Gateway
Sicherheitsaudit-Prüfungen
openclaw security audit gibt strukturierte Befunde aus, die nach checkId geordnet sind. Diese
Seite ist der Referenzkatalog für diese IDs. Das allgemeine Bedrohungsmodell
und Hinweise zur Absicherung finden Sie unter Sicherheit.
Einige Prüfungen werden nur mit openclaw security audit --deep ausgeführt: Scans des Plugin-/Skill-Codes
(plugins.code_safety*, skills.code_safety*) und Prüfungen durch aktive Gateway-Sondierung
(gateway.probe_*). Alle anderen Prüfungen in dieser Tabelle werden bei einem einfachen
openclaw security audit ausgeführt.
Ein Schweregrad wie warn/critical bedeutet, dass dieselbe checkId je nach
Konfiguration auf einer der beiden Stufen ausgegeben werden kann (beispielsweise abhängig davon, ob das Gateway aus der Ferne
erreichbar ist). Besonders aussagekräftige Werte, die Ihnen in realen Bereitstellungen am wahrscheinlichsten begegnen werden (nicht
vollständig):
checkId |
Schweregrad | Warum dies wichtig ist | Primärer Schlüssel/Pfad zur Behebung | Automatische Behebung |
|---|---|---|---|---|
fs.state_dir.perms_world_writable |
kritisch | Andere Benutzer/Prozesse können den gesamten OpenClaw-Zustand ändern | Dateisystemberechtigungen für ~/.openclaw |
ja |
fs.state_dir.perms_group_writable |
Warnung | Gruppenbenutzer können den gesamten OpenClaw-Zustand ändern | Dateisystemberechtigungen für ~/.openclaw |
ja |
fs.state_dir.perms_readable |
Warnung | Das Zustandsverzeichnis ist für andere lesbar | Dateisystemberechtigungen für ~/.openclaw |
ja |
fs.state_dir.symlink |
Warnung | Das Ziel des Zustandsverzeichnisses wird zu einer weiteren Vertrauensgrenze | Dateisystemstruktur des Zustandsverzeichnisses | nein |
fs.config.perms_writable |
kritisch | Andere können Authentifizierungs-/Tool-Richtlinien und die Konfiguration ändern | Dateisystemberechtigungen für ~/.openclaw/openclaw.json |
ja |
fs.config.symlink |
Warnung | Über Symlinks verknüpfte Konfigurationsdateien werden beim Schreiben nicht unterstützt und fügen eine weitere Vertrauensgrenze hinzu | Durch eine reguläre Konfigurationsdatei ersetzen oder OPENCLAW_CONFIG_PATH auf die tatsächliche Datei verweisen |
nein |
fs.config.perms_group_readable |
Warnung | Gruppenbenutzer können Konfigurationstoken/-einstellungen lesen | Dateisystemberechtigungen für die Konfigurationsdatei | ja |
fs.config.perms_world_readable |
kritisch | Die Konfiguration kann Token/Einstellungen offenlegen | Dateisystemberechtigungen für die Konfigurationsdatei | ja |
fs.config_include.perms_writable |
kritisch | Die eingebundene Konfigurationsdatei kann von anderen geändert werden | Berechtigungen der in openclaw.json referenzierten eingebundenen Datei |
ja |
fs.config_include.perms_group_readable |
Warnung | Gruppenbenutzer können eingebundene Geheimnisse/Einstellungen lesen | Berechtigungen der in openclaw.json referenzierten eingebundenen Datei |
ja |
fs.config_include.perms_world_readable |
kritisch | Eingebundene Geheimnisse/Einstellungen sind weltweit lesbar | Berechtigungen der in openclaw.json referenzierten eingebundenen Datei |
ja |
fs.auth_profiles.perms_writable |
kritisch | Andere können gespeicherte Modell-Anmeldedaten einschleusen oder ersetzen | Berechtigungen für agents/<agentId>/agent/auth-profiles.json |
