Gateway

Güvenlik denetimi kontrolleri

openclaw security audit, checkId ile anahtarlanmış yapılandırılmış bulgılar üretir. Bu sayfa, söz konusu kimliklerin başvuru kataloğudur. Üst düzey tehdit modeli ve sıkılaştırma yönergeleri için Güvenlik bölümüne bakın.

Bazı denetimler yalnızca openclaw security audit --deep ile çalışır: plugin/skill kodu taramaları (plugins.code_safety*, skills.code_safety*) ve canlı Gateway yoklama denetimleri (gateway.probe_*). Bu tablodaki diğer tüm denetimler, standart bir openclaw security audit komutuyla çalışır.

warn/critical gibi bir önem derecesi, aynı checkId değerinin yapılandırmaya bağlı olarak her iki düzeyde de üretilebileceği anlamına gelir (örneğin Gateway'in uzaktan erişime açık olup olmamasına göre). Gerçek dağıtımlarda görme olasılığınız en yüksek olan, güçlü sinyal niteliğindeki değerler (kapsamlı liste değildir):

checkId Önem Derecesi Neden önemli Birincil düzeltme anahtarı/yolu Otomatik düzeltme
fs.state_dir.perms_world_writable kritik Diğer kullanıcılar/işlemler OpenClaw durumunun tamamını değiştirebilir ~/.openclaw üzerindeki dosya sistemi izinleri evet
fs.state_dir.perms_group_writable uyarı Grup kullanıcıları OpenClaw durumunun tamamını değiştirebilir ~/.openclaw üzerindeki dosya sistemi izinleri evet
fs.state_dir.perms_readable uyarı Durum dizini başkaları tarafından okunabilir ~/.openclaw üzerindeki dosya sistemi izinleri evet
fs.state_dir.symlink uyarı Durum dizini hedefi başka bir güven sınırı hâline gelir durum dizininin dosya sistemi düzeni hayır
fs.config.perms_writable kritik Başkaları kimlik doğrulama/araç politikasını/yapılandırmayı değiştirebilir ~/.openclaw/openclaw.json üzerindeki dosya sistemi izinleri evet
fs.config.symlink uyarı Sembolik bağlantılı yapılandırma dosyaları yazma işlemleri için desteklenmez ve başka bir güven sınırı ekler normal bir yapılandırma dosyasıyla değiştirin veya OPENCLAW_CONFIG_PATH değişkenini gerçek dosyaya yönlendirin hayır
fs.config.perms_group_readable uyarı Grup kullanıcıları yapılandırma belirteçlerini/ayarlarını okuyabilir yapılandırma dosyasındaki dosya sistemi izinleri evet
fs.config.perms_world_readable kritik Yapılandırma, belirteçleri/ayarları açığa çıkarabilir yapılandırma dosyasındaki dosya sistemi izinleri evet
fs.config_include.perms_writable kritik Yapılandırmaya dahil edilen dosya başkaları tarafından değiştirilebilir openclaw.json dosyasında başvurulan dahil etme dosyasının izinleri evet
fs.config_include.perms_group_readable uyarı Grup kullanıcıları dahil edilen gizli bilgileri/ayarları okuyabilir openclaw.json dosyasında başvurulan dahil etme dosyasının izinleri evet
fs.config_include.perms_world_readable kritik Dahil edilen gizli bilgiler/ayarlar herkes tarafından okunabilir openclaw.json dosyasında başvurulan dahil etme dosyasının izinleri evet
fs.auth_profiles.perms_writable kritik Başkaları depolanan model kimlik bilgilerini ekleyebilir veya değiştirebilir agents/<agentId>/agent/auth-profiles.json izinleri evet
fs.auth_profiles.perms_readable uyarı Başkaları API anahtarlarını ve OAuth belirteçlerini okuyabilir agents/<agentId>/agent/auth-profiles.json izinleri evet
fs.credentials_dir.perms_writable kritik Başkaları kanal eşleştirme/kimlik bilgisi durumunu değiştirebilir ~/.openclaw/credentials üzerindeki dosya sistemi izinleri evet
fs.credentials_dir.perms_readable uyarı Başkaları kanal kimlik bilgisi durumunu okuyabilir ~/.openclaw/credentials üzerindeki dosya sistemi izinleri evet
