---
read_when:
    - Zobaczyłeś konkretny `checkId` w danych wyjściowych `openclaw security audit` i chcesz wiedzieć, co oznacza
    - Potrzebujesz klucza/ścieżki poprawki dla danego ustalenia
    - Klasyfikujesz poziomy istotności w ramach audytu bezpieczeństwa
summary: Katalog referencyjny identyfikatorów checkId emitowanych przez audyt bezpieczeństwa OpenClaw
title: Kontrole audytu bezpieczeństwa
x-i18n:
    generated_at: "2026-07-12T15:10:51Z"
    model: gpt-5.6
    postprocess_version: locale-links-v1
    provider: openai
    source_hash: 10ad6c83327fb3e299b80c35761256e2bac46a2d9d5204de6bef63976818e255
    source_path: gateway/security/audit-checks.md
    workflow: 16
---

`openclaw security audit` generuje ustrukturyzowane ustalenia identyfikowane przez `checkId`. Ta
strona jest katalogiem referencyjnym tych identyfikatorów. Ogólny model zagrożeń
i zalecenia dotyczące wzmacniania zabezpieczeń opisano w sekcji [Bezpieczeństwo](/pl/gateway/security).

Niektóre kontrole są uruchamiane tylko z poleceniem `openclaw security audit --deep`: skanowanie
kodu pluginów i Skills (`plugins.code_safety*`, `skills.code_safety*`) oraz kontrole aktywnej sondy
Gateway (`gateway.probe_*`). Wszystkie pozostałe kontrole w tej tabeli są uruchamiane przez zwykłe
polecenie `openclaw security audit`.

Poziom ważności taki jak `warn/critical` oznacza, że ten sam `checkId` może zostać wygenerowany na
dowolnym z tych poziomów, zależnie od konfiguracji (na przykład od tego, czy Gateway jest dostępny
zdalnie). Najistotniejsze wartości, które najprawdopodobniej pojawią się w rzeczywistych wdrożeniach
(lista nie jest wyczerpująca):

| `checkId`                                                       | Poziom ważności     | Dlaczego to ma znaczenie                                                                | Główny klucz/ścieżka naprawy                                                                        | Automatyczna naprawa |
| --------------------------------------------------------------- | ------------------- | --------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- | -------------------- |
| `fs.state_dir.perms_world_writable`                             | krytyczny           | Inni użytkownicy lub procesy mogą modyfikować cały stan OpenClaw                        | uprawnienia systemu plików dla `~/.openclaw`                                                        | tak                  |
| `fs.state_dir.perms_group_writable`                             | ostrzeżenie         | Użytkownicy grupy mogą modyfikować cały stan OpenClaw                                   | uprawnienia systemu plików dla `~/.openclaw`                                                        | tak                  |
| `fs.state_dir.perms_readable`                                   | ostrzeżenie         | Katalog stanu może być odczytywany przez inne osoby                                     | uprawnienia systemu plików dla `~/.openclaw`                                                        | tak                  |
| `fs.state_dir.symlink`                                          | ostrzeżenie         | Cel katalogu stanu staje się kolejną granicą zaufania                                   | układ katalogu stanu w systemie plików                                                              | nie                  |
| `fs.config.perms_writable`                                      | krytyczny           | Inne osoby mogą zmienić zasady uwierzytelniania lub narzędzi albo konfigurację          | uprawnienia systemu plików dla `~/.openclaw/openclaw.json`                                          | tak                  |
| `fs.config.symlink`                                             | ostrzeżenie         | Dowiązane symbolicznie pliki konfiguracji nie obsługują zapisu i tworzą dodatkową granicę zaufania | zastąpienie zwykłym plikiem konfiguracji lub wskazanie rzeczywistego pliku przez `OPENCLAW_CONFIG_PATH` | nie                  |
| `fs.config.perms_group_readable`                                | ostrzeżenie         | Użytkownicy grupy mogą odczytać tokeny i ustawienia konfiguracji                        | uprawnienia systemu plików dla pliku konfiguracji                                                   | tak                  |
| `fs.config.perms_world_readable`                                | krytyczny           | Konfiguracja może ujawniać tokeny i ustawienia                                          | uprawnienia systemu plików dla pliku konfiguracji                                                   | tak                  |
| `fs.config_include.perms_writable`                              | krytyczny           | Plik dołączany do konfiguracji może być modyfikowany przez inne osoby                   | uprawnienia pliku dołączanego, wskazanego w `openclaw.json`                                         | tak                  |
| `fs.config_include.perms_group_readable`                        | ostrzeżenie         | Użytkownicy grupy mogą odczytać dołączone dane poufne i ustawienia                      | uprawnienia pliku dołączanego, wskazanego w `openclaw.json`                                         | tak                  |
