Gateway
Verificações de auditoria de segurança
openclaw security audit emite constatações estruturadas identificadas por checkId. Esta
página é o catálogo de referência desses IDs. Para conhecer o modelo de ameaças
de alto nível e as orientações de proteção, consulte Segurança.
Algumas verificações são executadas somente com openclaw security audit --deep: varreduras
do código de plugins/Skills (plugins.code_safety*, skills.code_safety*) e verificações
de sondagem do Gateway em execução (gateway.probe_*). Todas as demais verificações desta
tabela são executadas com um simples openclaw security audit.
Uma gravidade como warn/critical significa que o mesmo checkId pode ser emitido em
qualquer um dos níveis, dependendo da configuração (por exemplo, se o Gateway está exposto
remotamente). Valores de alta relevância que você provavelmente encontrará em implantações
reais (lista não exaustiva):
checkId |
Severidade | Por que isso é importante | Chave/caminho principal da correção | Correção automática |
|---|---|---|---|---|
fs.state_dir.perms_world_writable |
crítica | Outros usuários/processos podem modificar todo o estado do OpenClaw | permissões do sistema de arquivos em ~/.openclaw |
sim |
fs.state_dir.perms_group_writable |
aviso | Usuários do grupo podem modificar todo o estado do OpenClaw | permissões do sistema de arquivos em ~/.openclaw |
sim |
fs.state_dir.perms_readable |
aviso | O diretório de estado pode ser lido por outros | permissões do sistema de arquivos em ~/.openclaw |
sim |
fs.state_dir.symlink |
aviso | O destino do diretório de estado se torna outro limite de confiança | estrutura do sistema de arquivos do diretório de estado | não |
fs.config.perms_writable |
crítica | Outros podem alterar a autenticação, a política de ferramentas ou a configuração | permissões do sistema de arquivos em ~/.openclaw/openclaw.json |
sim |
fs.config.symlink |
aviso | Arquivos de configuração com links simbólicos não permitem gravação e adicionam outro limite de confiança | substituir por um arquivo de configuração comum ou apontar OPENCLAW_CONFIG_PATH para o arquivo real |
não |
fs.config.perms_group_readable |
aviso | Usuários do grupo podem ler tokens/configurações | permissões do sistema de arquivos no arquivo de configuração | sim |
fs.config.perms_world_readable |
crítica | A configuração pode expor tokens/configurações | permissões do sistema de arquivos no arquivo de configuração | sim |
fs.config_include.perms_writable |
crítica | O arquivo incluído na configuração pode ser modificado por outros | permissões do arquivo incluído referenciado em openclaw.json |
sim |
fs.config_include.perms_group_readable |
aviso | Usuários do grupo podem ler segredos/configurações incluídos | permissões do arquivo incluído referenciado em openclaw.json |
sim |
fs.config_include.perms_world_readable |
crítica | Os segredos/configurações incluídos podem ser lidos por qualquer usuário | permissões do arquivo incluído referenciado em openclaw.json |
sim |
fs.auth_profiles.perms_writable |
crítica | Outros podem injetar ou substituir credenciais de modelos armazenadas | permissões de agents/<agentId>/agent/auth-profiles.json |
sim |
fs.auth_profiles.perms_readable |
aviso | Outros podem ler chaves de API e tokens OAuth | permissões de agents/<agentId>/agent/auth-profiles.json |
sim |
fs.credentials_dir.perms_writable |
crítica | Outros podem modificar o estado de pareamento/credenciais do canal | permissões do sistema de arquivos em ~/.openclaw/credentials |
sim |
fs.credentials_dir.perms_readable |
aviso | Outros podem ler o estado das credenciais do canal | permissões do sistema de arquivos em ~/.openclaw/credentials |
sim |
fs.sessions_store.perms_readable |
aviso | Outros podem ler transcrições/metadados de sessões | permissões do armazenamento de sessões | sim |
fs.log_file.perms_readable |
aviso | Outros podem ler logs que foram expurgados, mas ainda são confidenciais | permissões do arquivo de log do Gateway | sim |
fs.synced_dir |
aviso | O estado/configuração no iCloud/Dropbox/Drive amplia a exposição de tokens/transcrições | mover a configuração/o estado para fora das pastas sincronizadas | não |
gateway.bind_no_auth |
crítica | Vinculação remota sem segredo compartilhado | gateway.bind, gateway.auth.* |
não |
gateway.loopback_no_auth |
crítica | O local loopback com proxy reverso pode ficar sem autenticação | gateway.auth.*, configuração do proxy |