fs.sessions_store.perms_readable uyarı Başkaları oturum dökümlerini/üst verilerini okuyabilir oturum deposu izinleri evet
fs.log_file.perms_readable uyarı Başkaları sansürlenmiş olsa da hâlâ hassas olan günlükleri okuyabilir Gateway günlük dosyası izinleri evet
fs.synced_dir uyarı iCloud/Dropbox/Drive içindeki durum/yapılandırma, belirteç/döküm açığa çıkma kapsamını genişletir yapılandırmayı/durumu eşitlenen klasörlerin dışına taşıyın hayır
gateway.bind_no_auth kritik Paylaşılan gizli bilgi olmadan uzak bağlantı gateway.bind, gateway.auth.* hayır
gateway.loopback_no_auth kritik Ters proxy üzerinden sunulan local loopback kimlik doğrulamasız hâle gelebilir gateway.auth.*, proxy kurulumu hayır
gateway.trusted_proxies_missing uyarı Ters proxy üstbilgileri mevcut ancak güvenilir değil gateway.trustedProxies hayır
gateway.http.no_auth uyarı/kritik Gateway HTTP API'lerine auth.mode="none" ile erişilebilir gateway.auth.mode, gateway.http.endpoints.*, plugins.entries.admin-http-rpc hayır
gateway.http.session_key_override_enabled bilgi HTTP API çağıranlar sessionKey değerini geçersiz kılabilir gateway.http.allowSessionKeyOverride hayır
gateway.tools_invoke_http.dangerous_allow uyarı/kritik Sahip/yönetici çağıranlar için tehlikeli araçları HTTP API üzerinden yeniden etkinleştirir gateway.tools.allow hayır
gateway.nodes.allow_commands_dangerous uyarı/kritik Yüksek etkili Node komutlarını etkinleştirir (masaüstü girişi/kamera/ekran/kişiler/takvim/SMS) gateway.nodes.allowCommands hayır
gateway.nodes.deny_commands_ineffective uyarı Kalıp benzeri reddetme girdileri kabuk metniyle veya gruplarla eşleşmez gateway.nodes.denyCommands hayır
gateway.tailscale_funnel kritik Herkese açık internete maruz kalma gateway.tailscale.mode hayır
gateway.tailscale_serve bilgi Tailnet erişimi Serve aracılığıyla etkinleştirilmiştir gateway.tailscale.mode hayır
gateway.control_ui.allowed_origins_required kritik Açık tarayıcı kaynağı izin listesi olmadan local loopback dışındaki Control UI gateway.controlUi.allowedOrigins hayır
gateway.control_ui.allowed_origins_wildcard uyarı/kritik allowedOrigins=["*"], tarayıcı kaynağı izin listesini devre dışı bırakır gateway.controlUi.allowedOrigins hayır
gateway.control_ui.host_header_origin_fallback uyarı/kritik Host üstbilgisi kaynak geri dönüşünü etkinleştirir (DNS yeniden bağlama sağlamlaştırmasını zayıflatır) gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback hayır
gateway.control_ui.insecure_auth uyarı Güvenli olmayan kimlik doğrulama uyumluluk anahtarı etkin gateway.controlUi.allowInsecureAuth hayır
gateway.control_ui.device_auth_disabled kritik Cihaz kimliği denetimini devre dışı bırakır gateway.controlUi.dangerouslyDisableDeviceAuth hayır
gateway.real_ip_fallback_enabled uyarı/kritik X-Real-IP geri dönüşüne güvenmek, proxy yanlış yapılandırması üzerinden kaynak IP sahteciliğine olanak tanıyabilir gateway.allowRealIpFallback, gateway.trustedProxies hayır
gateway.token_too_short uyarı Kısa paylaşılan belirtecin kaba kuvvetle bulunması daha kolaydır gateway.auth.token hayır
gateway.auth_no_rate_limit uyarı Hız sınırlaması olmadan açığa çıkan kimlik doğrulama, kaba kuvvet riskini artırır gateway.auth.rateLimit hayır
gateway.trusted_proxy_auth kritik Proxy kimliği artık kimlik doğrulama sınırı hâline gelir gateway.auth.mode="trusted-proxy" hayır