| `fs.config_include.perms_world_readable`                        | krytyczny           | Dołączone dane poufne i ustawienia są dostępne do odczytu dla wszystkich                | uprawnienia pliku dołączanego, wskazanego w `openclaw.json`                                         | tak                  |
| `fs.auth_profiles.perms_writable`                               | krytyczny           | Inne osoby mogą wstrzykiwać lub zastępować zapisane dane uwierzytelniające modeli       | uprawnienia `agents/<agentId>/agent/auth-profiles.json`                                             | tak                  |
| `fs.auth_profiles.perms_readable`                               | ostrzeżenie         | Inne osoby mogą odczytać klucze API i tokeny OAuth                                      | uprawnienia `agents/<agentId>/agent/auth-profiles.json`                                             | tak                  |
| `fs.credentials_dir.perms_writable`                             | krytyczny           | Inne osoby mogą modyfikować stan parowania kanałów lub danych uwierzytelniających       | uprawnienia systemu plików dla `~/.openclaw/credentials`                                            | tak                  |
| `fs.credentials_dir.perms_readable`                             | ostrzeżenie         | Inne osoby mogą odczytać stan danych uwierzytelniających kanałów                        | uprawnienia systemu plików dla `~/.openclaw/credentials`                                            | tak                  |
| `fs.sessions_store.perms_readable`                              | ostrzeżenie         | Inne osoby mogą odczytać transkrypcje i metadane sesji                                  | uprawnienia magazynu sesji                                                                          | tak                  |
| `fs.log_file.perms_readable`                                    | ostrzeżenie         | Inne osoby mogą odczytać zredagowane, lecz nadal poufne dzienniki                       | uprawnienia pliku dziennika Gateway                                                                 | tak                  |
| `fs.synced_dir`                                                 | ostrzeżenie         | Stan lub konfiguracja w iCloud, Dropbox albo Drive zwiększa ryzyko ujawnienia tokenów i transkrypcji | przeniesienie konfiguracji i stanu poza synchronizowane foldery                                     | nie                  |
| `gateway.bind_no_auth`                                          | krytyczny           | Zdalne nasłuchiwanie bez współdzielonego sekretu                                        | `gateway.bind`, `gateway.auth.*`                                                                     | nie                  |
| `gateway.loopback_no_auth`                                      | krytyczny           | local loopback udostępniony przez odwrotne proxy może utracić uwierzytelnianie          | `gateway.auth.*`, konfiguracja proxy                                                                 | nie                  |
| `gateway.trusted_proxies_missing`                               | ostrzeżenie         | Nagłówki odwrotnego proxy są obecne, ale nie są zaufane                                 | `gateway.trustedProxies`                                                                             | nie                  |
| `gateway.http.no_auth`                                          | ostrzeżenie/krytyczny | Interfejsy API HTTP Gateway są dostępne przy `auth.mode="none"`                       | `gateway.auth.mode`, `gateway.http.endpoints.*`, `plugins.entries.admin-http-rpc`                    | nie                  |
| `gateway.http.session_key_override_enabled`                     | informacja          | Klienci interfejsu API HTTP mogą zastępować `sessionKey`                                | `gateway.http.allowSessionKeyOverride`                                                               | nie                  |
| `gateway.tools_invoke_http.dangerous_allow`                     | ostrzeżenie/krytyczny | Ponownie włącza niebezpieczne narzędzia przez interfejs API HTTP dla właścicieli i administratorów | `gateway.tools.allow`                                                                                | nie                  |
| `gateway.nodes.allow_commands_dangerous`                        | ostrzeżenie/krytyczny | Włącza polecenia Node o dużym wpływie (obsługa pulpitu, kamera, ekran, kontakty, kalendarz, SMS) | `gateway.nodes.allowCommands`                                                                        | nie                  |
| `gateway.nodes.deny_commands_ineffective`                       | ostrzeżenie         | Wpisy odmowy przypominające wzorce nie pasują do tekstu powłoki ani grup                | `gateway.nodes.denyCommands`                                                                         | nie                  |