ja |
fs.auth_profiles.perms_readable |
Warnung | Andere können API-Schlüssel und OAuth-Token lesen | Berechtigungen für agents/<agentId>/agent/auth-profiles.json |
ja |
fs.credentials_dir.perms_writable |
kritisch | Andere können den Kopplungs-/Anmeldedatenzustand von Kanälen ändern | Dateisystemberechtigungen für ~/.openclaw/credentials |
ja |
fs.credentials_dir.perms_readable |
Warnung | Andere können den Anmeldedatenzustand von Kanälen lesen | Dateisystemberechtigungen für ~/.openclaw/credentials |
ja |
fs.sessions_store.perms_readable |
Warnung | Andere können Sitzungstranskripte/-metadaten lesen | Berechtigungen des Sitzungsspeichers | ja |
fs.log_file.perms_readable |
Warnung | Andere können geschwärzte, aber weiterhin vertrauliche Protokolle lesen | Berechtigungen der Gateway-Protokolldatei | ja |
fs.synced_dir |
Warnung | Zustand/Konfiguration in iCloud/Dropbox/Drive erhöht das Risiko der Offenlegung von Token/Transkripten | Konfiguration/Zustand aus synchronisierten Ordnern verschieben | nein |
gateway.bind_no_auth |
kritisch | Remote-Bindung ohne gemeinsames Geheimnis | gateway.bind, gateway.auth.* |
nein |
gateway.loopback_no_auth |
kritisch | Per Reverse-Proxy weitergeleiteter Loopback-Zugriff kann unauthentifiziert werden | gateway.auth.*, Proxy-Einrichtung |
nein |
gateway.trusted_proxies_missing |
Warnung | Reverse-Proxy-Header sind vorhanden, werden jedoch nicht als vertrauenswürdig eingestuft | gateway.trustedProxies |
nein |
gateway.http.no_auth |
Warnung/kritisch | Gateway-HTTP-APIs sind mit auth.mode="none" erreichbar |
gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpc |
nein |
gateway.http.session_key_override_enabled |
Information | Aufrufer der HTTP-API können sessionKey überschreiben |
gateway.http.allowSessionKeyOverride |
nein |
gateway.tools_invoke_http.dangerous_allow |
Warnung/kritisch | Aktiviert gefährliche Tools über die HTTP-API für Eigentümer-/Administratoraufrufer erneut | gateway.tools.allow |
nein |
gateway.nodes.allow_commands_dangerous |
Warnung/kritisch | Aktiviert Node-Befehle mit weitreichenden Auswirkungen (Desktop-Eingabe/Kamera/Bildschirm/Kontakte/Kalender/SMS) | gateway.nodes.allowCommands |
nein |
gateway.nodes.deny_commands_ineffective |
Warnung | Musterartige Verweigerungseinträge stimmen nicht mit Shell-Text oder Gruppen überein | gateway.nodes.denyCommands |
nein |
gateway.tailscale_funnel |
kritisch | Offenlegung im öffentlichen Internet | gateway.tailscale.mode |
nein |
gateway.tailscale_serve |
Information | Die Offenlegung im Tailnet ist über Serve aktiviert | gateway.tailscale.mode |
nein |
gateway.control_ui.allowed_origins_required |
kritisch | Control UI außerhalb von Loopback ohne explizite Zulassungsliste für Browser-Ursprünge | gateway.controlUi.allowedOrigins |
nein |
gateway.control_ui.allowed_origins_wildcard |
Warnung/kritisch | allowedOrigins=["*"] deaktiviert die Zulassungsliste für Browser-Ursprünge |
gateway.controlUi.allowedOrigins |
nein |
gateway.control_ui.host_header_origin_fallback |
Warnung/kritisch | Aktiviert den Host-Header-Ursprungs-Fallback (schwächt die Absicherung gegen DNS-Rebinding) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback |
nein |