não |
gateway.trusted_proxies_missing |
aviso | Cabeçalhos de proxy reverso estão presentes, mas não são confiáveis | gateway.trustedProxies |
não |
gateway.http.no_auth |
aviso/crítica | APIs HTTP do Gateway acessíveis com auth.mode="none" |
gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpc |
não |
gateway.http.session_key_override_enabled |
informativa | Chamadores da API HTTP podem substituir sessionKey |
gateway.http.allowSessionKeyOverride |
não |
gateway.tools_invoke_http.dangerous_allow |
aviso/crítica | Reativa ferramentas perigosas pela API HTTP para chamadores proprietários/administradores | gateway.tools.allow |
não |
gateway.nodes.allow_commands_dangerous |
aviso/crítica | Ativa comandos de Node de alto impacto (entrada da área de trabalho/câmera/tela/contatos/calendário/SMS) | gateway.nodes.allowCommands |
não |
gateway.nodes.deny_commands_ineffective |
aviso | Entradas de negação semelhantes a padrões não correspondem ao texto do shell nem a grupos | gateway.nodes.denyCommands |
não |
gateway.tailscale_funnel |
crítica | Exposição à internet pública | gateway.tailscale.mode |
não |
gateway.tailscale_serve |
informativa | A exposição à tailnet está ativada por meio do Serve | gateway.tailscale.mode |
não |
gateway.control_ui.allowed_origins_required |
crítica | Interface de controle fora do local loopback sem uma lista explícita de origens permitidas do navegador | gateway.controlUi.allowedOrigins |
não |
gateway.control_ui.allowed_origins_wildcard |
aviso/crítica | allowedOrigins=["*"] desativa a lista de origens permitidas do navegador |
gateway.controlUi.allowedOrigins |
não |
gateway.control_ui.host_header_origin_fallback |
aviso/crítica | Ativa o fallback de origem do cabeçalho Host (reduz a proteção contra revinculação de DNS) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback |
não |
gateway.control_ui.insecure_auth |
aviso | A opção de compatibilidade com autenticação insegura está ativada | gateway.controlUi.allowInsecureAuth |
não |
gateway.control_ui.device_auth_disabled |
crítica | Desativa a verificação da identidade do dispositivo | gateway.controlUi.dangerouslyDisableDeviceAuth |
não |
gateway.real_ip_fallback_enabled |
aviso/crítica | Confiar no fallback X-Real-IP pode permitir falsificação do IP de origem devido à configuração incorreta do proxy |
gateway.allowRealIpFallback, gateway.trustedProxies |
não |
gateway.token_too_short |
aviso | Um token compartilhado curto é mais fácil de descobrir por força bruta | gateway.auth.token |
não |
gateway.auth_no_rate_limit |
aviso | Autenticação exposta sem limitação de taxa aumenta o risco de ataques de força bruta | gateway.auth.rateLimit |
não |
gateway.trusted_proxy_auth |
crítica | A identidade do proxy passa a ser o limite da autenticação | gateway.auth.mode="trusted-proxy" |
não |
gateway.trusted_proxy_no_proxies |
crítica | A autenticação por proxy confiável sem IPs de proxy confiáveis não é segura | gateway.trustedProxies |
não |
gateway.trusted_proxy_no_user_header |
crítico | A autenticação por proxy confiável não consegue determinar a identidade do usuário com segurança | gateway.auth.trustedProxy.userHeader |
não |
gateway.trusted_proxy_no_allowlist |
aviso | A autenticação por proxy confiável aceita qualquer usuário autenticado pelo upstream | gateway.auth.trustedProxy.allowUsers |
não |
gateway.trusted_proxy_allow_loopback |
aviso | A autenticação por proxy confiável aceita fontes de proxy de local loopback explicitamente permitidas | gateway.auth.trustedProxy.allowLoopback |
não |
gateway.probe_auth_secretref_unavailable |
aviso | A sondagem aprofundada não conseguiu resolver SecretRefs de autenticação neste fluxo de comando | fonte de autenticação da sondagem aprofundada / disponibilidade de SecretRef | não |
gateway.probe_failed |
aviso | A sondagem em tempo real do Gateway falhou (somente --deep) |
acessibilidade/autenticação do Gateway | não |
discovery.mdns_full_mode |
aviso/crítico | O modo completo de mDNS anuncia metadados cliPath/sshPort na rede local |
discovery.mdns.mode, gateway.bind |
não |
config.insecure_or_dangerous_flags |
aviso | Uma opção de depuração insegura/perigosa está habilitada | chave indicada nos detalhes da constatação | não |
security.audit.suppressions.active |
informação | A saída da auditoria tem supressões configuradas e pode ser filtrada | security.audit.suppressions |
não |
config.secrets.gateway_password_in_config |
