Gateway
Kontrole audytu bezpieczeństwa
openclaw security audit generuje ustrukturyzowane ustalenia identyfikowane przez checkId. Ta
strona jest katalogiem referencyjnym tych identyfikatorów. Ogólny model zagrożeń
i zalecenia dotyczące wzmacniania zabezpieczeń opisano w sekcji Bezpieczeństwo.
Niektóre kontrole są uruchamiane tylko z poleceniem openclaw security audit --deep: skanowanie
kodu pluginów i Skills (plugins.code_safety*, skills.code_safety*) oraz kontrole aktywnej sondy
Gateway (gateway.probe_*). Wszystkie pozostałe kontrole w tej tabeli są uruchamiane przez zwykłe
polecenie openclaw security audit.
Poziom ważności taki jak warn/critical oznacza, że ten sam checkId może zostać wygenerowany na
dowolnym z tych poziomów, zależnie od konfiguracji (na przykład od tego, czy Gateway jest dostępny
zdalnie). Najistotniejsze wartości, które najprawdopodobniej pojawią się w rzeczywistych wdrożeniach
(lista nie jest wyczerpująca):
checkId |
Poziom ważności | Dlaczego to ma znaczenie | Główny klucz/ścieżka naprawy | Automatyczna naprawa |
|---|---|---|---|---|
fs.state_dir.perms_world_writable |
krytyczny | Inni użytkownicy lub procesy mogą modyfikować cały stan OpenClaw | uprawnienia systemu plików dla ~/.openclaw |
tak |
fs.state_dir.perms_group_writable |
ostrzeżenie | Użytkownicy grupy mogą modyfikować cały stan OpenClaw | uprawnienia systemu plików dla ~/.openclaw |
tak |
fs.state_dir.perms_readable |
ostrzeżenie | Katalog stanu może być odczytywany przez inne osoby | uprawnienia systemu plików dla ~/.openclaw |
tak |
fs.state_dir.symlink |
ostrzeżenie | Cel katalogu stanu staje się kolejną granicą zaufania | układ katalogu stanu w systemie plików | nie |
fs.config.perms_writable |
krytyczny | Inne osoby mogą zmienić zasady uwierzytelniania lub narzędzi albo konfigurację | uprawnienia systemu plików dla ~/.openclaw/openclaw.json |
tak |
fs.config.symlink |
ostrzeżenie | Dowiązane symbolicznie pliki konfiguracji nie obsługują zapisu i tworzą dodatkową granicę zaufania | zastąpienie zwykłym plikiem konfiguracji lub wskazanie rzeczywistego pliku przez OPENCLAW_CONFIG_PATH |
nie |
fs.config.perms_group_readable |
ostrzeżenie | Użytkownicy grupy mogą odczytać tokeny i ustawienia konfiguracji | uprawnienia systemu plików dla pliku konfiguracji | tak |
fs.config.perms_world_readable |
krytyczny | Konfiguracja może ujawniać tokeny i ustawienia | uprawnienia systemu plików dla pliku konfiguracji | tak |
fs.config_include.perms_writable |
krytyczny | Plik dołączany do konfiguracji może być modyfikowany przez inne osoby | uprawnienia pliku dołączanego, wskazanego w openclaw.json |
tak |
fs.config_include.perms_group_readable |
ostrzeżenie | Użytkownicy grupy mogą odczytać dołączone dane poufne i ustawienia | uprawnienia pliku dołączanego, wskazanego w openclaw.json |
tak |
fs.config_include.perms_world_readable |
krytyczny | Dołączone dane poufne i ustawienia są dostępne do odczytu dla wszystkich | uprawnienia pliku dołączanego, wskazanego w openclaw.json |
tak |
fs.auth_profiles.perms_writable |
krytyczny | Inne osoby mogą wstrzykiwać lub zastępować zapisane dane uwierzytelniające modeli | uprawnienia agents/<agentId>/agent/auth-profiles.json |
tak |
fs.auth_profiles.perms_readable |
