---
read_when:
    - Você viu um `checkId` específico na saída de `openclaw security audit` e quer saber o que ele significa
    - Você precisa da chave/do caminho da correção para uma determinada constatação
    - Você está fazendo a triagem de gravidade em uma execução de auditoria de segurança
summary: Catálogo de referência dos checkIds emitidos pela auditoria de segurança do OpenClaw
title: Verificações de auditoria de segurança
x-i18n:
    generated_at: "2026-07-11T23:58:01Z"
    model: gpt-5.6
    postprocess_version: locale-links-v1
    provider: openai
    source_hash: 10ad6c83327fb3e299b80c35761256e2bac46a2d9d5204de6bef63976818e255
    source_path: gateway/security/audit-checks.md
    workflow: 16
---

`openclaw security audit` emite constatações estruturadas identificadas por `checkId`. Esta
página é o catálogo de referência desses IDs. Para conhecer o modelo de ameaças
de alto nível e as orientações de proteção, consulte [Segurança](/pt-BR/gateway/security).

Algumas verificações são executadas somente com `openclaw security audit --deep`: varreduras
do código de plugins/Skills (`plugins.code_safety*`, `skills.code_safety*`) e verificações
de sondagem do Gateway em execução (`gateway.probe_*`). Todas as demais verificações desta
tabela são executadas com um simples `openclaw security audit`.

Uma gravidade como `warn/critical` significa que o mesmo `checkId` pode ser emitido em
qualquer um dos níveis, dependendo da configuração (por exemplo, se o Gateway está exposto
remotamente). Valores de alta relevância que você provavelmente encontrará em implantações
reais (lista não exaustiva):

| `checkId`                                                       | Severidade         | Por que isso é importante                                                               | Chave/caminho principal da correção                                                                  | Correção automática |
| --------------------------------------------------------------- | ------------------ | --------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- | ------------------- |
| `fs.state_dir.perms_world_writable`                             | crítica            | Outros usuários/processos podem modificar todo o estado do OpenClaw                     | permissões do sistema de arquivos em `~/.openclaw`                                                   | sim                 |
| `fs.state_dir.perms_group_writable`                             | aviso              | Usuários do grupo podem modificar todo o estado do OpenClaw                             | permissões do sistema de arquivos em `~/.openclaw`                                                   | sim                 |
| `fs.state_dir.perms_readable`                                   | aviso              | O diretório de estado pode ser lido por outros                                          | permissões do sistema de arquivos em `~/.openclaw`                                                   | sim                 |
| `fs.state_dir.symlink`                                          | aviso              | O destino do diretório de estado se torna outro limite de confiança                     | estrutura do sistema de arquivos do diretório de estado                                              | não                 |
| `fs.config.perms_writable`                                      | crítica            | Outros podem alterar a autenticação, a política de ferramentas ou a configuração        | permissões do sistema de arquivos em `~/.openclaw/openclaw.json`                                     | sim                 |
| `fs.config.symlink`                                             | aviso              | Arquivos de configuração com links simbólicos não permitem gravação e adicionam outro limite de confiança | substituir por um arquivo de configuração comum ou apontar `OPENCLAW_CONFIG_PATH` para o arquivo real | não                 |
| `fs.config.perms_group_readable`                                | aviso              | Usuários do grupo podem ler tokens/configurações                                        | permissões do sistema de arquivos no arquivo de configuração                                         | sim                 |
| `fs.config.perms_world_readable`                                | crítica            | A configuração pode expor tokens/configurações                                          | permissões do sistema de arquivos no arquivo de configuração                                         | sim                 |
| `fs.config_include.perms_writable`                              | crítica            | O arquivo incluído na configuração pode ser modificado por outros                       | permissões do arquivo incluído referenciado em `openclaw.json`                                       | sim                 |
| `fs.config_include.perms_group_readable`                        | aviso              | Usuários do grupo podem ler segredos/configurações incluídos                            | permissões do arquivo incluído referenciado em `openclaw.json`                                       | sim                 |
| `fs.config_include.perms_world_readable`                        | crítica            | Os segredos/configurações incluídos podem ser lidos por qualquer usuário                | permissões do arquivo incluído referenciado em `openclaw.json`                                       | sim                 |
| `fs.auth_profiles.perms_writable`                               | crítica            | Outros podem injetar ou substituir credenciais de modelos armazenadas                   | permissões de `agents/<agentId>/agent/auth-profiles.json`                                            | sim                 |
