--- read_when: - رأيت `checkId` محددًا في مخرجات `openclaw security audit` وتريد معرفة ما يعنيه - تحتاج إلى مفتاح/مسار الإصلاح لنتيجة معيّنة - أنت تفرز مستويات الخطورة خلال جولة تدقيق أمني summary: كتالوج مرجعي لـ checkIds الصادرة عن تدقيق أمان openclaw title: فحوصات التدقيق الأمني x-i18n: generated_at: "2026-05-10T19:41:59Z" model: gpt-5.5 provider: openai source_hash: adc0fad7740fd20845ee0205d1a357fc6b6bd0d05fa9e97b6aa7403a94bbdb69 source_path: gateway/security/audit-checks.md workflow: 16 --- `openclaw security audit` يُصدر نتائج منظَّمة مفهرسة حسب `checkId`. هذه الصفحة هي الكتالوج المرجعي لتلك المعرّفات. للاطلاع على نموذج التهديد عالي المستوى وإرشادات التحصين، راجع [الأمان](/ar/gateway/security). قيم `checkId` عالية الدلالة التي سترى غالبًا في عمليات النشر الفعلية (ليست شاملة): | `checkId` | الخطورة | سبب الأهمية | مفتاح/مسار الإصلاح الأساسي | الإصلاح التلقائي | | ------------------------------------------------------------- | ------------- | ------------------------------------------------------------------------------------ | ---------------------------------------------------------------------------------------------------- | -------- | | `fs.state_dir.perms_world_writable` | حرج | يمكن لمستخدمين/عمليات أخرى تعديل حالة OpenClaw بالكامل | أذونات نظام الملفات على `~/.openclaw` | نعم | | `fs.state_dir.perms_group_writable` | تحذير | يمكن لمستخدمي المجموعة تعديل حالة OpenClaw بالكامل | أذونات نظام الملفات على `~/.openclaw` | نعم | | `fs.state_dir.perms_readable` | تحذير | دليل الحالة قابل للقراءة من الآخرين | أذونات نظام الملفات على `~/.openclaw` | نعم | | `fs.state_dir.symlink` | تحذير | يصبح هدف دليل الحالة حد ثقة آخر | تخطيط نظام الملفات لدليل الحالة | لا | | `fs.config.perms_writable` | حرج | يمكن للآخرين تغيير سياسة/تكوين المصادقة/الأدوات | أذونات نظام الملفات على `~/.openclaw/openclaw.json` | نعم | | `fs.config.symlink` | تحذير | ملفات التكوين المرتبطة رمزيا غير مدعومة للكتابة وتضيف حد ثقة آخر | استبدلها بملف تكوين عادي أو وجّه `OPENCLAW_CONFIG_PATH` إلى الملف الحقيقي | لا | | `fs.config.perms_group_readable` | تحذير | يمكن لمستخدمي المجموعة قراءة رموز/إعدادات التكوين | أذونات نظام الملفات على ملف التكوين | نعم | | `fs.config.perms_world_readable` | حرج | يمكن أن يكشف التكوين الرموز/الإعدادات | أذونات نظام الملفات على ملف التكوين | نعم | | `fs.config_include.perms_writable` | حرج | يمكن للآخرين تعديل ملف تضمين التكوين | أذونات ملف التضمين المشار إليه من `openclaw.json` | نعم | | `fs.config_include.perms_group_readable` | تحذير | يمكن لمستخدمي المجموعة قراءة الأسرار/الإعدادات المضمّنة | أذونات ملف التضمين المشار إليه من `openclaw.json` | نعم | | `fs.config_include.perms_world_readable` | حرج | الأسرار/الإعدادات المضمّنة قابلة للقراءة عالميا | أذونات ملف التضمين المشار إليه من `openclaw.json` | نعم | | `fs.auth_profiles.perms_writable` | حرج | يمكن للآخرين حقن بيانات اعتماد النماذج المخزنة أو استبدالها | أذونات `agents//agent/auth-profiles.json` | نعم | | `fs.auth_profiles.perms_readable` | تحذير | يمكن للآخرين قراءة مفاتيح واجهة برمجة التطبيقات ورموز OAuth | أذونات `agents//agent/auth-profiles.json` | نعم | | `fs.credentials_dir.perms_writable` | حرج | يمكن للآخرين تعديل حالة اقتران/بيانات اعتماد القنوات | أذونات نظام الملفات على `~/.openclaw/credentials` | نعم | | `fs.credentials_dir.perms_readable` | تحذير | يمكن للآخرين قراءة حالة بيانات اعتماد القنوات | أذونات نظام الملفات على `~/.openclaw/credentials` | نعم | | `fs.sessions_store.perms_readable` | تحذير | يمكن للآخرين قراءة نصوص الجلسات/بياناتها الوصفية | أذونات مخزن الجلسات | نعم | | `fs.log_file.perms_readable` | تحذير | يمكن للآخرين قراءة سجلات منقحة لكنها لا تزال حساسة | أذونات ملف سجل Gateway | نعم | | `fs.synced_dir` | تحذير | وجود الحالة/التكوين في iCloud/Dropbox/Drive يوسّع انكشاف الرموز/النصوص | انقل التكوين/الحالة بعيدا عن المجلدات المتزامنة | لا | | `gateway.bind_no_auth` | حرج | ربط بعيد بدون سر مشترك | `gateway.bind`, `gateway.auth.*` | لا | | `gateway.loopback_no_auth` | حرج | قد تصبح local loopback المعكوسة عبر وكيل بلا مصادقة | `gateway.auth.*`, إعداد الوكيل | لا | | `gateway.trusted_proxies_missing` | تحذير | رؤوس الوكيل العكسي موجودة لكنها غير موثوقة | `gateway.trustedProxies` | لا | | `gateway.http.no_auth` | تحذير/حرج | يمكن الوصول إلى واجهات برمجة تطبيقات HTTP الخاصة بـ Gateway مع `auth.mode="none"` | `gateway.auth.mode`, `gateway.http.endpoints.*` | لا | | `gateway.http.session_key_override_enabled` | معلومات | يمكن لمستدعي واجهة برمجة تطبيقات HTTP تجاوز `sessionKey` | `gateway.http.allowSessionKeyOverride` | لا | | `gateway.tools_invoke_http.dangerous_allow` | تحذير/حرج | يعيد تفعيل الأدوات الخطرة عبر واجهة برمجة تطبيقات HTTP | `gateway.tools.allow` | لا | | `gateway.nodes.allow_commands_dangerous` | تحذير/حرج | يفعّل أوامر Node عالية التأثير (الكاميرا/الشاشة/جهات الاتصال/التقويم/الرسائل القصيرة) | `gateway.nodes.allowCommands` | لا | | `gateway.nodes.deny_commands_ineffective` | تحذير | إدخالات الرفض الشبيهة بالأنماط لا تطابق نص الصدفة أو المجموعات | `gateway.nodes.denyCommands` | لا | | `gateway.tailscale_funnel` | حرج | انكشاف على الإنترنت العام | `gateway.tailscale.mode` | لا | | `gateway.tailscale_serve` | معلومات | تم تفعيل الانكشاف على tailnet عبر Serve | `gateway.tailscale.mode` | لا | | `gateway.control_ui.allowed_origins_required` | حرج | واجهة التحكم خارج local loopback بدون قائمة سماح صريحة لأصول المتصفح | `gateway.controlUi.allowedOrigins` | لا | | `gateway.control_ui.allowed_origins_wildcard` | تحذير/حرج | `allowedOrigins=["*"]` يعطل قائمة السماح لأصول المتصفح | `gateway.controlUi.allowedOrigins` | لا | | `gateway.control_ui.host_header_origin_fallback` | تحذير/حرج | يفعّل الرجوع الاحتياطي لأصل رأس Host (خفض تشديد الحماية من إعادة ربط DNS) | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback` | لا | | `gateway.control_ui.insecure_auth` | تحذير | مفتاح تبديل توافق المصادقة غير الآمنة مفعّل | `gateway.controlUi.allowInsecureAuth` | لا | | `gateway.control_ui.device_auth_disabled` | حرج | يعطل فحص هوية الجهاز | `gateway.controlUi.dangerouslyDisableDeviceAuth` | لا | | `gateway.real_ip_fallback_enabled` | تحذير/حرج | الثقة في رجوع `X-Real-IP` الاحتياطي يمكن أن تتيح انتحال عنوان IP المصدر عبر سوء تكوين الوكيل | `gateway.allowRealIpFallback`, `gateway.trustedProxies` | لا | | `gateway.token_too_short` | تحذير | الرمز المشترك القصير أسهل في التخمين بالقوة الغاشمة | `gateway.auth.token` | لا | | `gateway.auth_no_rate_limit` | تحذير | المصادقة المكشوفة بدون تحديد معدل تزيد خطر التخمين بالقوة الغاشمة | `gateway.auth.rateLimit` | لا | | `gateway.trusted_proxy_auth` | حرج | أصبحت هوية الوكيل الآن حد