ostrzeżenie | Inne osoby mogą odczytać klucze API i tokeny OAuth | uprawnienia agents/<agentId>/agent/auth-profiles.json |
tak |
fs.credentials_dir.perms_writable |
krytyczny | Inne osoby mogą modyfikować stan parowania kanałów lub danych uwierzytelniających | uprawnienia systemu plików dla ~/.openclaw/credentials |
tak |
fs.credentials_dir.perms_readable |
ostrzeżenie | Inne osoby mogą odczytać stan danych uwierzytelniających kanałów | uprawnienia systemu plików dla ~/.openclaw/credentials |
tak |
fs.sessions_store.perms_readable |
ostrzeżenie | Inne osoby mogą odczytać transkrypcje i metadane sesji | uprawnienia magazynu sesji | tak |
fs.log_file.perms_readable |
ostrzeżenie | Inne osoby mogą odczytać zredagowane, lecz nadal poufne dzienniki | uprawnienia pliku dziennika Gateway | tak |
fs.synced_dir |
ostrzeżenie | Stan lub konfiguracja w iCloud, Dropbox albo Drive zwiększa ryzyko ujawnienia tokenów i transkrypcji | przeniesienie konfiguracji i stanu poza synchronizowane foldery | nie |
gateway.bind_no_auth |
krytyczny | Zdalne nasłuchiwanie bez współdzielonego sekretu | gateway.bind, gateway.auth.* |
nie |
gateway.loopback_no_auth |
krytyczny | local loopback udostępniony przez odwrotne proxy może utracić uwierzytelnianie | gateway.auth.*, konfiguracja proxy |
nie |
gateway.trusted_proxies_missing |
ostrzeżenie | Nagłówki odwrotnego proxy są obecne, ale nie są zaufane | gateway.trustedProxies |
nie |
gateway.http.no_auth |
ostrzeżenie/krytyczny | Interfejsy API HTTP Gateway są dostępne przy auth.mode="none" |
gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpc |
nie |
gateway.http.session_key_override_enabled |
informacja | Klienci interfejsu API HTTP mogą zastępować sessionKey |
gateway.http.allowSessionKeyOverride |
nie |
gateway.tools_invoke_http.dangerous_allow |
ostrzeżenie/krytyczny | Ponownie włącza niebezpieczne narzędzia przez interfejs API HTTP dla właścicieli i administratorów | gateway.tools.allow |
nie |
gateway.nodes.allow_commands_dangerous |
ostrzeżenie/krytyczny | Włącza polecenia Node o dużym wpływie (obsługa pulpitu, kamera, ekran, kontakty, kalendarz, SMS) | gateway.nodes.allowCommands |
nie |
gateway.nodes.deny_commands_ineffective |
ostrzeżenie | Wpisy odmowy przypominające wzorce nie pasują do tekstu powłoki ani grup | gateway.nodes.denyCommands |
nie |
gateway.tailscale_funnel |
krytyczny | Udostępnienie w publicznym internecie | gateway.tailscale.mode |
nie |
gateway.tailscale_serve |
informacja | Udostępnienie w sieci tailnet jest włączone za pośrednictwem Serve | gateway.tailscale.mode |
nie |
gateway.control_ui.allowed_origins_required |
krytyczny | Interfejs sterowania poza local loopback bez jawnej listy dozwolonych źródeł przeglądarki | gateway.controlUi.allowedOrigins |
nie |
gateway.control_ui.allowed_origins_wildcard |
ostrzeżenie/krytyczny | allowedOrigins=["*"] wyłącza listę dozwolonych źródeł przeglądarki |
gateway.controlUi.allowedOrigins |
nie |
gateway.control_ui.host_header_origin_fallback |
ostrzeżenie/krytyczny | Włącza awaryjne ustalanie źródła na podstawie nagłówka Host (osłabienie ochrony przed ponownym wiązaniem DNS) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback |
nie |
gateway.control_ui.insecure_auth |
ostrzeżenie | Włączono przełącznik zgodności z niezabezpieczonym uwierzytelnianiem | gateway.controlUi.allowInsecureAuth |