gateway.control_ui.insecure_auth |
Warnung | Kompatibilitätsschalter für unsichere Authentifizierung ist aktiviert | gateway.controlUi.allowInsecureAuth |
nein |
gateway.control_ui.device_auth_disabled |
kritisch | Deaktiviert die Prüfung der Geräteidentität | gateway.controlUi.dangerouslyDisableDeviceAuth |
nein |
gateway.real_ip_fallback_enabled |
Warnung/kritisch | Das Vertrauen in den X-Real-IP-Fallback kann bei einer Proxy-Fehlkonfiguration die Fälschung der Quell-IP ermöglichen |
gateway.allowRealIpFallback, gateway.trustedProxies |
nein |
gateway.token_too_short |
Warnung | Ein kurzes gemeinsames Token lässt sich leichter durch Brute Force knacken | gateway.auth.token |
nein |
gateway.auth_no_rate_limit |
Warnung | Offen erreichbare Authentifizierung ohne Ratenbegrenzung erhöht das Brute-Force-Risiko | gateway.auth.rateLimit |
nein |
gateway.trusted_proxy_auth |
kritisch | Die Proxy-Identität wird nun zur Authentifizierungsgrenze | gateway.auth.mode="trusted-proxy" |
nein |
gateway.trusted_proxy_no_proxies |
kritisch | Authentifizierung über vertrauenswürdige Proxys ohne vertrauenswürdige Proxy-IPs ist unsicher | gateway.trustedProxies |
nein |
gateway.trusted_proxy_no_user_header |
kritisch | Trusted-Proxy-Authentifizierung kann die Benutzeridentität nicht sicher ermitteln | gateway.auth.trustedProxy.userHeader |
nein |
gateway.trusted_proxy_no_allowlist |
Warnung | Trusted-Proxy-Authentifizierung akzeptiert jeden authentifizierten vorgelagerten Benutzer | gateway.auth.trustedProxy.allowUsers |
nein |
gateway.trusted_proxy_allow_loopback |
Warnung | Trusted-Proxy-Authentifizierung akzeptiert ausdrücklich erlaubte Loopback-Proxy-Quellen | gateway.auth.trustedProxy.allowLoopback |
nein |
gateway.probe_auth_secretref_unavailable |
Warnung | Die Tiefenprüfung konnte Authentifizierungs-SecretRefs in diesem Befehlspfad nicht auflösen | Authentifizierungsquelle der Tiefenprüfung / SecretRef-Verfügbarkeit | nein |
gateway.probe_failed |
Warnung | Live-Gateway-Prüfung fehlgeschlagen (nur --deep) |
Erreichbarkeit/Authentifizierung des Gateways | nein |
discovery.mdns_full_mode |
Warnung/kritisch | Der vollständige mDNS-Modus veröffentlicht cliPath-/sshPort-Metadaten im lokalen Netzwerk |
discovery.mdns.mode, gateway.bind |
nein |
config.insecure_or_dangerous_flags |
Warnung | Ein unsicheres/gefährliches Debug-Flag ist aktiviert | im Befunddetail genannter Schlüssel | nein |
security.audit.suppressions.active |
Info | Für die Audit-Ausgabe sind Unterdrückungen konfiguriert, weshalb sie gefiltert sein kann | security.audit.suppressions |
nein |
config.secrets.gateway_password_in_config |
Warnung | Das Gateway-Passwort wird direkt in der Konfiguration gespeichert | gateway.auth.password |
nein |
config.secrets.hooks_token_in_config |
Warnung | Das Hook-Bearer-Token wird direkt in der Konfiguration gespeichert | hooks.token |
nein |
hooks.token_reuse_gateway_token |
kritisch | Das Hook-Eingangs-Token entsperrt auch die Gateway-Authentifizierung | hooks.token, gateway.auth.token, gateway.auth.password |
nein |
hooks.token_too_short |
Warnung | Erleichtert Brute-Force-Angriffe auf den Hook-Eingang | hooks.token |
nein |
hooks.default_session_key_unset |