| `fs.auth_profiles.perms_readable`                               | aviso              | Outros podem ler chaves de API e tokens OAuth                                           | permissões de `agents/<agentId>/agent/auth-profiles.json`                                            | sim                 |
| `fs.credentials_dir.perms_writable`                             | crítica            | Outros podem modificar o estado de pareamento/credenciais do canal                      | permissões do sistema de arquivos em `~/.openclaw/credentials`                                       | sim                 |
| `fs.credentials_dir.perms_readable`                             | aviso              | Outros podem ler o estado das credenciais do canal                                      | permissões do sistema de arquivos em `~/.openclaw/credentials`                                       | sim                 |
| `fs.sessions_store.perms_readable`                              | aviso              | Outros podem ler transcrições/metadados de sessões                                      | permissões do armazenamento de sessões                                                               | sim                 |
| `fs.log_file.perms_readable`                                    | aviso              | Outros podem ler logs que foram expurgados, mas ainda são confidenciais                 | permissões do arquivo de log do Gateway                                                              | sim                 |
| `fs.synced_dir`                                                 | aviso              | O estado/configuração no iCloud/Dropbox/Drive amplia a exposição de tokens/transcrições | mover a configuração/o estado para fora das pastas sincronizadas                                     | não                 |
| `gateway.bind_no_auth`                                          | crítica            | Vinculação remota sem segredo compartilhado                                             | `gateway.bind`, `gateway.auth.*`                                                                     | não                 |
| `gateway.loopback_no_auth`                                      | crítica            | O local loopback com proxy reverso pode ficar sem autenticação                          | `gateway.auth.*`, configuração do proxy                                                              | não                 |
| `gateway.trusted_proxies_missing`                               | aviso              | Cabeçalhos de proxy reverso estão presentes, mas não são confiáveis                     | `gateway.trustedProxies`                                                                             | não                 |
| `gateway.http.no_auth`                                          | aviso/crítica      | APIs HTTP do Gateway acessíveis com `auth.mode="none"`                                  | `gateway.auth.mode`, `gateway.http.endpoints.*`, `plugins.entries.admin-http-rpc`                    | não                 |
| `gateway.http.session_key_override_enabled`                     | informativa        | Chamadores da API HTTP podem substituir `sessionKey`                                    | `gateway.http.allowSessionKeyOverride`                                                               | não                 |
| `gateway.tools_invoke_http.dangerous_allow`                     | aviso/crítica      | Reativa ferramentas perigosas pela API HTTP para chamadores proprietários/administradores | `gateway.tools.allow`                                                                                | não                 |
| `gateway.nodes.allow_commands_dangerous`                        | aviso/crítica      | Ativa comandos de Node de alto impacto (entrada da área de trabalho/câmera/tela/contatos/calendário/SMS) | `gateway.nodes.allowCommands`                                                                        | não                 |
| `gateway.nodes.deny_commands_ineffective`                       | aviso              | Entradas de negação semelhantes a padrões não correspondem ao texto do shell nem a grupos | `gateway.nodes.denyCommands`                                                                         | não                 |
| `gateway.tailscale_funnel`                                      | crítica            | Exposição à internet pública                                                            | `gateway.tailscale.mode`                                                                             | não                 |
| `gateway.tailscale_serve`                                       | informativa        | A exposição à tailnet está ativada por meio do Serve                                    | `gateway.tailscale.mode`                                                                             | não                 |
| `gateway.control_ui.allowed_origins_required`                   | crítica            | Interface de controle fora do local loopback sem uma lista explícita de origens permitidas do navegador | `gateway.controlUi.allowedOrigins`                                                                   | não                 |
| `gateway.control_ui.allowed_origins_wildcard`                   | aviso/crítica      | `allowedOrigins=["*"]` desativa a lista de origens permitidas do navegador              | `gateway.controlUi.allowedOrigins`                                                                   | não                 |
| `gateway.control_ui.host_header_origin_fallback`                | aviso/crítica      | Ativa o fallback de origem do cabeçalho Host (reduz a proteção contra revinculação de DNS) | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`                                         | não                 |