nie |
gateway.control_ui.device_auth_disabled |
krytyczny | Wyłącza sprawdzanie tożsamości urządzenia | gateway.controlUi.dangerouslyDisableDeviceAuth |
nie |
gateway.real_ip_fallback_enabled |
ostrzeżenie/krytyczny | Zaufanie do awaryjnej wartości X-Real-IP może umożliwić fałszowanie źródłowego adresu IP przy błędnej konfiguracji proxy |
gateway.allowRealIpFallback, gateway.trustedProxies |
nie |
gateway.token_too_short |
ostrzeżenie | Krótki współdzielony token jest łatwiejszy do odgadnięcia metodą siłową | gateway.auth.token |
nie |
gateway.auth_no_rate_limit |
ostrzeżenie | Udostępnione uwierzytelnianie bez ograniczania częstotliwości zwiększa ryzyko ataku siłowego | gateway.auth.rateLimit |
nie |
gateway.trusted_proxy_auth |
krytyczny | Tożsamość proxy staje się granicą uwierzytelniania | gateway.auth.mode="trusted-proxy" |
nie |
gateway.trusted_proxy_no_proxies |
krytyczny | Uwierzytelnianie przez zaufane proxy bez zaufanych adresów IP proxy jest niebezpieczne | gateway.trustedProxies |
nie |
gateway.trusted_proxy_no_user_header |
krytyczny | Uwierzytelnianie przez zaufany serwer proxy nie może bezpiecznie ustalić tożsamości użytkownika | gateway.auth.trustedProxy.userHeader |
nie |
gateway.trusted_proxy_no_allowlist |
ostrzeżenie | Uwierzytelnianie przez zaufany serwer proxy akceptuje dowolnego uwierzytelnionego użytkownika nadrzędnego | gateway.auth.trustedProxy.allowUsers |
nie |
gateway.trusted_proxy_allow_loopback |
ostrzeżenie | Uwierzytelnianie przez zaufany serwer proxy akceptuje jawnie dozwolone źródła proxy local loopback | gateway.auth.trustedProxy.allowLoopback |
nie |
gateway.probe_auth_secretref_unavailable |
ostrzeżenie | Dogłębna sonda nie mogła rozpoznać odwołań SecretRef uwierzytelniania w tej ścieżce polecenia | źródło uwierzytelniania dogłębnej sondy / dostępność SecretRef | nie |
gateway.probe_failed |
ostrzeżenie | Sonda działającego Gateway zakończyła się niepowodzeniem (tylko --deep) |
osiągalność/uwierzytelnianie Gateway | nie |
discovery.mdns_full_mode |
ostrzeżenie/krytyczny | Pełny tryb mDNS rozgłasza metadane cliPath/sshPort w sieci lokalnej |
discovery.mdns.mode, gateway.bind |
nie |
config.insecure_or_dangerous_flags |
ostrzeżenie | Włączona jest jedna niezabezpieczona/niebezpieczna flaga debugowania | klucz wskazany w szczegółach znaleziska | nie |
security.audit.suppressions.active |
informacja | Dane wyjściowe audytu mają skonfigurowane wyciszenia i mogą być filtrowane | security.audit.suppressions |
nie |
config.secrets.gateway_password_in_config |
ostrzeżenie | Hasło Gateway jest przechowywane bezpośrednio w konfiguracji | gateway.auth.password |
nie |
config.secrets.hooks_token_in_config |
ostrzeżenie | Token okaziciela zaczepów jest przechowywany bezpośrednio w konfiguracji | hooks.token |
nie |
hooks.token_reuse_gateway_token |
krytyczny | Token ruchu przychodzącego zaczepów odblokowuje również uwierzytelnianie Gateway | hooks.token, gateway.auth.token, gateway.auth.password |
nie |
hooks.token_too_short |
ostrzeżenie | Łatwiejszy atak siłowy na ruch przychodzący zaczepów | hooks.token |
nie |
hooks.default_session_key_unset |
ostrzeżenie | Uruchomienia agenta przez zaczepy rozchodzą się na generowane sesje osobne dla każdego żądania | hooks.defaultSessionKey |
nie |