Warnung | Hook-Agent-Ausführungen verteilen sich auf generierte Sitzungen pro Anfrage | hooks.defaultSessionKey |
nein |
hooks.allowed_agent_ids_unrestricted |
Warnung/kritisch | Authentifizierte Hook-Aufrufer können an jeden konfigurierten Agent weiterleiten | hooks.allowedAgentIds |
nein |
hooks.request_session_key_enabled |
Warnung/kritisch | Ein externer Aufrufer kann den sessionKey auswählen | hooks.allowRequestSessionKey |
nein |
hooks.request_session_key_prefixes_missing |
Warnung/kritisch | Keine Beschränkung für die Form externer Sitzungsschlüssel | hooks.allowedSessionKeyPrefixes |
nein |
hooks.path_root |
kritisch | Der Hook-Pfad ist /, wodurch es leichter zu Kollisionen oder Fehlleitungen am Eingang kommt |
hooks.path |
nein |
hooks.installs_unpinned_npm_specs |
Warnung | Hook-Installationsdatensätze sind nicht an unveränderliche npm-Spezifikationen gebunden | Hook-Installationsmetadaten | nein |
hooks.installs_missing_integrity |
Warnung | Hook-Installationsdatensätzen fehlen Integritätsmetadaten | Hook-Installationsmetadaten | nein |
hooks.installs_version_drift |
Warnung | Hook-Installationsdatensätze weichen von den installierten Paketen ab | Hook-Installationsmetadaten | nein |
logging.redact_off |
Warnung | Vertrauliche Werte gelangen in Protokolle/Status | logging.redactSensitive |
ja |
browser.control_invalid_config |
Warnung | Die Browsersteuerungskonfiguration ist bereits vor der Laufzeit ungültig | browser.* |
nein |
browser.control_no_auth |
kritisch | Browsersteuerung ist ohne Token-/Passwortauthentifizierung zugänglich | gateway.auth.* |
nein |
browser.remote_cdp_http |
Warnung | Remote-CDP über unverschlüsseltes HTTP bietet keine Transportverschlüsselung | Browserprofil cdpUrl |
nein |
browser.remote_cdp_private_host |
Warnung | Remote-CDP ist auf einen privaten/internen Host ausgerichtet | Browserprofil cdpUrl, browser.ssrfPolicy.* |
nein |
sandbox.docker_config_mode_off |
Warnung | Sandbox-Docker-Konfiguration ist vorhanden, aber inaktiv | agents.*.sandbox.mode |
nein |
sandbox.bind_mount_non_absolute |
Warnung | Relative Bind-Mounts können unvorhersehbar aufgelöst werden | agents.*.sandbox.docker.binds[] |
nein |
sandbox.dangerous_bind_mount |
kritisch | Sandbox-Bind-Mount zielt auf blockierte System-, Anmeldedaten- oder Docker-Socket-Pfade | agents.*.sandbox.docker.binds[] |
nein |
sandbox.dangerous_network_mode |
kritisch | Das Sandbox-Docker-Netzwerk verwendet den Namespace-Beitrittsmodus host oder container:* |
agents.*.sandbox.docker.network |
nein |
sandbox.dangerous_seccomp_profile |
kritisch | Das Sandbox-seccomp-Profil schwächt die Container-Isolation | agents.*.sandbox.docker.securityOpt |
nein |
sandbox.dangerous_apparmor_profile |
kritisch | Das Sandbox-AppArmor-Profil schwächt die Container-Isolation | agents.*.sandbox.docker.securityOpt |
nein |
sandbox.browser_cdp_bridge_unrestricted |
Warnung | Die Sandbox-Browser-Bridge ist ohne Einschränkung des Quellbereichs zugänglich | sandbox.browser.cdpSourceRange |
nein |
sandbox.browser_container.non_loopback_publish |
kritisch | Der vorhandene Browser-Container veröffentlicht CDP auf Nicht-Loopback-Schnittstellen | Veröffentlichungskonfiguration des Browser-Sandbox-Containers | nein |
sandbox.browser_container.hash_label_missing |