aviso | A senha do Gateway está armazenada diretamente na configuração | gateway.auth.password |
não |
config.secrets.hooks_token_in_config |
aviso | O token bearer do hook está armazenado diretamente na configuração | hooks.token |
não |
hooks.token_reuse_gateway_token |
crítico | O token de entrada do hook também libera a autenticação do Gateway | hooks.token, gateway.auth.token, gateway.auth.password |
não |
hooks.token_too_short |
aviso | Facilita ataques de força bruta à entrada do hook | hooks.token |
não |
hooks.default_session_key_unset |
aviso | As execuções de agentes por hooks se distribuem em sessões geradas por solicitação | hooks.defaultSessionKey |
não |
hooks.allowed_agent_ids_unrestricted |
aviso/crítico | Chamadores autenticados de hooks podem encaminhar para qualquer agente configurado | hooks.allowedAgentIds |
não |
hooks.request_session_key_enabled |
aviso/crítico | O chamador externo pode escolher sessionKey |
hooks.allowRequestSessionKey |
não |
hooks.request_session_key_prefixes_missing |
aviso/crítico | Não há restrição para os formatos de chaves de sessão externas | hooks.allowedSessionKeyPrefixes |
não |
hooks.path_root |
crítico | O caminho do hook é /, facilitando colisões ou encaminhamentos incorretos na entrada |
hooks.path |
não |
hooks.installs_unpinned_npm_specs |
aviso | Os registros de instalação de hooks não estão fixados em especificações npm imutáveis | metadados de instalação de hooks | não |
hooks.installs_missing_integrity |
aviso | Os registros de instalação de hooks não têm metadados de integridade | metadados de instalação de hooks | não |
hooks.installs_version_drift |
aviso | Os registros de instalação de hooks divergem dos pacotes instalados | metadados de instalação de hooks | não |
logging.redact_off |
aviso | Valores confidenciais vazam para logs/status | logging.redactSensitive |
sim |
browser.control_invalid_config |
aviso | A configuração de controle do navegador é inválida antes da execução | browser.* |
não |
browser.control_no_auth |
crítico | O controle do navegador está exposto sem autenticação por token/senha | gateway.auth.* |
não |
browser.remote_cdp_http |
aviso | O CDP remoto por HTTP simples não tem criptografia de transporte | cdpUrl do perfil do navegador |
não |
browser.remote_cdp_private_host |
aviso | O CDP remoto aponta para um host privado/interno | cdpUrl do perfil do navegador, browser.ssrfPolicy.* |
não |
sandbox.docker_config_mode_off |
aviso | A configuração do Docker para o sandbox está presente, mas inativa | agents.*.sandbox.mode |
não |
sandbox.bind_mount_non_absolute |
aviso | Montagens bind relativas podem ser resolvidas de forma imprevisível | agents.*.sandbox.docker.binds[] |
não |
sandbox.dangerous_bind_mount |
crítico | A montagem bind do sandbox aponta para caminhos bloqueados do sistema, de credenciais ou do socket do Docker | agents.*.sandbox.docker.binds[] |
não |
sandbox.dangerous_network_mode |
crítico | A rede Docker do sandbox usa o modo de associação ao namespace host ou container:* |
agents.*.sandbox.docker.network |
não |
sandbox.dangerous_seccomp_profile |
crítico | O perfil seccomp do sandbox enfraquece o isolamento do contêiner | agents.*.sandbox.docker.securityOpt |
não |
sandbox.dangerous_apparmor_profile |
crítico | O perfil AppArmor do sandbox enfraquece o isolamento do contêiner | agents.*.sandbox.docker.securityOpt |
não |
sandbox.browser_cdp_bridge_unrestricted |
aviso | A ponte do navegador do sandbox está exposta sem restrição de intervalo de origem | sandbox.browser.cdpSourceRange |
não |
sandbox.browser_container.non_loopback_publish |
crítico | O contêiner existente do navegador publica o CDP em interfaces que não são de loopback | configuração de publicação do contêiner do sandbox do navegador | não |
sandbox.browser_container.hash_label_missing |
aviso | O contêiner existente do navegador é anterior aos rótulos atuais de hash da configuração | openclaw sandbox recreate --browser --all |
não |
sandbox.browser_container.hash_epoch_stale |
aviso | O contêiner existente do navegador é anterior à época atual de configuração do navegador | openclaw sandbox recreate --browser --all |
não |
sandbox.browser_container.docker_probe_timeout |
aviso | A sondagem de rótulos do Docker para o contêiner do navegador atingiu o tempo limite | acessibilidade do daemon do Docker | não |
tools.exec.host_sandbox_no_sandbox_defaults |