hooks.allowed_agent_ids_unrestricted |
ostrzeżenie/krytyczny | Uwierzytelnieni wywołujący zaczepy mogą kierować żądania do dowolnego skonfigurowanego agenta | hooks.allowedAgentIds |
nie |
hooks.request_session_key_enabled |
ostrzeżenie/krytyczny | Zewnętrzny wywołujący może wybrać sessionKey | hooks.allowRequestSessionKey |
nie |
hooks.request_session_key_prefixes_missing |
ostrzeżenie/krytyczny | Brak ograniczeń dotyczących postaci zewnętrznych kluczy sesji | hooks.allowedSessionKeyPrefixes |
nie |
hooks.path_root |
krytyczny | Ścieżka zaczepów to /, co zwiększa ryzyko kolizji lub błędnego skierowania ruchu przychodzącego |
hooks.path |
nie |
hooks.installs_unpinned_npm_specs |
ostrzeżenie | Rekordy instalacji zaczepów nie są przypięte do niezmiennych specyfikacji npm | metadane instalacji zaczepów | nie |
hooks.installs_missing_integrity |
ostrzeżenie | Rekordy instalacji zaczepów nie zawierają metadanych integralności | metadane instalacji zaczepów | nie |
hooks.installs_version_drift |
ostrzeżenie | Rekordy instalacji zaczepów odbiegają od zainstalowanych pakietów | metadane instalacji zaczepów | nie |
logging.redact_off |
ostrzeżenie | Wrażliwe wartości wyciekają do dzienników/stanu | logging.redactSensitive |
tak |
browser.control_invalid_config |
ostrzeżenie | Konfiguracja sterowania przeglądarką jest nieprawidłowa przed uruchomieniem | browser.* |
nie |
browser.control_no_auth |
krytyczny | Sterowanie przeglądarką jest dostępne bez uwierzytelniania tokenem/hasłem | gateway.auth.* |
nie |
browser.remote_cdp_http |
ostrzeżenie | Zdalne CDP przez zwykły protokół HTTP nie zapewnia szyfrowania transportu | cdpUrl profilu przeglądarki |
nie |
browser.remote_cdp_private_host |
ostrzeżenie | Zdalne CDP wskazuje prywatny/wewnętrzny host | cdpUrl profilu przeglądarki, browser.ssrfPolicy.* |
nie |
sandbox.docker_config_mode_off |
ostrzeżenie | Konfiguracja Dockera dla piaskownicy istnieje, ale jest nieaktywna | agents.*.sandbox.mode |
nie |
sandbox.bind_mount_non_absolute |
ostrzeżenie | Względne montowania dowiązań mogą być rozpoznawane w nieprzewidywalny sposób | agents.*.sandbox.docker.binds[] |
nie |
sandbox.dangerous_bind_mount |
krytyczny | Montowanie dowiązania piaskownicy wskazuje zablokowane ścieżki systemowe, poświadczeń lub gniazda Dockera | agents.*.sandbox.docker.binds[] |
nie |
sandbox.dangerous_network_mode |
krytyczny | Sieć Dockera piaskownicy używa trybu dołączania do przestrzeni nazw host lub container:* |
agents.*.sandbox.docker.network |
nie |
sandbox.dangerous_seccomp_profile |
krytyczny | Profil seccomp piaskownicy osłabia izolację kontenera | agents.*.sandbox.docker.securityOpt |
nie |
sandbox.dangerous_apparmor_profile |
krytyczny | Profil AppArmor piaskownicy osłabia izolację kontenera | agents.*.sandbox.docker.securityOpt |
nie |
sandbox.browser_cdp_bridge_unrestricted |
ostrzeżenie | Most przeglądarki piaskownicy jest dostępny bez ograniczenia zakresu źródeł | sandbox.browser.cdpSourceRange |
nie |
sandbox.browser_container.non_loopback_publish |
krytyczny | Istniejący kontener przeglądarki publikuje CDP na interfejsach innych niż local loopback | konfiguracja publikowania kontenera piaskownicy przeglądarki | nie |
sandbox.browser_container.hash_label_missing |