Warnung | Der vorhandene Browser-Container stammt aus der Zeit vor den aktuellen Konfigurations-Hash-Labels | openclaw sandbox recreate --browser --all |
nein |
sandbox.browser_container.hash_epoch_stale |
Warnung | Der vorhandene Browser-Container stammt aus der Zeit vor der aktuellen Browser-Konfigurationsepoche | openclaw sandbox recreate --browser --all |
nein |
sandbox.browser_container.docker_probe_timeout |
Warnung | Zeitüberschreitung bei der Docker-Label-Prüfung für den Browser-Container | Erreichbarkeit des Docker-Daemons | nein |
tools.exec.host_sandbox_no_sandbox_defaults |
Warnung | exec host=sandbox schlägt im geschlossenen Zustand fehl, wenn die Sandbox deaktiviert ist |
tools.exec.host, agents.defaults.sandbox.mode |
nein |
tools.exec.host_sandbox_no_sandbox_agents |
Warnung | Agent-spezifisches exec host=sandbox schlägt im geschlossenen Zustand fehl, wenn die Sandbox deaktiviert ist |
agents.list[].tools.exec.host, agents.list[].sandbox.mode |
nein |
tools.exec.security_full_configured |
Warnung/kritisch | Die Host-Ausführung wird mit security="full" ausgeführt |
tools.exec.security, agents.list[].tools.exec.security |
nein |
tools.exec.agent_skill_mcp_boundary_drift |
Warnung | Agent-Skill-Zulassungslisten sind vorhanden, während die Host-Ausführung MCP-Clients/-Registrierungen erreichen kann | agents.list[].tools.exec.*, Sandbox-/Betriebssystemisolation, MCP-Server-Anmeldedaten |
nein |
tools.exec.fs_tools_disabled_but_exec_enabled |
Warnung | Die Dateisystem-Tool-Richtlinie macht die Shell-Ausführung nicht schreibgeschützt | tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess |
nein |
tools.exec.auto_allow_skills_enabled |
Warnung | Ausführungsgenehmigungen vertrauen implizit den Binärdateien von Skills | Genehmigungsdatei des Hosts | nein |
tools.exec.allowlist_interpreter_without_strict_inline_eval |
Warnung | Interpreter-Zulassungslisten erlauben Inline-Auswertung ohne erzwungene erneute Genehmigung | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, Ausführungs-Zulassungsliste |
nein |
tools.exec.safe_bins_interpreter_unprofiled |
Warnung | Interpreter-/Runtime-Binärdateien in safeBins ohne explizite Profile erhöhen das Ausführungsrisiko |
tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* |
nein |
tools.exec.safe_bins_broad_behavior |
Warnung | Tools mit weitreichendem Verhalten in safeBins schwächen das vertrauensbasierte stdin-Filtermodell mit geringem Risiko |
tools.exec.safeBins, agents.list[].tools.exec.safeBins |
nein |
tools.exec.safe_bin_trusted_dirs_risky |
Warnung | safeBinTrustedDirs enthält veränderbare oder riskante Verzeichnisse |
tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs |
nein |
tools.elevated.allowFrom.<provider>.wildcard |
kritisch | tools.elevated.allowFrom.<provider> enthält "*" und genehmigt damit jeden Absender |
tools.elevated.allowFrom.<provider> |
nein |
tools.elevated.allowFrom.<provider>.large |
Warnung | Die Zulassungsliste für erhöhte Berechtigungen von <provider> enthält mehr als 25 Einträge |
tools.elevated.allowFrom.<provider> |
nein |
agents.claude_cli.permission_mode_overridden_by_yolo |
Warnung | --permission-mode der Claude CLI wird ignoriert, weil die OpenClaw-Ausführung vollständig unbeaufsichtigt erfolgt |