| `gateway.tailscale_funnel`                                      | krytyczny           | Udostępnienie w publicznym internecie                                                   | `gateway.tailscale.mode`                                                                             | nie                  |
| `gateway.tailscale_serve`                                       | informacja          | Udostępnienie w sieci tailnet jest włączone za pośrednictwem Serve                      | `gateway.tailscale.mode`                                                                             | nie                  |
| `gateway.control_ui.allowed_origins_required`                   | krytyczny           | Interfejs sterowania poza local loopback bez jawnej listy dozwolonych źródeł przeglądarki | `gateway.controlUi.allowedOrigins`                                                                 | nie                  |
| `gateway.control_ui.allowed_origins_wildcard`                   | ostrzeżenie/krytyczny | `allowedOrigins=["*"]` wyłącza listę dozwolonych źródeł przeglądarki                  | `gateway.controlUi.allowedOrigins`                                                                   | nie                  |
| `gateway.control_ui.host_header_origin_fallback`                | ostrzeżenie/krytyczny | Włącza awaryjne ustalanie źródła na podstawie nagłówka Host (osłabienie ochrony przed ponownym wiązaniem DNS) | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`                                         | nie                  |
| `gateway.control_ui.insecure_auth`                              | ostrzeżenie         | Włączono przełącznik zgodności z niezabezpieczonym uwierzytelnianiem                    | `gateway.controlUi.allowInsecureAuth`                                                                | nie                  |
| `gateway.control_ui.device_auth_disabled`                       | krytyczny           | Wyłącza sprawdzanie tożsamości urządzenia                                               | `gateway.controlUi.dangerouslyDisableDeviceAuth`                                                     | nie                  |
| `gateway.real_ip_fallback_enabled`                              | ostrzeżenie/krytyczny | Zaufanie do awaryjnej wartości `X-Real-IP` może umożliwić fałszowanie źródłowego adresu IP przy błędnej konfiguracji proxy | `gateway.allowRealIpFallback`, `gateway.trustedProxies`                                              | nie                  |
| `gateway.token_too_short`                                       | ostrzeżenie         | Krótki współdzielony token jest łatwiejszy do odgadnięcia metodą siłową                 | `gateway.auth.token`                                                                                 | nie                  |
| `gateway.auth_no_rate_limit`                                    | ostrzeżenie         | Udostępnione uwierzytelnianie bez ograniczania częstotliwości zwiększa ryzyko ataku siłowego | `gateway.auth.rateLimit`                                                                             | nie                  |
| `gateway.trusted_proxy_auth`                                    | krytyczny           | Tożsamość proxy staje się granicą uwierzytelniania                                      | `gateway.auth.mode="trusted-proxy"`                                                                  | nie                  |
| `gateway.trusted_proxy_no_proxies`                              | krytyczny           | Uwierzytelnianie przez zaufane proxy bez zaufanych adresów IP proxy jest niebezpieczne  | `gateway.trustedProxies`                                                                             | nie                  |
| `gateway.trusted_proxy_no_user_header`                          | krytyczny           | Uwierzytelnianie przez zaufany serwer proxy nie może bezpiecznie ustalić tożsamości użytkownika                                  | `gateway.auth.trustedProxy.userHeader`                                                               | nie       |
| `gateway.trusted_proxy_no_allowlist`                            | ostrzeżenie               | Uwierzytelnianie przez zaufany serwer proxy akceptuje dowolnego uwierzytelnionego użytkownika nadrzędnego                              | `gateway.auth.trustedProxy.allowUsers`                                                               | nie       |
| `gateway.trusted_proxy_allow_loopback`                          | ostrzeżenie               | Uwierzytelnianie przez zaufany serwer proxy akceptuje jawnie dozwolone źródła proxy local loopback                    | `gateway.auth.trustedProxy.allowLoopback`                                                            | nie       |
| `gateway.probe_auth_secretref_unavailable`                      | ostrzeżenie               | Dogłębna sonda nie mogła rozpoznać odwołań SecretRef uwierzytelniania w tej ścieżce polecenia                       | źródło uwierzytelniania dogłębnej sondy / dostępność SecretRef                                                      | nie       |