ostrzeżenie | Istniejący kontener przeglądarki pochodzi sprzed obecnych etykiet skrótu konfiguracji | openclaw sandbox recreate --browser --all |
nie |
sandbox.browser_container.hash_epoch_stale |
ostrzeżenie | Istniejący kontener przeglądarki pochodzi sprzed obecnej epoki konfiguracji przeglądarki | openclaw sandbox recreate --browser --all |
nie |
sandbox.browser_container.docker_probe_timeout |
ostrzeżenie | Upłynął limit czasu sondy etykiet Dockera dla kontenera przeglądarki | osiągalność demona Dockera | nie |
tools.exec.host_sandbox_no_sandbox_defaults |
ostrzeżenie | exec host=sandbox bezpiecznie odmawia działania, gdy piaskownica jest wyłączona |
tools.exec.host, agents.defaults.sandbox.mode |
nie |
tools.exec.host_sandbox_no_sandbox_agents |
ostrzeżenie | exec host=sandbox dla poszczególnych agentów bezpiecznie odmawia działania, gdy piaskownica jest wyłączona |
agents.list[].tools.exec.host, agents.list[].sandbox.mode |
nie |
tools.exec.security_full_configured |
ostrzeżenie/krytyczny | Wykonywanie poleceń na hoście działa z ustawieniem security="full" |
tools.exec.security, agents.list[].tools.exec.security |
nie |
tools.exec.agent_skill_mcp_boundary_drift |
ostrzeżenie | Listy dozwolonych umiejętności agentów są obecne, podczas gdy wykonywanie na hoście może uzyskać dostęp do klientów/rejestrów MCP | agents.list[].tools.exec.*, izolacja piaskownicy/systemu operacyjnego, poświadczenia serwera MCP |
nie |
tools.exec.fs_tools_disabled_but_exec_enabled |
ostrzeżenie | Zasady narzędzi systemu plików nie ograniczają wykonywania poleceń powłoki do trybu tylko do odczytu | tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess |
nie |
tools.exec.auto_allow_skills_enabled |
ostrzeżenie | Zatwierdzanie wykonywania niejawnie ufa plikom binarnym Skills | plik zatwierdzeń hosta | nie |
tools.exec.allowlist_interpreter_without_strict_inline_eval |
ostrzeżenie | Listy dozwolonych interpreterów zezwalają na bezpośrednie wykonywanie kodu bez wymuszonego ponownego zatwierdzenia | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, lista dozwolonych zatwierdzeń wykonywania |
nie |
tools.exec.safe_bins_interpreter_unprofiled |
ostrzeżenie | Pliki binarne interpretera/środowiska wykonawczego w safeBins bez jawnych profili zwiększają ryzyko wykonywania |
tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* |
nie |
tools.exec.safe_bins_broad_behavior |
ostrzeżenie | Narzędzia o szerokim zakresie działania w safeBins osłabiają model zaufania niskiego ryzyka oparty na filtrowaniu standardowego wejścia |
tools.exec.safeBins, agents.list[].tools.exec.safeBins |
nie |
tools.exec.safe_bin_trusted_dirs_risky |
ostrzeżenie | safeBinTrustedDirs obejmuje modyfikowalne lub ryzykowne katalogi |
tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs |
nie |
tools.elevated.allowFrom.<provider>.wildcard |
krytyczne | tools.elevated.allowFrom.<provider> zawiera "*", zatwierdzając każdego nadawcę |
tools.elevated.allowFrom.<provider> |
nie |
tools.elevated.allowFrom.<provider>.large |
ostrzeżenie | Lista dozwolonych uprawnień podwyższonych dla <provider> zawiera więcej niż 25 wpisów |
tools.elevated.allowFrom.<provider> |
nie |
agents.claude_cli.permission_mode_overridden_by_yolo |
ostrzeżenie | Parametr --permission-mode Claude CLI jest ignorowany, ponieważ wykonywanie przez OpenClaw odbywa się całkowicie bez nadzoru |