| `gateway.control_ui.insecure_auth`                              | aviso              | A opção de compatibilidade com autenticação insegura está ativada                       | `gateway.controlUi.allowInsecureAuth`                                                                | não                 |
| `gateway.control_ui.device_auth_disabled`                       | crítica            | Desativa a verificação da identidade do dispositivo                                     | `gateway.controlUi.dangerouslyDisableDeviceAuth`                                                     | não                 |
| `gateway.real_ip_fallback_enabled`                              | aviso/crítica      | Confiar no fallback `X-Real-IP` pode permitir falsificação do IP de origem devido à configuração incorreta do proxy | `gateway.allowRealIpFallback`, `gateway.trustedProxies`                                              | não                 |
| `gateway.token_too_short`                                       | aviso              | Um token compartilhado curto é mais fácil de descobrir por força bruta                  | `gateway.auth.token`                                                                                 | não                 |
| `gateway.auth_no_rate_limit`                                    | aviso              | Autenticação exposta sem limitação de taxa aumenta o risco de ataques de força bruta    | `gateway.auth.rateLimit`                                                                             | não                 |
| `gateway.trusted_proxy_auth`                                    | crítica            | A identidade do proxy passa a ser o limite da autenticação                              | `gateway.auth.mode="trusted-proxy"`                                                                  | não                 |
| `gateway.trusted_proxy_no_proxies`                              | crítica            | A autenticação por proxy confiável sem IPs de proxy confiáveis não é segura             | `gateway.trustedProxies`                                                                             | não                 |
| `gateway.trusted_proxy_no_user_header`                          | crítico            | A autenticação por proxy confiável não consegue determinar a identidade do usuário com segurança                    | `gateway.auth.trustedProxy.userHeader`                                                               | não      |
| `gateway.trusted_proxy_no_allowlist`                            | aviso              | A autenticação por proxy confiável aceita qualquer usuário autenticado pelo upstream                                  | `gateway.auth.trustedProxy.allowUsers`                                                               | não      |
| `gateway.trusted_proxy_allow_loopback`                          | aviso              | A autenticação por proxy confiável aceita fontes de proxy de local loopback explicitamente permitidas                 | `gateway.auth.trustedProxy.allowLoopback`                                                            | não      |
| `gateway.probe_auth_secretref_unavailable`                      | aviso              | A sondagem aprofundada não conseguiu resolver SecretRefs de autenticação neste fluxo de comando                       | fonte de autenticação da sondagem aprofundada / disponibilidade de SecretRef                          | não      |
| `gateway.probe_failed`                                          | aviso              | A sondagem em tempo real do Gateway falhou (somente `--deep`)                                                         | acessibilidade/autenticação do Gateway                                                               | não      |
| `discovery.mdns_full_mode`                                      | aviso/crítico      | O modo completo de mDNS anuncia metadados `cliPath`/`sshPort` na rede local                                             | `discovery.mdns.mode`, `gateway.bind`                                                                | não      |
| `config.insecure_or_dangerous_flags`                            | aviso              | Uma opção de depuração insegura/perigosa está habilitada                                                              | chave indicada nos detalhes da constatação                                                           | não      |
| `security.audit.suppressions.active`                            | informação         | A saída da auditoria tem supressões configuradas e pode ser filtrada                                                   | `security.audit.suppressions`                                                                        | não      |
| `config.secrets.gateway_password_in_config`                     | aviso              | A senha do Gateway está armazenada diretamente na configuração                                                        | `gateway.auth.password`                                                                              | não      |
| `config.secrets.hooks_token_in_config`                          | aviso              | O token bearer do hook está armazenado diretamente na configuração                                                    | `hooks.token`                                                                                        | não      |
| `hooks.token_reuse_gateway_token`                               | crítico            | O token de entrada do hook também libera a autenticação do Gateway                                                     | `hooks.token`, `gateway.auth.token`, `gateway.auth.password`                                         | não      |