المصادقة | `gateway.auth.mode="trusted-proxy"` | لا | | `gateway.trusted_proxy_no_proxies` | حرج | مصادقة الوكيل الموثوق بدون عناوين IP لوكلاء موثوقين غير آمنة | `gateway.trustedProxies` | لا | | `gateway.trusted_proxy_no_user_header` | حرج | لا يمكن لمصادقة الوكيل الموثوق حل هوية المستخدم بأمان | `gateway.auth.trustedProxy.userHeader` | لا | | `gateway.trusted_proxy_no_allowlist` | تحذير | تقبل مصادقة الوكيل الموثوق أي مستخدم مصادق عليه من المنبع | `gateway.auth.trustedProxy.allowUsers` | لا | | `gateway.trusted_proxy_allow_loopback` | تحذير | تقبل مصادقة الوكيل الموثوق مصادر وكيل loopback المسموح بها صراحة | `gateway.auth.trustedProxy.allowLoopback` | لا | | `gateway.probe_auth_secretref_unavailable` | تحذير | تعذر على الفحص العميق حل SecretRefs المصادقة في مسار هذا الأمر | مصدر مصادقة الفحص العميق / توفر SecretRef | لا | | `gateway.probe_failed` | تحذير/حرج | فشل فحص Gateway الحي | قابلية الوصول إلى Gateway/المصادقة | لا | | `discovery.mdns_full_mode` | تحذير/حرج | يعلن وضع mDNS الكامل بيانات `cliPath`/`sshPort` الوصفية على الشبكة المحلية | `discovery.mdns.mode`, `gateway.bind` | لا | | `config.insecure_or_dangerous_flags` | تحذير | تم تفعيل أي علامات تصحيح غير آمنة/خطيرة | مفاتيح متعددة (راجع تفاصيل النتيجة) | لا | | `config.secrets.gateway_password_in_config` | تحذير | كلمة مرور Gateway مخزنة مباشرة في الإعدادات | `gateway.auth.password` | لا | | `config.secrets.hooks_token_in_config` | تحذير | رمز حامل الخطاف مخزن مباشرة في الإعدادات | `hooks.token` | لا | | `hooks.token_reuse_gateway_token` | حرج | رمز دخول الخطاف يفتح أيضًا مصادقة Gateway | `hooks.token`, `gateway.auth.token` | لا | | `hooks.token_too_short` | تحذير | تسهيل هجوم القوة الغاشمة على دخول الخطاف | `hooks.token` | لا | | `hooks.default_session_key_unset` | تحذير | تشغيلات وكيل الخطاف تتفرع إلى جلسات منشأة لكل طلب | `hooks.defaultSessionKey` | لا | | `hooks.allowed_agent_ids_unrestricted` | تحذير/حرج | يمكن لمستدعي الخطاف المصادق عليهم التوجيه إلى أي وكيل مكوّن | `hooks.allowedAgentIds` | لا | | `hooks.request_session_key_enabled` | تحذير/حرج | يمكن للمستدعي الخارجي اختيار sessionKey | `hooks.allowRequestSessionKey` | لا | | `hooks.request_session_key_prefixes_missing` | تحذير/حرج | لا يوجد حد لأشكال مفتاح الجلسة الخارجية | `hooks.allowedSessionKeyPrefixes` | لا | | `hooks.path_root` | حرج | مسار الخطاف هو `/`، مما يجعل الدخول أسهل في التصادم أو سوء التوجيه | `hooks.path` | لا | | `hooks.installs_unpinned_npm_specs` | تحذير | سجلات تثبيت الخطاف غير مثبتة إلى مواصفات npm غير قابلة للتغيير | بيانات تثبيت الخطاف الوصفية | لا | | `hooks.installs_missing_integrity` | تحذير | تفتقر سجلات تثبيت الخطاف إلى بيانات السلامة الوصفية | بيانات تثبيت الخطاف الوصفية | لا | | `hooks.installs_version_drift` | تحذير | تنحرف سجلات تثبيت الخطاف عن الحزم المثبتة | بيانات تثبيت الخطاف الوصفية | لا | | `logging.redact_off` | تحذير | تتسرب القيم الحساسة إلى السجلات/الحالة | `logging.redactSensitive` | نعم | | `browser.control_invalid_config` | تحذير | إعدادات التحكم بالمتصفح غير صالحة قبل وقت التشغيل | `browser.*` | لا | | `browser.control_no_auth` | حرج | التحكم بالمتصفح مكشوف دون مصادقة برمز/كلمة مرور | `gateway.auth.*` | لا | | `browser.remote_cdp_http` | تحذير | CDP البعيد عبر HTTP الصريح يفتقر إلى تشفير النقل | ملف تعريف المتصفح `cdpUrl` | لا | | `browser.remote_cdp_private_host` | تحذير | يستهدف CDP البعيد مضيفًا خاصًا/داخليًا | ملف تعريف المتصفح `cdpUrl`, `browser.ssrfPolicy.