argumenty tools.exec.security, tools.exec.ask, cliBackends.claude-cli |
nie |
skills.workspace.symlink_escape |
ostrzeżenie | Ścieżka skills/**/SKILL.md w przestrzeni roboczej wskazuje poza jej katalog główny (zmiana łańcucha dowiązań symbolicznych) |
stan systemu plików skills/** w przestrzeni roboczej |
nie |
skills.workspace.scan_truncated |
ostrzeżenie | Skanowanie Skills w przestrzeni roboczej osiągnęło limit odwiedzonych katalogów przed zakończeniem | spłaszcz lub uprość drzewo katalogu skills/ w przestrzeni roboczej |
nie |
plugins.extensions_no_allowlist |
ostrzeżenie | Pluginy są instalowane bez jawnej listy dozwolonych Pluginów | plugins.allowlist |
nie |
plugins.allow_phantom_entries |
ostrzeżenie | plugins.allow zawiera identyfikator bez odpowiadającego mu zainstalowanego Pluginu |
plugins.allow |
nie |
plugins.installs_unpinned_npm_specs |
ostrzeżenie | Rekordy indeksu Pluginów nie są przypięte do niezmiennych specyfikacji npm | metadane instalacji Pluginu | nie |
plugins.installs_missing_integrity |
ostrzeżenie | Rekordy indeksu Pluginów nie zawierają metadanych integralności | metadane instalacji Pluginu | nie |
plugins.installs_version_drift |
ostrzeżenie | Rekordy indeksu Pluginów różnią się od zainstalowanych pakietów | metadane instalacji Pluginu | nie |
plugins.code_safety |
ostrzeżenie/krytyczne | Skanowanie kodu Pluginu wykryło podejrzane lub niebezpieczne wzorce (tylko --deep) |
kod Pluginu / źródło instalacji | nie |
plugins.code_safety.entry_path |
ostrzeżenie | Ścieżka wejściowa Pluginu wskazuje ukryte lokalizacje lub lokalizacje w node_modules |
pole entry manifestu Pluginu |
nie |
plugins.code_safety.entry_escape |
krytyczne | Punkt wejścia Pluginu wychodzi poza katalog Pluginu | pole entry manifestu Pluginu |
nie |
plugins.code_safety.manifest_parse_error |
ostrzeżenie | Nie udało się przeanalizować manifestu Pluginu podczas skanowania bezpieczeństwa kodu | plik manifestu Pluginu | nie |
plugins.code_safety.scan_failed |
ostrzeżenie | Nie udało się ukończyć skanowania kodu Pluginu (tylko --deep) |
ścieżka Pluginu / środowisko skanowania | nie |
plugins.<pluginId>.security_audit_failed |
ostrzeżenie | Moduł zbierający dane audytu bezpieczeństwa należący do Pluginu zgłosił błąd | moduł zbierający dane audytu bezpieczeństwa tego Pluginu | nie |
skills.code_safety |
ostrzeżenie/krytyczne | Metadane lub kod instalatora Skills zawierają podejrzane albo niebezpieczne wzorce (tylko --deep) |
źródło instalacji Skills | nie |
skills.code_safety.scan_failed |
ostrzeżenie | Nie udało się ukończyć skanowania kodu Skills (tylko --deep) |
środowisko skanowania Skills | nie |
security.exposure.open_channels_with_exec |
ostrzeżenie/krytyczne | Agenci z włączonym wykonywaniem poleceń są dostępni z pokojów współdzielonych/publicznych | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* |
nie |
security.exposure.open_groups_with_elevated |
krytyczne | Otwarte wiadomości prywatne/grupy oraz narzędzia z podwyższonymi uprawnieniami tworzą ścieżki wstrzykiwania poleceń o poważnych skutkach | ścieżki zasad wiadomości prywatnych najwyższego poziomu lub zagnieżdżone, ustawienia kont, channels.*.groupPolicy |
nie |
security.exposure.open_groups_with_runtime_or_fs |