gateway.trusted_proxy_no_proxies kritik Güvenilir proxy IP'leri olmadan güvenilir proxy kimlik doğrulaması güvenli değildir gateway.trustedProxies hayır
gateway.trusted_proxy_no_user_header kritik Güvenilen proxy kimlik doğrulaması, kullanıcı kimliğini güvenli biçimde çözümleyemiyor gateway.auth.trustedProxy.userHeader hayır
gateway.trusted_proxy_no_allowlist uyarı Güvenilen proxy kimlik doğrulaması, kimliği doğrulanmış tüm üst akış kullanıcılarını kabul ediyor gateway.auth.trustedProxy.allowUsers hayır
gateway.trusted_proxy_allow_loopback uyarı Güvenilen proxy kimlik doğrulaması, açıkça izin verilen geri döngü proxy kaynaklarını kabul ediyor gateway.auth.trustedProxy.allowLoopback hayır
gateway.probe_auth_secretref_unavailable uyarı Derin yoklama, bu komut yolunda kimlik doğrulama SecretRef'lerini çözümleyemedi derin yoklama kimlik doğrulama kaynağı / SecretRef kullanılabilirliği hayır
gateway.probe_failed uyarı Canlı Gateway yoklaması başarısız oldu (yalnızca --deep) Gateway erişilebilirliği/kimlik doğrulaması hayır
discovery.mdns_full_mode uyarı/kritik mDNS tam modu, yerel ağda cliPath/sshPort meta verilerinin duyurusunu yapıyor discovery.mdns.mode, gateway.bind hayır
config.insecure_or_dangerous_flags uyarı Güvenli olmayan/tehlikeli bir hata ayıklama bayrağı etkin bulgu ayrıntısında adı verilen anahtar hayır
security.audit.suppressions.active bilgi Denetim çıktısında yapılandırılmış bastırmalar bulunuyor ve çıktı filtrelenebilir security.audit.suppressions hayır
config.secrets.gateway_password_in_config uyarı Gateway parolası doğrudan yapılandırmada saklanıyor gateway.auth.password hayır
config.secrets.hooks_token_in_config uyarı Hook bearer belirteci doğrudan yapılandırmada saklanıyor hooks.token hayır
hooks.token_reuse_gateway_token kritik Hook giriş belirteci Gateway kimlik doğrulamasının da kilidini açıyor hooks.token, gateway.auth.token, gateway.auth.password hayır
hooks.token_too_short uyarı Hook girişine kaba kuvvet saldırısı yapmak daha kolay hooks.token hayır
hooks.default_session_key_unset uyarı Hook aracısı çalıştırmaları, istek başına oluşturulan oturumlara dağılıyor hooks.defaultSessionKey hayır
hooks.allowed_agent_ids_unrestricted uyarı/kritik Kimliği doğrulanmış hook çağıranları, yapılandırılmış herhangi bir aracıya yönlendirme yapabilir hooks.allowedAgentIds hayır
hooks.request_session_key_enabled uyarı/kritik Harici çağıran sessionKey değerini seçebilir hooks.allowRequestSessionKey hayır
hooks.request_session_key_prefixes_missing uyarı/kritik Harici oturum anahtarı biçimleri için sınır yok hooks.allowedSessionKeyPrefixes hayır
hooks.path_root kritik Hook yolu / olduğundan girişin çakışması veya yanlış yönlendirilmesi daha kolay hooks.path hayır
hooks.installs_unpinned_npm_specs uyarı Hook kurulum kayıtları değişmez npm belirtimlerine sabitlenmemiş hook kurulum meta verileri hayır
hooks.installs_missing_integrity uyarı Hook kurulum kayıtlarında bütünlük meta verileri eksik hook kurulum meta verileri hayır
hooks.installs_version_drift uyarı Hook kurulum kayıtlarının sürümleri, kurulu paketlerden sapıyor hook kurulum meta verileri hayır
logging.redact_off uyarı Hassas değerler günlüklere/duruma sızıyor logging.redactSensitive evet
browser.control_invalid_config uyarı Tarayıcı denetimi yapılandırması çalışma zamanından önce geçersiz browser.* hayır
browser.control_no_auth kritik Tarayıcı denetimi, belirteç/parola kimlik doğrulaması olmadan kullanıma açılmış gateway.auth.* hayır