aviso | exec host=sandbox falha de forma segura quando o sandbox está desativado |
tools.exec.host, agents.defaults.sandbox.mode |
não |
tools.exec.host_sandbox_no_sandbox_agents |
aviso | exec host=sandbox por agente falha de forma segura quando o sandbox está desativado |
agents.list[].tools.exec.host, agents.list[].sandbox.mode |
não |
tools.exec.security_full_configured |
aviso/crítico | A execução no host está operando com security="full" |
tools.exec.security, agents.list[].tools.exec.security |
não |
tools.exec.agent_skill_mcp_boundary_drift |
aviso | Há listas de permissões de Skills de agentes enquanto a execução no host pode acessar clientes/registros MCP | agents.list[].tools.exec.*, isolamento de sandbox/SO, credenciais do servidor MCP |
não |
tools.exec.fs_tools_disabled_but_exec_enabled |
aviso | A política de ferramentas do sistema de arquivos não torna a execução do shell somente leitura | tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess |
não |
tools.exec.auto_allow_skills_enabled |
aviso | As aprovações de execução confiam implicitamente nos binários de Skills | arquivo de aprovações do host | não |
tools.exec.allowlist_interpreter_without_strict_inline_eval |
aviso | As listas de permissões de interpretadores permitem avaliação em linha sem exigir nova aprovação | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, lista de permissões de execução |
não |
tools.exec.safe_bins_interpreter_unprofiled |
aviso | Binários de interpretador/runtime em safeBins sem perfis explícitos ampliam o risco de execução |
tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* |
não |
tools.exec.safe_bins_broad_behavior |
aviso | Ferramentas de comportamento amplo em safeBins enfraquecem o modelo de confiança de baixo risco do filtro de stdin |
tools.exec.safeBins, agents.list[].tools.exec.safeBins |
não |
tools.exec.safe_bin_trusted_dirs_risky |
aviso | safeBinTrustedDirs inclui diretórios mutáveis ou arriscados |
tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs |
não |
tools.elevated.allowFrom.<provider>.wildcard |
crítico | tools.elevated.allowFrom.<provider> inclui "*", aprovando todos os remetentes |
tools.elevated.allowFrom.<provider> |
não |
tools.elevated.allowFrom.<provider>.large |
aviso | A lista de permissões elevadas de <provider> tem mais de 25 entradas |
tools.elevated.allowFrom.<provider> |
não |
agents.claude_cli.permission_mode_overridden_by_yolo |
aviso | O --permission-mode da Claude CLI é ignorado porque a execução do OpenClaw é totalmente autônoma |
argumentos de tools.exec.security, tools.exec.ask, cliBackends.claude-cli |
não |
skills.workspace.symlink_escape |
aviso | O skills/**/SKILL.md do espaço de trabalho é resolvido fora da raiz do espaço de trabalho (desvio na cadeia de links simbólicos) |
estado do sistema de arquivos de skills/** no espaço de trabalho |
não |
skills.workspace.scan_truncated |
aviso | A varredura de Skills do espaço de trabalho atingiu o limite de visitas a diretórios antes de terminar | achatar/simplificar a árvore de diretórios skills/ do espaço de trabalho |
não |
plugins.extensions_no_allowlist |
aviso | Os plugins são instalados sem uma lista explícita de plugins permitidos | plugins.allowlist |
não |
plugins.allow_phantom_entries |
aviso | plugins.allow lista um ID sem um plugin instalado correspondente |
plugins.allow |
não |
plugins.installs_unpinned_npm_specs |
aviso | Os registros do índice de plugins não estão fixados em especificações npm imutáveis | metadados de instalação do plugin | não |
plugins.installs_missing_integrity |
aviso | Os registros do índice de plugins não têm metadados de integridade | metadados de instalação do plugin | não |
plugins.installs_version_drift |
aviso | Os registros do índice de plugins divergem dos pacotes instalados | metadados de instalação do plugin | não |
plugins.code_safety |
aviso/crítico | A varredura de código do plugin encontrou padrões suspeitos ou perigosos (somente --deep) |
código do plugin/origem da instalação | não |
plugins.code_safety.entry_path |
aviso | O caminho de entrada do plugin aponta para locais ocultos ou em node_modules |
entry do manifesto do plugin |
não |
plugins.code_safety.entry_escape |
crítico | A entrada do plugin escapa do diretório do plugin | entry do manifesto do plugin |
não |
plugins.code_safety.manifest_parse_error |