*` | لا | | `sandbox.docker_config_mode_off` | تحذير | إعدادات Docker لصندوق العزل موجودة لكنها غير نشطة | `agents.*.sandbox.mode` | لا | | `sandbox.bind_mount_non_absolute` | تحذير | يمكن أن تُحل عمليات ربط التحميل النسبية بشكل غير متوقع | `agents.*.sandbox.docker.binds[]` | لا | | `sandbox.dangerous_bind_mount` | حرج | يستهدف ربط تحميل صندوق العزل مسارات نظام أو اعتماديات أو مقبس Docker محظورة | `agents.*.sandbox.docker.binds[]` | لا | | `sandbox.dangerous_network_mode` | حرج | تستخدم شبكة Docker لصندوق العزل وضع `host` أو `container:*` للانضمام إلى مساحة الأسماء | `agents.*.sandbox.docker.network` | لا | | `sandbox.dangerous_seccomp_profile` | حرج | يضعف ملف تعريف seccomp لصندوق العزل عزل الحاوية | `agents.*.sandbox.docker.securityOpt` | لا | | `sandbox.dangerous_apparmor_profile` | حرج | يضعف ملف تعريف AppArmor لصندوق العزل عزل الحاوية | `agents.*.sandbox.docker.securityOpt` | لا | | `sandbox.browser_cdp_bridge_unrestricted` | تحذير | جسر متصفح صندوق العزل مكشوف دون تقييد نطاق المصدر | `sandbox.browser.cdpSourceRange` | لا | | `sandbox.browser_container.non_loopback_publish` | حرج | تنشر حاوية المتصفح الحالية CDP على واجهات غير loopback | إعداد نشر حاوية صندوق عزل المتصفح | لا | | `sandbox.browser_container.hash_label_missing` | تحذير | حاوية المتصفح الحالية تسبق تسميات تجزئة الإعدادات الحالية | `openclaw sandbox recreate --browser --all` | لا | | `sandbox.browser_container.hash_epoch_stale` | تحذير | حاوية المتصفح الحالية تسبق حقبة إعدادات المتصفح الحالية | `openclaw sandbox recreate --browser --all` | لا | | `tools.exec.host_sandbox_no_sandbox_defaults` | تحذير | يفشل `exec host=sandbox` بشكل مغلق عندما يكون صندوق العزل متوقفًا | `tools.exec.host`, `agents.defaults.sandbox.mode` | لا | | `tools.exec.host_sandbox_no_sandbox_agents` | تحذير | يفشل `exec host=sandbox` لكل وكيل بشكل مغلق عندما يكون صندوق العزل متوقفًا | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode` | لا | | `tools.exec.security_full_configured` | تحذير/حرج | تنفيذ المضيف يعمل مع `security="full"` | `tools.exec.security`, `agents.list[].tools.exec.security` | لا | | `tools.exec.fs_tools_disabled_but_exec_enabled` | تحذير | سياسة أدوات نظام الملفات لا تجعل تنفيذ الصدفة للقراءة فقط | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess` | لا | | `tools.exec.auto_allow_skills_enabled` | تحذير | موافقات التنفيذ تثق ضمنيًا بثنائيات Skills | `~/.openclaw/exec-approvals.json` | لا | | `tools.exec.allowlist_interpreter_without_strict_inline_eval` | تحذير | تسمح قوائم السماح للمفسر بالتقييم المضمن دون فرض إعادة الموافقة | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, قائمة السماح لموافقات التنفيذ | لا | | `tools.exec.safe_bins_interpreter_unprofiled` | تحذير | توسع ثنائيات المفسر/وقت التشغيل في `safeBins` دون ملفات تعريف صريحة مخاطر التنفيذ | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*` | لا | | `tools.exec.safe_bins_broad_behavior` | تحذير | تضعف الأدوات ذات السلوك الواسع في `safeBins` نموذج الثقة منخفض المخاطر المصفى عبر stdin | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins` | لا | | `tools.exec.safe_bin_trusted_dirs_risky` | تحذير | يتضمن `safeBinTrustedDirs` أدلة