krytyczne/ostrzeżenie | Otwarte wiadomości prywatne/grupy mają dostęp do narzędzi poleceń/plików bez zabezpieczeń piaskownicy/przestrzeni roboczej | ścieżki zasad wiadomości prywatnych/grup, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode |
nie |
security.exposure.open_groups_with_control_plane_tools |
krytyczne | Otwarte wiadomości prywatne/grupy mają dostęp do narzędzi warstwy sterowania Gateway/Cron | ścieżki zasad wiadomości prywatnych/grup, tools.allow, tools.alsoAllow, tools.profile, gateway, cron |
nie |
security.trust_model.multi_user_heuristic |
ostrzeżenie | Konfiguracja wygląda na wieloużytkownikową, podczas gdy model zaufania Gateway zakłada osobistego asystenta | rozdziel granice zaufania lub wzmocnij zabezpieczenia dla współdzielonych użytkowników (sandbox.mode, blokowanie narzędzi/ograniczenie przestrzeni roboczej) |
nie |
tools.profile_minimal_overridden |
ostrzeżenie | Ustawienia agenta omijają globalny profil minimalny | agents.list[].tools.profile |
nie |
plugins.tools_reachable_permissive_policy |
ostrzeżenie | Narzędzia rozszerzeń są dostępne w kontekstach z liberalnymi zasadami | tools.profile + zezwalanie/blokowanie narzędzi |
nie |
models.legacy |
ostrzeżenie | Nadal skonfigurowane są starsze rodziny modeli | wybór modelu | nie |
models.weak_tier |
ostrzeżenie | Skonfigurowane modele nie spełniają obecnie zalecanych poziomów | wybór modelu | nie |
models.small_params |
krytyczne/informacja | Małe modele oraz niebezpieczne powierzchnie narzędzi zwiększają ryzyko wstrzyknięcia | wybór modelu + zasady piaskownicy/narzędzi | nie |
channels.<provider>.dm.open |
krytyczne | Zasada wiadomości prywatnych <provider> ma wartość "open"; każdy może wysłać wiadomość prywatną do bota |
channels.<provider>.dmPolicy, .allowFrom |
nie |
channels.<provider>.dm.open_invalid |
ostrzeżenie | Ustawienie dmPolicy="open" bez "*" w allowFrom jest niespójne |
channels.<provider>.allowFrom |
nie |
channels.<provider>.dm.scope_main_multiuser |
ostrzeżenie | Wielu nadawców wiadomości prywatnych współdzieli obecnie główną sesję | session.dmScope |
nie |
channels.<provider>.allowFrom.dangerous_name_matching_enabled |
informacja | dangerouslyAllowNameMatching ponownie włącza dopasowywanie nadawców według zmiennej nazwy/adresu e-mail/znacznika |
wyłącz dangerouslyAllowNameMatching, używaj stabilnych identyfikatorów nadawców |
nie |
channels.<provider>.account.read_only_resolution |
ostrzeżenie | Nie udało się w pełni rozpoznać konta kanału na potrzeby audytu (brak sekretu/Gateway) | upewnij się, że wskazane sekrety można rozpoznać, lub uruchom względem aktywnej migawki Gateway | nie |
channels.<provider>.warning.<n> |
informacja/ostrzeżenie/krytyczne | Ostrzeżenie bezpieczeństwa specyficzne dla dostawcy, sklasyfikowane na podstawie swobodnego tekstu Pluginu | zobacz szczegóły ustalenia | nie |
summary.attack_surface |
informacje | Zbiorcze podsumowanie stanu uwierzytelniania, kanałów, narzędzi i ekspozycji | wiele kluczy (zobacz szczegóły ustalenia) | nie |
Identyfikatory checkId channels.<provider>.* oraz tools.elevated.allowFrom.<provider>.* są
generowane dla każdego skonfigurowanego kanału/dostawcy, dlatego w rzeczywistych danych wyjściowych <provider> jest faktycznym identyfikatorem kanału
(na przykład telegram, discord), a nie ciągiem literałów.