aviso | Não foi possível analisar o manifesto do plugin durante a varredura de segurança do código | arquivo de manifesto do plugin | não |
plugins.code_safety.scan_failed |
aviso | Não foi possível concluir a varredura de código do plugin (somente --deep) |
caminho do plugin/ambiente de varredura | não |
plugins.<pluginId>.security_audit_failed |
aviso | Um coletor de auditoria de segurança pertencente ao plugin gerou um erro | coletor de auditoria de segurança desse plugin | não |
skills.code_safety |
aviso/crítico | Os metadados/código do instalador de Skills contêm padrões suspeitos ou perigosos (somente --deep) |
origem da instalação de Skills | não |
skills.code_safety.scan_failed |
aviso | Não foi possível concluir a varredura de código de Skills (somente --deep) |
ambiente de varredura de Skills | não |
security.exposure.open_channels_with_exec |
aviso/crítico | Salas compartilhadas/públicas podem acessar agentes com execução habilitada | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* |
não |
security.exposure.open_groups_with_elevated |
crítico | DMs/grupos abertos + ferramentas elevadas criam caminhos de injeção de prompt de alto impacto | caminhos de política de DM de nível superior ou aninhados, substituições de conta, channels.*.groupPolicy |
não |
security.exposure.open_groups_with_runtime_or_fs |
crítico/aviso | DMs/grupos abertos podem acessar ferramentas de comando/arquivo sem proteções de sandbox/espaço de trabalho | caminhos de política de DM/grupo, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode |
não |
security.exposure.open_groups_with_control_plane_tools |
crítico | DMs/grupos abertos podem acessar ferramentas do plano de controle de Gateway/Cron | caminhos de política de DM/grupo, tools.allow, tools.alsoAllow, tools.profile, gateway, cron |
não |
security.trust_model.multi_user_heuristic |
aviso | A configuração parece ser multiusuário, enquanto o modelo de confiança do Gateway é de assistente pessoal | separar limites de confiança ou aplicar proteção para usuários compartilhados (sandbox.mode, negação de ferramentas/escopo do espaço de trabalho) |
não |
tools.profile_minimal_overridden |
aviso | Substituições do agente contornam o perfil mínimo global | agents.list[].tools.profile |
não |
plugins.tools_reachable_permissive_policy |
aviso | Ferramentas de extensão acessíveis em contextos permissivos | tools.profile + permissão/negação de ferramentas |
não |
models.legacy |
aviso | Famílias de modelos legadas ainda estão configuradas | seleção de modelo | não |
models.weak_tier |
aviso | Os modelos configurados estão abaixo dos níveis atualmente recomendados | seleção de modelo | não |
models.small_params |
crítico/informativo | Modelos pequenos + superfícies de ferramentas inseguras aumentam o risco de injeção | escolha do modelo + política de sandbox/ferramentas | não |
channels.<provider>.dm.open |
crítico | A política de DM de <provider> é "open"; qualquer pessoa pode enviar uma DM ao bot |
channels.<provider>.dmPolicy, .allowFrom |
não |
channels.<provider>.dm.open_invalid |
aviso | dmPolicy="open" sem "*" em allowFrom é inconsistente |
channels.<provider>.allowFrom |
não |
channels.<provider>.dm.scope_main_multiuser |
aviso | Vários remetentes de DM compartilham atualmente a sessão principal | session.dmScope |
não |
channels.<provider>.allowFrom.dangerous_name_matching_enabled |
informativo | dangerouslyAllowNameMatching reativa a correspondência de remetentes por nome/e-mail/tag mutáveis |
desabilitar dangerouslyAllowNameMatching, usar IDs estáveis de remetente |
não |
channels.<provider>.account.read_only_resolution |
aviso | Não foi possível resolver completamente uma conta de canal para auditoria (segredo/Gateway ausente) | garantir que os segredos referenciados possam ser resolvidos ou executar em um snapshot ativo do Gateway | não |
channels.<provider>.warning.<n> |
informativo/aviso/crítico | Aviso de segurança específico do provedor, classificado a partir de texto livre do plugin | consultar os detalhes da constatação | não |
summary.attack_surface |
informações | Resumo consolidado da postura de autenticação, canal, ferramenta e exposição | várias chaves (consulte os detalhes da constatação) | não |
Os checkIds channels.<provider>.* e tools.elevated.allowFrom.<provider>.* são
gerados para cada canal/provedor configurado, portanto <provider> é um identificador de canal real
(por exemplo, telegram, discord) na saída efetiva, e não uma string literal.