| `gateway.probe_failed`                                          | ostrzeżenie               | Sonda działającego Gateway zakończyła się niepowodzeniem (tylko `--deep`)                                               | osiągalność/uwierzytelnianie Gateway                                                                            | nie       |
| `discovery.mdns_full_mode`                                      | ostrzeżenie/krytyczny      | Pełny tryb mDNS rozgłasza metadane `cliPath`/`sshPort` w sieci lokalnej                 | `discovery.mdns.mode`, `gateway.bind`                                                                | nie       |
| `config.insecure_or_dangerous_flags`                            | ostrzeżenie               | Włączona jest jedna niezabezpieczona/niebezpieczna flaga debugowania                                            | klucz wskazany w szczegółach znaleziska                                                                          | nie       |
| `security.audit.suppressions.active`                            | informacja               | Dane wyjściowe audytu mają skonfigurowane wyciszenia i mogą być filtrowane                            | `security.audit.suppressions`                                                                        | nie       |
| `config.secrets.gateway_password_in_config`                     | ostrzeżenie               | Hasło Gateway jest przechowywane bezpośrednio w konfiguracji                                           | `gateway.auth.password`                                                                              | nie       |
| `config.secrets.hooks_token_in_config`                          | ostrzeżenie               | Token okaziciela zaczepów jest przechowywany bezpośrednio w konfiguracji                                          | `hooks.token`                                                                                        | nie       |
| `hooks.token_reuse_gateway_token`                               | krytyczny           | Token ruchu przychodzącego zaczepów odblokowuje również uwierzytelnianie Gateway                                            | `hooks.token`, `gateway.auth.token`, `gateway.auth.password`                                         | nie       |
| `hooks.token_too_short`                                         | ostrzeżenie               | Łatwiejszy atak siłowy na ruch przychodzący zaczepów                                                      | `hooks.token`                                                                                        | nie       |
| `hooks.default_session_key_unset`                               | ostrzeżenie               | Uruchomienia agenta przez zaczepy rozchodzą się na generowane sesje osobne dla każdego żądania                             | `hooks.defaultSessionKey`                                                                            | nie       |
| `hooks.allowed_agent_ids_unrestricted`                          | ostrzeżenie/krytyczny      | Uwierzytelnieni wywołujący zaczepy mogą kierować żądania do dowolnego skonfigurowanego agenta                            | `hooks.allowedAgentIds`                                                                              | nie       |
| `hooks.request_session_key_enabled`                             | ostrzeżenie/krytyczny      | Zewnętrzny wywołujący może wybrać sessionKey                                                   | `hooks.allowRequestSessionKey`                                                                       | nie       |
| `hooks.request_session_key_prefixes_missing`                    | ostrzeżenie/krytyczny      | Brak ograniczeń dotyczących postaci zewnętrznych kluczy sesji                                                 | `hooks.allowedSessionKeyPrefixes`                                                                    | nie       |
| `hooks.path_root`                                               | krytyczny           | Ścieżka zaczepów to `/`, co zwiększa ryzyko kolizji lub błędnego skierowania ruchu przychodzącego                          | `hooks.path`                                                                                         | nie       |
| `hooks.installs_unpinned_npm_specs`                             | ostrzeżenie               | Rekordy instalacji zaczepów nie są przypięte do niezmiennych specyfikacji npm                              | metadane instalacji zaczepów                                                                                | nie       |
| `hooks.installs_missing_integrity`                              | ostrzeżenie               | Rekordy instalacji zaczepów nie zawierają metadanych integralności                                            | metadane instalacji zaczepów                                                                                | nie       |
| `hooks.installs_version_drift`                                  | ostrzeżenie               | Rekordy instalacji zaczepów odbiegają od zainstalowanych pakietów                                      | metadane instalacji zaczepów                                                                                | nie       |