browser.remote_cdp_http uyarı Düz HTTP üzerinden uzak CDP, aktarım şifrelemesinden yoksun tarayıcı profili cdpUrl hayır
browser.remote_cdp_private_host uyarı Uzak CDP, özel/dahili bir ana bilgisayarı hedefliyor tarayıcı profili cdpUrl, browser.ssrfPolicy.* hayır
sandbox.docker_config_mode_off uyarı Sandbox Docker yapılandırması mevcut ancak etkin değil agents.*.sandbox.mode hayır
sandbox.bind_mount_non_absolute uyarı Göreli bağlama noktaları öngörülemeyen biçimde çözümlenebilir agents.*.sandbox.docker.binds[] hayır
sandbox.dangerous_bind_mount kritik Sandbox bağlama noktası, engellenmiş sistem, kimlik bilgisi veya Docker soketi yollarını hedefliyor agents.*.sandbox.docker.binds[] hayır
sandbox.dangerous_network_mode kritik Sandbox Docker ağı, host veya container:* ad alanına katılma modunu kullanıyor agents.*.sandbox.docker.network hayır
sandbox.dangerous_seccomp_profile kritik Sandbox seccomp profili, kapsayıcı yalıtımını zayıflatıyor agents.*.sandbox.docker.securityOpt hayır
sandbox.dangerous_apparmor_profile kritik Sandbox AppArmor profili, kapsayıcı yalıtımını zayıflatıyor agents.*.sandbox.docker.securityOpt hayır
sandbox.browser_cdp_bridge_unrestricted uyarı Sandbox tarayıcı köprüsü, kaynak aralığı kısıtlaması olmadan kullanıma açılmış sandbox.browser.cdpSourceRange hayır
sandbox.browser_container.non_loopback_publish kritik Mevcut tarayıcı kapsayıcısı, CDP'yi geri döngü dışındaki arayüzlerde yayımlıyor tarayıcı sandbox kapsayıcısı yayımlama yapılandırması hayır
sandbox.browser_container.hash_label_missing uyarı Mevcut tarayıcı kapsayıcısı, geçerli yapılandırma karması etiketlerinden daha eski openclaw sandbox recreate --browser --all hayır
sandbox.browser_container.hash_epoch_stale uyarı Mevcut tarayıcı kapsayıcısı, geçerli tarayıcı yapılandırma döneminden daha eski openclaw sandbox recreate --browser --all hayır
sandbox.browser_container.docker_probe_timeout uyarı Tarayıcı kapsayıcısı için Docker etiket yoklaması zaman aşımına uğradı Docker daemon erişilebilirliği hayır
tools.exec.host_sandbox_no_sandbox_defaults uyarı Sandbox kapalıyken exec host=sandbox güvenli biçimde başarısız oluyor tools.exec.host, agents.defaults.sandbox.mode hayır
tools.exec.host_sandbox_no_sandbox_agents uyarı Sandbox kapalıyken aracı başına exec host=sandbox güvenli biçimde başarısız oluyor agents.list[].tools.exec.host, agents.list[].sandbox.mode hayır
tools.exec.security_full_configured uyarı/kritik Ana bilgisayar komut yürütmesi security="full" ile çalışıyor tools.exec.security, agents.list[].tools.exec.security hayır
tools.exec.agent_skill_mcp_boundary_drift uyarı Ana bilgisayar komut yürütmesi MCP istemcilerine/kayıtlarına erişebilirken aracı skill izin listeleri mevcut agents.list[].tools.exec.*, sandbox/işletim sistemi yalıtımı, MCP sunucu kimlik bilgileri hayır
tools.exec.fs_tools_disabled_but_exec_enabled uyarı Dosya sistemi aracı politikası, kabuk yürütmesini salt okunur hâle getirmez tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess hayır
tools.exec.auto_allow_skills_enabled uyarı Yürütme onayları, Skills ikili dosyalarına örtük olarak güvenir ana makine onay dosyası hayır
tools.exec.allowlist_interpreter_without_strict_inline_eval uyarı Yorumlayıcı izin listeleri, zorunlu yeniden onay olmadan satır içi değerlendirmeye izin verir tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, yürütme onayları izin listesi hayır