قابلة للتغيير أو محفوفة بالمخاطر | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs` | لا | | `skills.workspace.symlink_escape` | تحذير | يتم حل `skills/**/SKILL.md` في مساحة العمل خارج جذر مساحة العمل (انحراف سلسلة الروابط الرمزية) | حالة نظام ملفات `skills/**` في مساحة العمل | لا | | `plugins.extensions_no_allowlist` | تحذير | يتم تثبيت Plugins دون قائمة سماح صريحة للـ Plugin | `plugins.allowlist` | لا | | `plugins.installs_unpinned_npm_specs` | تحذير | سجلات فهرس Plugin غير مثبّتة على مواصفات npm غير قابلة للتغيير | بيانات تعريف تثبيت Plugin | لا | | `plugins.installs_missing_integrity` | تحذير | تفتقر سجلات فهرس Plugin إلى بيانات تعريف السلامة | بيانات تعريف تثبيت Plugin | لا | | `plugins.installs_version_drift` | تحذير | تنحرف سجلات فهرس Plugin عن الحزم المثبّتة | بيانات تعريف تثبيت Plugin | لا | | `plugins.code_safety` | تحذير/حرج | عثر فحص كود Plugin على أنماط مشبوهة أو خطرة | كود Plugin / مصدر التثبيت | لا | | `plugins.code_safety.entry_path` | تحذير | يشير مسار دخول Plugin إلى مواقع مخفية أو مواقع `node_modules` | بيان Plugin `entry` | لا | | `plugins.code_safety.entry_escape` | حرج | يخرج دخول Plugin من دليل Plugin | بيان Plugin `entry` | لا | | `plugins.code_safety.scan_failed` | تحذير | تعذّر إكمال فحص كود Plugin | مسار Plugin / بيئة الفحص | لا | | `skills.code_safety` | تحذير/حرج | تحتوي بيانات تعريف/كود مثبّت Skill على أنماط مشبوهة أو خطرة | مصدر تثبيت Skill | لا | | `skills.code_safety.scan_failed` | تحذير | تعذّر إكمال فحص كود Skill | بيئة فحص Skill | لا | | `security.exposure.open_channels_with_exec` | تحذير/حرج | يمكن للغرف المشتركة/العامة الوصول إلى وكلاء مفعّل لديهم exec | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*` | لا | | `security.exposure.open_groups_with_elevated` | حرج | تنشئ المجموعات المفتوحة + الأدوات ذات الصلاحيات المرتفعة مسارات حقن مطالبات عالية التأثير | `channels.*.groupPolicy`, `tools.elevated.*` | لا | | `security.exposure.open_groups_with_runtime_or_fs` | حرج/تحذير | يمكن للمجموعات المفتوحة الوصول إلى أدوات الأوامر/الملفات دون حواجز sandbox/مساحة العمل | `channels.*.groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode` | لا | | `security.trust_model.multi_user_heuristic` | تحذير | يبدو الإعداد متعدد المستخدمين بينما نموذج ثقة Gateway هو مساعد شخصي | افصل حدود الثقة، أو عزّز أمان المستخدم المشترك (`sandbox.mode`, tool deny/workspace scoping`) | لا | | `tools.profile_minimal_overridden` | تحذير | تتجاوز إعدادات الوكيل الجانبية ملف التعريف الأدنى العام | `agents.list[].tools.profile` | لا | | `plugins.tools_reachable_permissive_policy` | تحذير | أدوات الإضافة قابلة للوصول في سياقات متساهلة | `tools.profile` + السماح/الرفض للأدوات | لا | | `models.legacy` | تحذير | لا تزال عائلات النماذج القديمة مضبوطة | اختيار النموذج | لا | | `models.weak_tier` | تحذير | النماذج المضبوطة أدنى من المستويات الموصى بها حاليًا | اختيار النموذج | لا | | `models.small_params` | حرج/معلومات | النماذج الصغيرة + أسطح الأدوات غير الآمنة ترفع خطر الحقن | اختيار النموذج + سياسة sandbox/الأدوات | لا | | `summary.attack_surface` | معلومات | ملخص تجميعي لوضع المصادقة والقنوات والأدوات والتعرض | مفاتيح متعددة (راجع تفاصيل النتيجة) | لا | ## ذات صلة - [الأمان](/ar/gateway/security) - [التكوين](/ar/gateway/configuration) - [مصادقة الوكيل الموثوق](/ar/gateway/trusted-proxy-auth)