| `logging.redact_off`                                            | ostrzeżenie               | Wrażliwe wartości wyciekają do dzienników/stanu                                                    | `logging.redactSensitive`                                                                            | tak      |
| `browser.control_invalid_config`                                | ostrzeżenie               | Konfiguracja sterowania przeglądarką jest nieprawidłowa przed uruchomieniem                                        | `browser.*`                                                                                          | nie       |
| `browser.control_no_auth`                                       | krytyczny           | Sterowanie przeglądarką jest dostępne bez uwierzytelniania tokenem/hasłem                                     | `gateway.auth.*`                                                                                     | nie       |
| `browser.remote_cdp_http`                                       | ostrzeżenie               | Zdalne CDP przez zwykły protokół HTTP nie zapewnia szyfrowania transportu                                   | `cdpUrl` profilu przeglądarki                                                                             | nie       |
| `browser.remote_cdp_private_host`                               | ostrzeżenie               | Zdalne CDP wskazuje prywatny/wewnętrzny host                                              | `cdpUrl` profilu przeglądarki, `browser.ssrfPolicy.*`                                                     | nie       |
| `sandbox.docker_config_mode_off`                                | ostrzeżenie               | Konfiguracja Dockera dla piaskownicy istnieje, ale jest nieaktywna                                              | `agents.*.sandbox.mode`                                                                              | nie       |
| `sandbox.bind_mount_non_absolute`                               | ostrzeżenie               | Względne montowania dowiązań mogą być rozpoznawane w nieprzewidywalny sposób                                          | `agents.*.sandbox.docker.binds[]`                                                                    | nie       |
| `sandbox.dangerous_bind_mount`                                  | krytyczny           | Montowanie dowiązania piaskownicy wskazuje zablokowane ścieżki systemowe, poświadczeń lub gniazda Dockera           | `agents.*.sandbox.docker.binds[]`                                                                    | nie       |
| `sandbox.dangerous_network_mode`                                | krytyczny           | Sieć Dockera piaskownicy używa trybu dołączania do przestrzeni nazw `host` lub `container:*`                 | `agents.*.sandbox.docker.network`                                                                    | nie       |
| `sandbox.dangerous_seccomp_profile`                             | krytyczny           | Profil seccomp piaskownicy osłabia izolację kontenera                                     | `agents.*.sandbox.docker.securityOpt`                                                                | nie       |
| `sandbox.dangerous_apparmor_profile`                            | krytyczny           | Profil AppArmor piaskownicy osłabia izolację kontenera                                    | `agents.*.sandbox.docker.securityOpt`                                                                | nie       |
| `sandbox.browser_cdp_bridge_unrestricted`                       | ostrzeżenie               | Most przeglądarki piaskownicy jest dostępny bez ograniczenia zakresu źródeł                      | `sandbox.browser.cdpSourceRange`                                                                     | nie       |
| `sandbox.browser_container.non_loopback_publish`                | krytyczny           | Istniejący kontener przeglądarki publikuje CDP na interfejsach innych niż local loopback                     | konfiguracja publikowania kontenera piaskownicy przeglądarki                                                             | nie       |
| `sandbox.browser_container.hash_label_missing`                  | ostrzeżenie               | Istniejący kontener przeglądarki pochodzi sprzed obecnych etykiet skrótu konfiguracji                          | `openclaw sandbox recreate --browser --all`                                                          | nie       |
| `sandbox.browser_container.hash_epoch_stale`                    | ostrzeżenie               | Istniejący kontener przeglądarki pochodzi sprzed obecnej epoki konfiguracji przeglądarki                        | `openclaw sandbox recreate --browser --all`                                                          | nie       |
| `sandbox.browser_container.docker_probe_timeout`                | ostrzeżenie               | Upłynął limit czasu sondy etykiet Dockera dla kontenera przeglądarki                                  | osiągalność demona Dockera                                                                           | nie       |