| `hooks.token_too_short`                                         | aviso              | Facilita ataques de força bruta à entrada do hook                                                                     | `hooks.token`                                                                                        | não      |
| `hooks.default_session_key_unset`                               | aviso              | As execuções de agentes por hooks se distribuem em sessões geradas por solicitação                                     | `hooks.defaultSessionKey`                                                                            | não      |
| `hooks.allowed_agent_ids_unrestricted`                          | aviso/crítico      | Chamadores autenticados de hooks podem encaminhar para qualquer agente configurado                                     | `hooks.allowedAgentIds`                                                                              | não      |
| `hooks.request_session_key_enabled`                             | aviso/crítico      | O chamador externo pode escolher `sessionKey`                                                                         | `hooks.allowRequestSessionKey`                                                                       | não      |
| `hooks.request_session_key_prefixes_missing`                    | aviso/crítico      | Não há restrição para os formatos de chaves de sessão externas                                                        | `hooks.allowedSessionKeyPrefixes`                                                                    | não      |
| `hooks.path_root`                                               | crítico            | O caminho do hook é `/`, facilitando colisões ou encaminhamentos incorretos na entrada                                 | `hooks.path`                                                                                         | não      |
| `hooks.installs_unpinned_npm_specs`                             | aviso              | Os registros de instalação de hooks não estão fixados em especificações npm imutáveis                                 | metadados de instalação de hooks                                                                     | não      |
| `hooks.installs_missing_integrity`                              | aviso              | Os registros de instalação de hooks não têm metadados de integridade                                                  | metadados de instalação de hooks                                                                     | não      |
| `hooks.installs_version_drift`                                  | aviso              | Os registros de instalação de hooks divergem dos pacotes instalados                                                   | metadados de instalação de hooks                                                                     | não      |
| `logging.redact_off`                                            | aviso              | Valores confidenciais vazam para logs/status                                                                          | `logging.redactSensitive`                                                                            | sim      |
| `browser.control_invalid_config`                                | aviso              | A configuração de controle do navegador é inválida antes da execução                                                  | `browser.*`                                                                                          | não      |
| `browser.control_no_auth`                                       | crítico            | O controle do navegador está exposto sem autenticação por token/senha                                                 | `gateway.auth.*`                                                                                     | não      |
| `browser.remote_cdp_http`                                       | aviso              | O CDP remoto por HTTP simples não tem criptografia de transporte                                                       | `cdpUrl` do perfil do navegador                                                                      | não      |
| `browser.remote_cdp_private_host`                               | aviso              | O CDP remoto aponta para um host privado/interno                                                                      | `cdpUrl` do perfil do navegador, `browser.ssrfPolicy.*`                                              | não      |
| `sandbox.docker_config_mode_off`                                | aviso              | A configuração do Docker para o sandbox está presente, mas inativa                                                    | `agents.*.sandbox.mode`                                                                              | não      |
| `sandbox.bind_mount_non_absolute`                               | aviso              | Montagens bind relativas podem ser resolvidas de forma imprevisível                                                    | `agents.*.sandbox.docker.binds[]`                                                                    | não      |
| `sandbox.dangerous_bind_mount`                                  | crítico            | A montagem bind do sandbox aponta para caminhos bloqueados do sistema, de credenciais ou do socket do Docker          | `agents.*.sandbox.docker.binds[]`                                                                    | não      |