tools.exec.safe_bins_interpreter_unprofiled uyarı safeBins içindeki açık profili olmayan yorumlayıcı/çalışma zamanı ikili dosyaları yürütme riskini artırır tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* hayır
tools.exec.safe_bins_broad_behavior uyarı safeBins içindeki geniş davranışlı araçlar, düşük riskli standart girdi filtresi güven modelini zayıflatır tools.exec.safeBins, agents.list[].tools.exec.safeBins hayır
tools.exec.safe_bin_trusted_dirs_risky uyarı safeBinTrustedDirs, değiştirilebilir veya riskli dizinler içeriyor tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs hayır
tools.elevated.allowFrom.<provider>.wildcard kritik tools.elevated.allowFrom.<provider>, her göndericiyi onaylayan "*" değerini içeriyor tools.elevated.allowFrom.<provider> hayır
tools.elevated.allowFrom.<provider>.large uyarı <provider> için yükseltilmiş izin listesinde 25'ten fazla girdi var tools.elevated.allowFrom.<provider> hayır
agents.claude_cli.permission_mode_overridden_by_yolo uyarı OpenClaw yürütmesi tamamen gözetimsiz olduğundan Claude CLI --permission-mode yok sayılıyor tools.exec.security, tools.exec.ask, cliBackends.claude-cli bağımsız değişkenleri hayır
skills.workspace.symlink_escape uyarı Çalışma alanındaki skills/**/SKILL.md, çalışma alanı kökünün dışına çözümleniyor (sembolik bağlantı zinciri sapması) çalışma alanı skills/** dosya sistemi durumu hayır
skills.workspace.scan_truncated uyarı Çalışma alanı Skills taraması tamamlanmadan dizin ziyaret sınırına ulaştı çalışma alanı skills/ dizin ağacını düzleştirin/basitleştirin hayır
plugins.extensions_no_allowlist uyarı Plugin'ler açık bir Plugin izin listesi olmadan kuruluyor plugins.allowlist hayır
plugins.allow_phantom_entries uyarı plugins.allow, eşleşen kurulu Plugin bulunmayan bir kimlik listeliyor plugins.allow hayır
plugins.installs_unpinned_npm_specs uyarı Plugin dizin kayıtları değişmez npm belirtimlerine sabitlenmemiş Plugin kurulum meta verileri hayır
plugins.installs_missing_integrity uyarı Plugin dizin kayıtlarında bütünlük meta verileri eksik Plugin kurulum meta verileri hayır
plugins.installs_version_drift uyarı Plugin dizin kayıtları kurulu paketlerden sapıyor Plugin kurulum meta verileri hayır
plugins.code_safety uyarı/kritik Plugin kod taraması şüpheli veya tehlikeli kalıplar buldu (yalnızca --deep) Plugin kodu / kurulum kaynağı hayır
plugins.code_safety.entry_path uyarı Plugin giriş yolu gizli veya node_modules konumlarına işaret ediyor Plugin bildirimi entry hayır
plugins.code_safety.entry_escape kritik Plugin girişi Plugin dizininin dışına çıkıyor Plugin bildirimi entry hayır
plugins.code_safety.manifest_parse_error uyarı Kod güvenliği taraması sırasında Plugin bildirimi ayrıştırılamadı Plugin bildirim dosyası hayır
plugins.code_safety.scan_failed uyarı Plugin kod taraması tamamlanamadı (yalnızca --deep) Plugin yolu / tarama ortamı hayır
plugins.<pluginId>.security_audit_failed uyarı Plugin'e ait bir güvenlik denetimi toplayıcısı hata verdi ilgili Plugin'in güvenlik denetimi toplayıcısı hayır
skills.code_safety uyarı/kritik Skills yükleyicisi meta verileri/kodu şüpheli veya tehlikeli kalıplar içeriyor (yalnızca --deep) Skills kurulum kaynağı hayır
skills.code_safety.scan_failed uyarı Skills kod taraması tamamlanamadı (yalnızca --deep) Skills tarama ortamı hayır
security.exposure.open_channels_with_exec uyarı/kritik Paylaşılan/herkese açık odalar, yürütme etkin aracılara erişebilir channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* hayır
