser.cdpSourceRange | ні |
sandbox.browser_container.non_loopback_publish | critical | Наявний контейнер браузера публікує CDP на інтерфейсах поза local loopback | конфігурація публікації контейнера браузера Sandbox | ні |
sandbox.browser_container.hash_label_missing | warn | Наявний контейнер браузера передує поточним міткам хеша конфігурації | openclaw sandbox recreate --browser --all | ні |
sandbox.browser_container.hash_epoch_stale | warn | Наявний контейнер браузера передує поточній епосі конфігурації браузера | openclaw sandbox recreate --browser --all | ні |
tools.exec.host_sandbox_no_sandbox_defaults | warn | exec host=sandbox завершується безпечною відмовою, коли Sandbox вимкнено | tools.exec.host, agents.defaults.sandbox.mode | ні |
tools.exec.host_sandbox_no_sandbox_agents | warn | Для окремого агента exec host=sandbox завершується безпечною відмовою, коли Sandbox вимкнено | agents.list[].tools.exec.host, agents.list[].sandbox.mode | ні |
tools.exec.security_full_configured | warn/critical | Host exec працює з security="full" | tools.exec.security, agents.list[].tools.exec.security | ні |
tools.exec.auto_allow_skills_enabled | warn | Погодження exec неявно довіряють бінарним файлам Skills | ~/.openclaw/exec-approvals.json | ні |
tools.exec.allowlist_interpreter_without_strict_inline_eval | warn | Дозволені списки інтерпретаторів допускають inline eval без примусового повторного погодження | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, allowlist погоджень exec | ні |
tools.exec.safe_bins_interpreter_unprofiled | warn | Бінарні файли інтерпретатора/середовища виконання в safeBins без явних профілів розширюють ризик exec | tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* | ні |
tools.exec.safe_bins_broad_behavior | warn | Інструменти з широкою поведінкою в safeBins послаблюють модель довіри з низьким ризиком для stdin-фільтра | tools.exec.safeBins, agents.list[].tools.exec.safeBins | ні |
tools.exec.safe_bin_trusted_dirs_risky | warn | safeBinTrustedDirs містить змінювані або ризиковані каталоги | tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs | ні |
skills.workspace.symlink_escape | warn | skills/**/SKILL.md у робочому просторі розв’язується за межі кореня робочого простору (дрейф ланцюжка символьних посилань) | стан файлової системи робочого простору skills/** | ні |
plugins.extensions_no_allowlist | warn | Plugins установлені без явного списку дозволених Plugins | plugins.allowlist | ні |
plugins.installs_unpinned_npm_specs | warn | Записи встановлення Plugins не закріплені за незмінними npm-специфікаціями | метадані встановлення Plugin | ні |
plugins.installs_missing_integrity | warn | У записах встановлення Plugin відсутні метадані цілісності | метадані встановлення Plugin | ні |
plugins.installs_version_drift | warn | Записи встановлення Plugin розходяться з установленими пакетами | метадані встановлення Plugin | ні |
plugins.code_safety | warn/critical | Сканування коду Plugin виявило підозрілі або небезпечні шаблони | код Plugin / джерело встановлення | ні |
plugins.code_safety.entry_path | warn | Шлях входу Plugin вказує на приховані розташування або node_modules | entry у маніфесті Plugin | ні |
plugins.code_safety.entry_escape | critical | Точка входу Plugin виходить за межі каталогу Plugin | entry у маніфесті Plugin | ні |
plugins.code_safety.scan_failed | warn | Сканування коду Plugin не вдалося завершити | шлях Plugin / середовище сканування | ні |
skills.code_safety | warn/critical | Метадані/код інсталятора Skill містять підозрілі або небезпечні шаблони | джерело встановлення Skill | ні |
skills.code_safety.scan_failed | warn | Сканування коду Skill не вдалося завершити | середовище сканування Skill | ні |
security.exposure.open_channels_with_exec | warn/critical | Спільні/публічні кімнати можуть звертатися до агентів з увімкненим exec | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* | ні |
security.exposure.open_groups_with_elevated | critical | Відкриті групи + привілейовані інструменти створюють шляхи prompt injection з високим впливом | channels.*.groupPolicy, tools.elevated.* | ні |
security.exposure.open_groups_with_runtime_or_fs | critical/warn | Відкриті групи можуть звертатися до інструментів команд/файлів без захисту Sandbox/робочого простору | channels.*.groupPolicy, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode | ні |
security.trust_model.multi_user_heuristic | warn | Конфігурація виглядає багатокористувацькою, тоді як модель довіри Gateway — personal-assistant | розділіть межі довіри або застосуйте посилення безпеки для спільних користувачів (sandbox.mode, deny інструментів/обмеження робочого простору) | ні |
tools.profile_minimal_overridden | warn | Перевизначення агента обходять глобальний мінімальний профіль | agents.list[].tools.profile | ні |
plugins.tools_reachable_permissive_policy | warn | Інструменти розширень доступні в контекстах із м’якою політикою | tools.profile + allow/deny інструментів | ні |
models.legacy | warn | Сімейства застарілих моделей усе ще налаштовані | вибір моделі | ні |
models.weak_tier | warn | Налаштовані моделі нижчі за поточні рекомендовані рівні | вибір моделі | ні |
models.small_params | critical/info | Малі моделі + небезпечні поверхні інструментів підвищують ризик injection | вибір моделі + політика Sandbox/інструментів | ні |
summary.attack_surface | info | Зведений підсумок стану автентифікації, каналів, інструментів і поверхні експозиції | кілька ключів (див. деталі результату перевірки) | ні |