tools.exec.security, tools.exec.ask, Argumente von cliBackends.claude-cli |
nein |
skills.workspace.symlink_escape |
Warnung | skills/**/SKILL.md im Arbeitsbereich wird außerhalb des Arbeitsbereich-Stammverzeichnisses aufgelöst (Abweichung der Symlink-Kette) |
Dateisystemzustand von skills/** im Arbeitsbereich |
nein |
skills.workspace.scan_truncated |
Warnung | Der Skill-Scan des Arbeitsbereichs erreichte vor Abschluss seine Obergrenze für Verzeichnisbesuche | Verzeichnisbaum skills/ des Arbeitsbereichs abflachen/vereinfachen |
nein |
plugins.extensions_no_allowlist |
Warnung | Plugins werden ohne explizite Plugin-Zulassungsliste installiert | plugins.allowlist |
nein |
plugins.allow_phantom_entries |
Warnung | plugins.allow führt eine ID auf, für die kein passendes Plugin installiert ist |
plugins.allow |
nein |
plugins.installs_unpinned_npm_specs |
Warnung | Einträge im Plugin-Index sind nicht an unveränderliche npm-Spezifikationen gebunden | Metadaten der Plugin-Installation | nein |
plugins.installs_missing_integrity |
Warnung | Einträgen im Plugin-Index fehlen Integritätsmetadaten | Metadaten der Plugin-Installation | nein |
plugins.installs_version_drift |
Warnung | Einträge im Plugin-Index weichen von den installierten Paketen ab | Metadaten der Plugin-Installation | nein |
plugins.code_safety |
Warnung/kritisch | Der Plugin-Code-Scan hat verdächtige oder gefährliche Muster gefunden (nur mit --deep) |
Plugin-Code/Installationsquelle | nein |
plugins.code_safety.entry_path |
Warnung | Der Plugin-Einstiegspfad verweist auf versteckte Speicherorte oder Speicherorte in node_modules |
entry im Plugin-Manifest |
nein |
plugins.code_safety.entry_escape |
kritisch | Der Plugin-Einstieg verlässt das Plugin-Verzeichnis | entry im Plugin-Manifest |
nein |
plugins.code_safety.manifest_parse_error |
Warnung | Das Plugin-Manifest konnte während des Codesicherheits-Scans nicht geparst werden | Plugin-Manifestdatei | nein |
plugins.code_safety.scan_failed |
Warnung | Der Plugin-Code-Scan konnte nicht abgeschlossen werden (nur mit --deep) |
Plugin-Pfad/Scan-Umgebung | nein |
plugins.<pluginId>.security_audit_failed |
Warnung | Ein Plugin-eigener Sicherheits-Audit-Collector hat einen Fehler ausgelöst | Sicherheits-Audit-Collector dieses Plugins | nein |
skills.code_safety |
Warnung/kritisch | Metadaten/Code des Skill-Installationsprogramms enthalten verdächtige oder gefährliche Muster (nur mit --deep) |
Installationsquelle des Skills | nein |
skills.code_safety.scan_failed |
Warnung | Der Skill-Code-Scan konnte nicht abgeschlossen werden (nur mit --deep) |
Skill-Scan-Umgebung | nein |
security.exposure.open_channels_with_exec |
Warnung/kritisch | Gemeinsam genutzte/öffentliche Räume können auf Agenten mit aktivierter Ausführung zugreifen | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* |
nein |
security.exposure.open_groups_with_elevated |
kritisch | Offene Direktnachrichten/Gruppen und Tools mit erhöhten Berechtigungen schaffen Prompt-Injection-Pfade mit hoher Auswirkung | DM-Richtlinienpfade auf oberster oder verschachtelter Ebene, Kontoüberschreibungen, channels.*.groupPolicy |
nein |
security.exposure.open_groups_with_runtime_or_fs |