| `sandbox.dangerous_network_mode`                                | crítico            | A rede Docker do sandbox usa o modo de associação ao namespace `host` ou `container:*`                                | `agents.*.sandbox.docker.network`                                                                    | não      |
| `sandbox.dangerous_seccomp_profile`                             | crítico            | O perfil seccomp do sandbox enfraquece o isolamento do contêiner                                                      | `agents.*.sandbox.docker.securityOpt`                                                                | não      |
| `sandbox.dangerous_apparmor_profile`                            | crítico            | O perfil AppArmor do sandbox enfraquece o isolamento do contêiner                                                     | `agents.*.sandbox.docker.securityOpt`                                                                | não      |
| `sandbox.browser_cdp_bridge_unrestricted`                       | aviso              | A ponte do navegador do sandbox está exposta sem restrição de intervalo de origem                                     | `sandbox.browser.cdpSourceRange`                                                                     | não      |
| `sandbox.browser_container.non_loopback_publish`                | crítico            | O contêiner existente do navegador publica o CDP em interfaces que não são de loopback                                | configuração de publicação do contêiner do sandbox do navegador                                      | não      |
| `sandbox.browser_container.hash_label_missing`                  | aviso              | O contêiner existente do navegador é anterior aos rótulos atuais de hash da configuração                             | `openclaw sandbox recreate --browser --all`                                                          | não      |
| `sandbox.browser_container.hash_epoch_stale`                    | aviso              | O contêiner existente do navegador é anterior à época atual de configuração do navegador                             | `openclaw sandbox recreate --browser --all`                                                          | não      |
| `sandbox.browser_container.docker_probe_timeout`                | aviso              | A sondagem de rótulos do Docker para o contêiner do navegador atingiu o tempo limite                                  | acessibilidade do daemon do Docker                                                                   | não      |
| `tools.exec.host_sandbox_no_sandbox_defaults`                   | aviso              | `exec host=sandbox` falha de forma segura quando o sandbox está desativado                                             | `tools.exec.host`, `agents.defaults.sandbox.mode`                                                    | não      |
| `tools.exec.host_sandbox_no_sandbox_agents`                     | aviso              | `exec host=sandbox` por agente falha de forma segura quando o sandbox está desativado                                 | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode`                                        | não      |
| `tools.exec.security_full_configured`                           | aviso/crítico      | A execução no host está operando com `security="full"`                                                                | `tools.exec.security`, `agents.list[].tools.exec.security`                                           | não      |
| `tools.exec.agent_skill_mcp_boundary_drift`                     | aviso              | Há listas de permissões de Skills de agentes enquanto a execução no host pode acessar clientes/registros MCP         | `agents.list[].tools.exec.*`, isolamento de sandbox/SO, credenciais do servidor MCP                  | não      |
| `tools.exec.fs_tools_disabled_but_exec_enabled`                 | aviso              | A política de ferramentas do sistema de arquivos não torna a execução do shell somente leitura                   | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess`                         | não      |
| `tools.exec.auto_allow_skills_enabled`                          | aviso              | As aprovações de execução confiam implicitamente nos binários de Skills                                           | arquivo de aprovações do host                                                                         | não      |
| `tools.exec.allowlist_interpreter_without_strict_inline_eval`   | aviso              | As listas de permissões de interpretadores permitem avaliação em linha sem exigir nova aprovação                  | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, lista de permissões de execução | não      |
| `tools.exec.safe_bins_interpreter_unprofiled`                   | aviso              | Binários de interpretador/runtime em `safeBins` sem perfis explícitos ampliam o risco de execução                 | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*`                    | não      |
| `tools.exec.safe_bins_broad_behavior`                           | aviso              | Ferramentas de comportamento amplo em `safeBins` enfraquecem o modelo de confiança de baixo risco do filtro de stdin | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins`                                           | não      |
| `tools.exec.safe_bin_trusted_dirs_risky`                        | aviso              | `safeBinTrustedDirs` inclui diretórios mutáveis ou arriscados                                                     | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs`                       | não      |