| `tools.exec.host_sandbox_no_sandbox_defaults`                   | ostrzeżenie               | `exec host=sandbox` bezpiecznie odmawia działania, gdy piaskownica jest wyłączona                                    | `tools.exec.host`, `agents.defaults.sandbox.mode`                                                    | nie       |
| `tools.exec.host_sandbox_no_sandbox_agents`                     | ostrzeżenie               | `exec host=sandbox` dla poszczególnych agentów bezpiecznie odmawia działania, gdy piaskownica jest wyłączona                          | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`                                        | nie       |
| `tools.exec.security_full_configured`                           | ostrzeżenie/krytyczny      | Wykonywanie poleceń na hoście działa z ustawieniem `security="full"`                                             | `tools.exec.security`, `agents.list[].tools.exec.security`                                           | nie       |
| `tools.exec.agent_skill_mcp_boundary_drift`                     | ostrzeżenie               | Listy dozwolonych umiejętności agentów są obecne, podczas gdy wykonywanie na hoście może uzyskać dostęp do klientów/rejestrów MCP     | `agents.list[].tools.exec.*`, izolacja piaskownicy/systemu operacyjnego, poświadczenia serwera MCP                           | nie       |
| `tools.exec.fs_tools_disabled_but_exec_enabled`                 | ostrzeżenie              | Zasady narzędzi systemu plików nie ograniczają wykonywania poleceń powłoki do trybu tylko do odczytu                          | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess`                         | nie       |
| `tools.exec.auto_allow_skills_enabled`                          | ostrzeżenie              | Zatwierdzanie wykonywania niejawnie ufa plikom binarnym Skills                                              | plik zatwierdzeń hosta                                                                                  | nie       |
| `tools.exec.allowlist_interpreter_without_strict_inline_eval`   | ostrzeżenie              | Listy dozwolonych interpreterów zezwalają na bezpośrednie wykonywanie kodu bez wymuszonego ponownego zatwierdzenia                     | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, lista dozwolonych zatwierdzeń wykonywania | nie       |
| `tools.exec.safe_bins_interpreter_unprofiled`                   | ostrzeżenie              | Pliki binarne interpretera/środowiska wykonawczego w `safeBins` bez jawnych profili zwiększają ryzyko wykonywania      | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`                    | nie       |
| `tools.exec.safe_bins_broad_behavior`                           | ostrzeżenie              | Narzędzia o szerokim zakresie działania w `safeBins` osłabiają model zaufania niskiego ryzyka oparty na filtrowaniu standardowego wejścia         | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`                                           | nie       |
| `tools.exec.safe_bin_trusted_dirs_risky`                        | ostrzeżenie              | `safeBinTrustedDirs` obejmuje modyfikowalne lub ryzykowne katalogi                              | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs`                       | nie       |
| `tools.elevated.allowFrom.<provider>.wildcard`                  | krytyczne           | `tools.elevated.allowFrom.<provider>` zawiera `"*"`, zatwierdzając każdego nadawcę            | `tools.elevated.allowFrom.<provider>`                                                                | nie       |
| `tools.elevated.allowFrom.<provider>.large`                     | ostrzeżenie              | Lista dozwolonych uprawnień podwyższonych dla `<provider>` zawiera więcej niż 25 wpisów                            | `tools.elevated.allowFrom.<provider>`                                                                | nie       |
| `agents.claude_cli.permission_mode_overridden_by_yolo`          | ostrzeżenie              | Parametr `--permission-mode` Claude CLI jest ignorowany, ponieważ wykonywanie przez OpenClaw odbywa się całkowicie bez nadzoru     | argumenty `tools.exec.security`, `tools.exec.ask`, `cliBackends.claude-cli`                               | nie       |
| `skills.workspace.symlink_escape`                               | ostrzeżenie              | Ścieżka `skills/**/SKILL.md` w przestrzeni roboczej wskazuje poza jej katalog główny (zmiana łańcucha dowiązań symbolicznych)    | stan systemu plików `skills/**` w przestrzeni roboczej                                                               | nie       |
| `skills.workspace.scan_truncated`                               | ostrzeżenie              | Skanowanie Skills w przestrzeni roboczej osiągnęło limit odwiedzonych katalogów przed zakończeniem                       | spłaszcz lub uprość drzewo katalogu `skills/` w przestrzeni roboczej                                              | nie       |