kritisch/Warnung | Offene Direktnachrichten/Gruppen können ohne Sandbox-/Arbeitsbereich-Schutzmaßnahmen auf Befehls-/Datei-Tools zugreifen | DM-/Gruppenrichtlinienpfade, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode |
nein |
security.exposure.open_groups_with_control_plane_tools |
kritisch | Offene Direktnachrichten/Gruppen können auf Gateway-/Cron-Steuerungsebenen-Tools zugreifen | DM-/Gruppenrichtlinienpfade, tools.allow, tools.alsoAllow, tools.profile, gateway, cron |
nein |
security.trust_model.multi_user_heuristic |
Warnung | Die Konfiguration wirkt wie eine Mehrbenutzerkonfiguration, während das Gateway-Vertrauensmodell für einen persönlichen Assistenten ausgelegt ist | Vertrauensgrenzen aufteilen oder Absicherung für gemeinsam genutzte Benutzer (sandbox.mode, Tool-Verweigerung/Arbeitsbereich-Eingrenzung) |
nein |
tools.profile_minimal_overridden |
Warnung | Agentenüberschreibungen umgehen das globale Minimalprofil | agents.list[].tools.profile |
nein |
plugins.tools_reachable_permissive_policy |
Warnung | Erweiterungs-Tools sind in permissiven Kontexten erreichbar | tools.profile + Tool-Zulassung/Verweigerung |
nein |
models.legacy |
Warnung | Veraltete Modellfamilien sind weiterhin konfiguriert | Modellauswahl | nein |
models.weak_tier |
Warnung | Konfigurierte Modelle liegen unter den derzeit empfohlenen Stufen | Modellauswahl | nein |
models.small_params |
kritisch/Info | Kleine Modelle und unsichere Tool-Oberflächen erhöhen das Injektionsrisiko | Modellauswahl + Sandbox-/Tool-Richtlinie | nein |
channels.<provider>.dm.open |
kritisch | Die Direktnachrichtenrichtlinie von <provider> ist "open"; jeder kann dem Bot eine Direktnachricht senden |
channels.<provider>.dmPolicy, .allowFrom |
nein |
channels.<provider>.dm.open_invalid |
Warnung | dmPolicy="open" ohne "*" in allowFrom ist inkonsistent |
channels.<provider>.allowFrom |
nein |
channels.<provider>.dm.scope_main_multiuser |
Warnung | Mehrere Absender von Direktnachrichten teilen sich derzeit die Hauptsitzung | session.dmScope |
nein |
channels.<provider>.allowFrom.dangerous_name_matching_enabled |
Info | dangerouslyAllowNameMatching aktiviert den Abgleich von Absendern anhand veränderbarer Namen/E-Mail-Adressen/Tags erneut |
dangerouslyAllowNameMatching deaktivieren, stabile Absender-IDs verwenden |
nein |
channels.<provider>.account.read_only_resolution |
Warnung | Ein Kanalkonto konnte für das Audit nicht vollständig aufgelöst werden (fehlendes Geheimnis/Gateway) | sicherstellen, dass referenzierte Geheimnisse auflösbar sind, oder gegen einen Live-Gateway-Snapshot ausführen | nein |
channels.<provider>.warning.<n> |
Info/Warnung/kritisch | Providerspezifische Sicherheitswarnung, klassifiziert anhand frei formulierten Plugin-Texts | siehe Befunddetails | nein |
summary.attack_surface |
Info | Zusammenfassende Übersicht über Authentifizierung, Kanäle, Tools und Expositionsstatus | mehrere Schlüssel (siehe Befunddetails) | nein |
channels.<provider>.* und tools.elevated.allowFrom.<provider>.* checkIds werden
für jeden konfigurierten Kanal/Provider generiert, daher ist <provider> in der
tatsächlichen Ausgabe eine echte Kanal-ID (zum Beispiel telegram, discord) und keine Literalzeichenfolge.