| `tools.elevated.allowFrom.<provider>.wildcard`                  | crítico            | `tools.elevated.allowFrom.<provider>` inclui `"*"`, aprovando todos os remetentes                                 | `tools.elevated.allowFrom.<provider>`                                                                | não      |
| `tools.elevated.allowFrom.<provider>.large`                     | aviso              | A lista de permissões elevadas de `<provider>` tem mais de 25 entradas                                            | `tools.elevated.allowFrom.<provider>`                                                                | não      |
| `agents.claude_cli.permission_mode_overridden_by_yolo`          | aviso              | O `--permission-mode` da Claude CLI é ignorado porque a execução do OpenClaw é totalmente autônoma                | argumentos de `tools.exec.security`, `tools.exec.ask`, `cliBackends.claude-cli`                      | não      |
| `skills.workspace.symlink_escape`                               | aviso              | O `skills/**/SKILL.md` do espaço de trabalho é resolvido fora da raiz do espaço de trabalho (desvio na cadeia de links simbólicos) | estado do sistema de arquivos de `skills/**` no espaço de trabalho                                   | não      |
| `skills.workspace.scan_truncated`                               | aviso              | A varredura de Skills do espaço de trabalho atingiu o limite de visitas a diretórios antes de terminar            | achatar/simplificar a árvore de diretórios `skills/` do espaço de trabalho                            | não      |
| `plugins.extensions_no_allowlist`                               | aviso              | Os plugins são instalados sem uma lista explícita de plugins permitidos                                           | `plugins.allowlist`                                                                                  | não      |
| `plugins.allow_phantom_entries`                                 | aviso              | `plugins.allow` lista um ID sem um plugin instalado correspondente                                               | `plugins.allow`                                                                                      | não      |
| `plugins.installs_unpinned_npm_specs`                           | aviso              | Os registros do índice de plugins não estão fixados em especificações npm imutáveis                              | metadados de instalação do plugin                                                                     | não      |
| `plugins.installs_missing_integrity`                            | aviso              | Os registros do índice de plugins não têm metadados de integridade                                               | metadados de instalação do plugin                                                                     | não      |
| `plugins.installs_version_drift`                                | aviso              | Os registros do índice de plugins divergem dos pacotes instalados                                                | metadados de instalação do plugin                                                                     | não      |
| `plugins.code_safety`                                           | aviso/crítico      | A varredura de código do plugin encontrou padrões suspeitos ou perigosos (somente `--deep`)                       | código do plugin/origem da instalação                                                                 | não      |
| `plugins.code_safety.entry_path`                                | aviso              | O caminho de entrada do plugin aponta para locais ocultos ou em `node_modules`                                   | `entry` do manifesto do plugin                                                                        | não      |
| `plugins.code_safety.entry_escape`                              | crítico            | A entrada do plugin escapa do diretório do plugin                                                                | `entry` do manifesto do plugin                                                                        | não      |
| `plugins.code_safety.manifest_parse_error`                      | aviso              | Não foi possível analisar o manifesto do plugin durante a varredura de segurança do código                       | arquivo de manifesto do plugin                                                                        | não      |
| `plugins.code_safety.scan_failed`                               | aviso              | Não foi possível concluir a varredura de código do plugin (somente `--deep`)                                      | caminho do plugin/ambiente de varredura                                                               | não      |
| `plugins.<pluginId>.security_audit_failed`                      | aviso              | Um coletor de auditoria de segurança pertencente ao plugin gerou um erro                                         | coletor de auditoria de segurança desse plugin                                                       | não      |
| `skills.code_safety`                                            | aviso/crítico      | Os metadados/código do instalador de Skills contêm padrões suspeitos ou perigosos (somente `--deep`)              | origem da instalação de Skills                                                                        | não      |
| `skills.code_safety.scan_failed`                                | aviso              | Não foi possível concluir a varredura de código de Skills (somente `--deep`)                                     | ambiente de varredura de Skills                                                                       | não      |