| `plugins.extensions_no_allowlist`                               | ostrzeżenie              | Pluginy są instalowane bez jawnej listy dozwolonych Pluginów                              | `plugins.allowlist`                                                                                  | nie       |
| `plugins.allow_phantom_entries`                                 | ostrzeżenie              | `plugins.allow` zawiera identyfikator bez odpowiadającego mu zainstalowanego Pluginu                           | `plugins.allow`                                                                                      | nie       |
| `plugins.installs_unpinned_npm_specs`                           | ostrzeżenie              | Rekordy indeksu Pluginów nie są przypięte do niezmiennych specyfikacji npm                              | metadane instalacji Pluginu                                                                              | nie       |
| `plugins.installs_missing_integrity`                            | ostrzeżenie              | Rekordy indeksu Pluginów nie zawierają metadanych integralności                                            | metadane instalacji Pluginu                                                                              | nie       |
| `plugins.installs_version_drift`                                | ostrzeżenie              | Rekordy indeksu Pluginów różnią się od zainstalowanych pakietów                                      | metadane instalacji Pluginu                                                                              | nie       |
| `plugins.code_safety`                                           | ostrzeżenie/krytyczne      | Skanowanie kodu Pluginu wykryło podejrzane lub niebezpieczne wzorce (tylko `--deep`)                 | kod Pluginu / źródło instalacji                                                                         | nie       |
| `plugins.code_safety.entry_path`                                | ostrzeżenie              | Ścieżka wejściowa Pluginu wskazuje ukryte lokalizacje lub lokalizacje w `node_modules`                        | pole `entry` manifestu Pluginu                                                                              | nie       |
| `plugins.code_safety.entry_escape`                              | krytyczne           | Punkt wejścia Pluginu wychodzi poza katalog Pluginu                                               | pole `entry` manifestu Pluginu                                                                              | nie       |
| `plugins.code_safety.manifest_parse_error`                      | ostrzeżenie              | Nie udało się przeanalizować manifestu Pluginu podczas skanowania bezpieczeństwa kodu                         | plik manifestu Pluginu                                                                                 | nie       |
| `plugins.code_safety.scan_failed`                               | ostrzeżenie              | Nie udało się ukończyć skanowania kodu Pluginu (tylko `--deep`)                                     | ścieżka Pluginu / środowisko skanowania                                                                       | nie       |
| `plugins.<pluginId>.security_audit_failed`                      | ostrzeżenie              | Moduł zbierający dane audytu bezpieczeństwa należący do Pluginu zgłosił błąd                                  | moduł zbierający dane audytu bezpieczeństwa tego Pluginu                                                               | nie       |
| `skills.code_safety`                                            | ostrzeżenie/krytyczne      | Metadane lub kod instalatora Skills zawierają podejrzane albo niebezpieczne wzorce (tylko `--deep`) | źródło instalacji Skills                                                                                 | nie       |
| `skills.code_safety.scan_failed`                                | ostrzeżenie              | Nie udało się ukończyć skanowania kodu Skills (tylko `--deep`)                                      | środowisko skanowania Skills                                                                               | nie       |
| `security.exposure.open_channels_with_exec`                     | ostrzeżenie/krytyczne      | Agenci z włączonym wykonywaniem poleceń są dostępni z pokojów współdzielonych/publicznych                                       | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*`        | nie       |
| `security.exposure.open_groups_with_elevated`                   | krytyczne           | Otwarte wiadomości prywatne/grupy oraz narzędzia z podwyższonymi uprawnieniami tworzą ścieżki wstrzykiwania poleceń o poważnych skutkach              | ścieżki zasad wiadomości prywatnych najwyższego poziomu lub zagnieżdżone, ustawienia kont, `channels.*.groupPolicy`                     | nie       |
| `security.exposure.open_groups_with_runtime_or_fs`              | krytyczne/ostrzeżenie      | Otwarte wiadomości prywatne/grupy mają dostęp do narzędzi poleceń/plików bez zabezpieczeń piaskownicy/przestrzeni roboczej           | ścieżki zasad wiadomości prywatnych/grup, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode`       | nie       |