security.exposure.open_groups_with_elevated kritik Açık doğrudan mesajlar/gruplar ve yükseltilmiş araçlar, yüksek etkili istem enjeksiyonu yolları oluşturur üst düzey veya iç içe doğrudan mesaj politikası yolları, hesap geçersiz kılmaları, channels.*.groupPolicy hayır
security.exposure.open_groups_with_runtime_or_fs kritik/uyarı Açık doğrudan mesajlar/gruplar, korumalı alan/çalışma alanı korumaları olmadan komut/dosya araçlarına erişebilir doğrudan mesaj/grup politikası yolları, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode hayır
security.exposure.open_groups_with_control_plane_tools kritik Açık doğrudan mesajlar/gruplar, Gateway/Cron kontrol düzlemi araçlarına erişebilir doğrudan mesaj/grup politikası yolları, tools.allow, tools.alsoAllow, tools.profile, gateway, cron hayır
security.trust_model.multi_user_heuristic uyarı Gateway güven modeli kişisel asistan modeliyken yapılandırma çok kullanıcılı görünüyor güven sınırlarını ayırın veya paylaşılan kullanıcı güvenliğini güçlendirin (sandbox.mode, araç reddi/çalışma alanı kapsamlandırması) hayır
tools.profile_minimal_overridden uyarı Aracı geçersiz kılmaları, genel asgari profili atlıyor agents.list[].tools.profile hayır
plugins.tools_reachable_permissive_policy uyarı Plugin araçlarına izin verici bağlamlarda erişilebiliyor tools.profile + araç izin/ret politikası hayır
models.legacy uyarı Eski model aileleri hâlâ yapılandırılmış model seçimi hayır
models.weak_tier uyarı Yapılandırılmış modeller güncel önerilen katmanların altında model seçimi hayır
models.small_params kritik/bilgi Küçük modeller ve güvenli olmayan araç yüzeyleri enjeksiyon riskini artırır model seçimi + korumalı alan/araç politikası hayır
channels.<provider>.dm.open kritik <provider> doğrudan mesaj politikası "open"; herkes bota doğrudan mesaj gönderebilir channels.<provider>.dmPolicy, .allowFrom hayır
channels.<provider>.dm.open_invalid uyarı allowFrom içinde "*" olmadan dmPolicy="open" kullanılması tutarsızdır channels.<provider>.allowFrom hayır
channels.<provider>.dm.scope_main_multiuser uyarı Birden fazla doğrudan mesaj göndericisi şu anda ana oturumu paylaşıyor session.dmScope hayır
channels.<provider>.allowFrom.dangerous_name_matching_enabled bilgi dangerouslyAllowNameMatching, değiştirilebilir ad/e-posta/etiket gönderici eşleştirmesini yeniden etkinleştiriyor dangerouslyAllowNameMatching özelliğini devre dışı bırakın, kararlı gönderici kimlikleri kullanın hayır
channels.<provider>.account.read_only_resolution uyarı Bir kanal hesabı denetim için tam olarak çözümlenemedi (eksik gizli bilgi/Gateway) başvurulan gizli bilgilerin çözümlenebilir olduğundan emin olun veya canlı bir Gateway anlık görüntüsüne karşı çalıştırın hayır
channels.<provider>.warning.<n> bilgi/uyarı/kritik Serbest biçimli Plugin metninden sınıflandırılan sağlayıcıya özgü güvenlik uyarısı bulgu ayrıntısına bakın hayır
summary.attack_surface bilgi Kimlik doğrulama, kanal, araç ve dışa açıklık durumunun toplu özeti birden çok anahtar (bulgu ayrıntısına bakın) hayır

channels.<provider>.* ve tools.elevated.allowFrom.<provider>.* checkId'leri, yapılandırılan her kanal/sağlayıcı için oluşturulur; dolayısıyla gerçek çıktıda <provider>, değişmez bir dize değil, gerçek bir kanal kimliğidir (örneğin telegram, discord).

İlgili

Was this useful?
On this page

On this page