| `security.exposure.open_channels_with_exec`                     | aviso/crítico      | Salas compartilhadas/públicas podem acessar agentes com execução habilitada                                      | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*`        | não      |
| `security.exposure.open_groups_with_elevated`                   | crítico            | DMs/grupos abertos + ferramentas elevadas criam caminhos de injeção de prompt de alto impacto                    | caminhos de política de DM de nível superior ou aninhados, substituições de conta, `channels.*.groupPolicy` | não      |
| `security.exposure.open_groups_with_runtime_or_fs`              | crítico/aviso      | DMs/grupos abertos podem acessar ferramentas de comando/arquivo sem proteções de sandbox/espaço de trabalho       | caminhos de política de DM/grupo, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode` | não      |
| `security.exposure.open_groups_with_control_plane_tools`        | crítico            | DMs/grupos abertos podem acessar ferramentas do plano de controle de Gateway/Cron                                | caminhos de política de DM/grupo, `tools.allow`, `tools.alsoAllow`, `tools.profile`, `gateway`, `cron` | não      |
| `security.trust_model.multi_user_heuristic`                     | aviso              | A configuração parece ser multiusuário, enquanto o modelo de confiança do Gateway é de assistente pessoal        | separar limites de confiança ou aplicar proteção para usuários compartilhados (`sandbox.mode`, negação de ferramentas/escopo do espaço de trabalho) | não      |
| `tools.profile_minimal_overridden`                              | aviso              | Substituições do agente contornam o perfil mínimo global                                                         | `agents.list[].tools.profile`                                                                        | não      |
| `plugins.tools_reachable_permissive_policy`                     | aviso              | Ferramentas de extensão acessíveis em contextos permissivos                                                      | `tools.profile` + permissão/negação de ferramentas                                                    | não      |
| `models.legacy`                                                 | aviso              | Famílias de modelos legadas ainda estão configuradas                                                             | seleção de modelo                                                                                     | não      |
| `models.weak_tier`                                              | aviso              | Os modelos configurados estão abaixo dos níveis atualmente recomendados                                          | seleção de modelo                                                                                     | não      |
| `models.small_params`                                           | crítico/informativo | Modelos pequenos + superfícies de ferramentas inseguras aumentam o risco de injeção                              | escolha do modelo + política de sandbox/ferramentas                                                   | não      |
| `channels.<provider>.dm.open`                                   | crítico            | A política de DM de `<provider>` é `"open"`; qualquer pessoa pode enviar uma DM ao bot                           | `channels.<provider>.dmPolicy`, `.allowFrom`                                                         | não      |
| `channels.<provider>.dm.open_invalid`                           | aviso              | `dmPolicy="open"` sem `"*"` em `allowFrom` é inconsistente                                                       | `channels.<provider>.allowFrom`                                                                      | não      |
| `channels.<provider>.dm.scope_main_multiuser`                   | aviso              | Vários remetentes de DM compartilham atualmente a sessão principal                                              | `session.dmScope`                                                                                    | não      |
| `channels.<provider>.allowFrom.dangerous_name_matching_enabled` | informativo        | `dangerouslyAllowNameMatching` reativa a correspondência de remetentes por nome/e-mail/tag mutáveis              | desabilitar `dangerouslyAllowNameMatching`, usar IDs estáveis de remetente                            | não      |
| `channels.<provider>.account.read_only_resolution`              | aviso              | Não foi possível resolver completamente uma conta de canal para auditoria (segredo/Gateway ausente)              | garantir que os segredos referenciados possam ser resolvidos ou executar em um snapshot ativo do Gateway | não      |
| `channels.<provider>.warning.<n>`                               | informativo/aviso/crítico | Aviso de segurança específico do provedor, classificado a partir de texto livre do plugin                   | consultar os detalhes da constatação                                                                  | não      |
| `summary.attack_surface`                                        | informações        | Resumo consolidado da postura de autenticação, canal, ferramenta e exposição            | várias chaves (consulte os detalhes da constatação)                                                  | não      |

Os checkIds `channels.<provider>.*` e `tools.elevated.allowFrom.<provider>.*` são
gerados para cada canal/provedor configurado, portanto `<provider>` é um identificador de canal real
(por exemplo, `telegram`, `discord`) na saída efetiva, e não uma string literal.

## Relacionado

- [Segurança](/pt-BR/gateway/security)
- [Configuração](/pt-BR/gateway/configuration)
- [Autenticação de proxy confiável](/pt-BR/gateway/trusted-proxy-auth)