| `security.exposure.open_groups_with_control_plane_tools`        | krytyczne           | Otwarte wiadomości prywatne/grupy mają dostęp do narzędzi warstwy sterowania Gateway/Cron                              | ścieżki zasad wiadomości prywatnych/grup, `tools.allow`, `tools.alsoAllow`, `tools.profile`, `gateway`, `cron`          | nie       |
| `security.trust_model.multi_user_heuristic`                     | ostrzeżenie              | Konfiguracja wygląda na wieloużytkownikową, podczas gdy model zaufania Gateway zakłada osobistego asystenta                 | rozdziel granice zaufania lub wzmocnij zabezpieczenia dla współdzielonych użytkowników (`sandbox.mode`, blokowanie narzędzi/ograniczenie przestrzeni roboczej)       | nie       |
| `tools.profile_minimal_overridden`                              | ostrzeżenie              | Ustawienia agenta omijają globalny profil minimalny                                           | `agents.list[].tools.profile`                                                                        | nie       |
| `plugins.tools_reachable_permissive_policy`                     | ostrzeżenie              | Narzędzia rozszerzeń są dostępne w kontekstach z liberalnymi zasadami                                        | `tools.profile` + zezwalanie/blokowanie narzędzi                                                                    | nie       |
| `models.legacy`                                                 | ostrzeżenie              | Nadal skonfigurowane są starsze rodziny modeli                                              | wybór modelu                                                                                      | nie       |
| `models.weak_tier`                                              | ostrzeżenie              | Skonfigurowane modele nie spełniają obecnie zalecanych poziomów                                   | wybór modelu                                                                                      | nie       |
| `models.small_params`                                           | krytyczne/informacja      | Małe modele oraz niebezpieczne powierzchnie narzędzi zwiększają ryzyko wstrzyknięcia                                | wybór modelu + zasady piaskownicy/narzędzi                                                                   | nie       |
| `channels.<provider>.dm.open`                                   | krytyczne           | Zasada wiadomości prywatnych `<provider>` ma wartość `"open"`; każdy może wysłać wiadomość prywatną do bota                               | `channels.<provider>.dmPolicy`, `.allowFrom`                                                         | nie       |
| `channels.<provider>.dm.open_invalid`                           | ostrzeżenie              | Ustawienie `dmPolicy="open"` bez `"*"` w `allowFrom` jest niespójne                          | `channels.<provider>.allowFrom`                                                                      | nie       |
| `channels.<provider>.dm.scope_main_multiuser`                   | ostrzeżenie              | Wielu nadawców wiadomości prywatnych współdzieli obecnie główną sesję                                    | `session.dmScope`                                                                                    | nie       |
| `channels.<provider>.allowFrom.dangerous_name_matching_enabled` | informacja               | `dangerouslyAllowNameMatching` ponownie włącza dopasowywanie nadawców według zmiennej nazwy/adresu e-mail/znacznika        | wyłącz `dangerouslyAllowNameMatching`, używaj stabilnych identyfikatorów nadawców                                        | nie       |
| `channels.<provider>.account.read_only_resolution`              | ostrzeżenie              | Nie udało się w pełni rozpoznać konta kanału na potrzeby audytu (brak sekretu/Gateway)        | upewnij się, że wskazane sekrety można rozpoznać, lub uruchom względem aktywnej migawki Gateway                     | nie       |
| `channels.<provider>.warning.<n>`                               | informacja/ostrzeżenie/krytyczne | Ostrzeżenie bezpieczeństwa specyficzne dla dostawcy, sklasyfikowane na podstawie swobodnego tekstu Pluginu               | zobacz szczegóły ustalenia                                                                                   | nie       |
| `summary.attack_surface`                                        | informacje         | Zbiorcze podsumowanie stanu uwierzytelniania, kanałów, narzędzi i ekspozycji            | wiele kluczy (zobacz szczegóły ustalenia)                                                             | nie      |

Identyfikatory checkId `channels.<provider>.*` oraz `tools.elevated.allowFrom.<provider>.*` są
generowane dla każdego skonfigurowanego kanału/dostawcy, dlatego w rzeczywistych danych wyjściowych `<provider>` jest faktycznym identyfikatorem kanału
(na przykład `telegram`, `discord`), a nie ciągiem literałów.

## Powiązane

- [Bezpieczeństwo](/pl/gateway/security)
- [Konfiguracja](/pl/gateway/configuration)
- [Uwierzytelnianie zaufanego serwera proxy](/pl/gateway/trusted-proxy-auth)
