Gateway
Contrôles d’audit de sécurité
openclaw security audit émet des résultats structurés indexés par checkId. Cette
page est le catalogue de référence pour ces ID. Pour le modèle de menace
général et les conseils de renforcement, consultez Sécurité.
Valeurs de checkId à forte pertinence que vous verrez le plus probablement dans des déploiements réels (liste non
exhaustive) :
checkId |
Gravité | Pourquoi c’est important | Clé/chemin de correction principal | Correction automatique |
|---|---|---|---|---|
fs.state_dir.perms_world_writable |
critique | D’autres utilisateurs/processus peuvent modifier tout l’état OpenClaw | permissions du système de fichiers sur ~/.openclaw |
oui |
fs.state_dir.perms_group_writable |
avertissement | Les utilisateurs du groupe peuvent modifier tout l’état OpenClaw | permissions du système de fichiers sur ~/.openclaw |
oui |
fs.state_dir.perms_readable |
avertissement | Le répertoire d’état est lisible par d’autres | permissions du système de fichiers sur ~/.openclaw |
oui |
fs.state_dir.symlink |
avertissement | La cible du répertoire d’état devient une autre limite de confiance | disposition du système de fichiers du répertoire d’état | non |
fs.config.perms_writable |
critique | D’autres peuvent modifier la politique d’authentification/des outils/la configuration | permissions du système de fichiers sur ~/.openclaw/openclaw.json |
oui |
fs.config.symlink |
avertissement | Les fichiers de configuration liés par symlink ne sont pas pris en charge pour l’écriture et ajoutent une autre limite de confiance | remplacer par un fichier de configuration standard ou pointer OPENCLAW_CONFIG_PATH vers le fichier réel |
non |
fs.config.perms_group_readable |
avertissement | Les utilisateurs du groupe peuvent lire les jetons/paramètres de configuration | permissions du système de fichiers sur le fichier de configuration | oui |
fs.config.perms_world_readable |
critique | La configuration peut exposer des jetons/paramètres | permissions du système de fichiers sur le fichier de configuration | oui |
fs.config_include.perms_writable |
critique | Le fichier inclus de configuration peut être modifié par d’autres | permissions du fichier inclus référencé depuis openclaw.json |
oui |
fs.config_include.perms_group_readable |
avertissement | Les utilisateurs du groupe peuvent lire les secrets/paramètres inclus | permissions du fichier inclus référencé depuis openclaw.json |
oui |
fs.config_include.perms_world_readable |
critique | Les secrets/paramètres inclus sont lisibles par tout le monde | permissions du fichier inclus référencé depuis openclaw.json |
oui |
fs.auth_profiles.perms_writable |
critique | D’autres peuvent injecter ou remplacer des identifiants de modèle stockés | permissions de agents/<agentId>/agent/auth-profiles.json |
oui |
fs.auth_profiles.perms_readable |
avertissement | D’autres peuvent lire les clés API et les jetons OAuth | permissions de agents/<agentId>/agent/auth-profiles.json |
oui |
fs.credentials_dir.perms_writable |
critique | D’autres peuvent modifier l’état d’association/d’identifiants du canal | permissions du système de fichiers sur ~/.openclaw/credentials |
oui |
fs.credentials_dir.perms_readable |
avertissement | D’autres peuvent lire l’état des identifiants du canal | permissions du système de fichiers sur ~/.openclaw/credentials |
oui |
fs.sessions_store.perms_readable |
avertissement | D’autres peuvent lire les transcriptions/métadonnées de session | permissions du stockage des sessions | oui |
fs.log_file.perms_readable |
avertissement | D’autres peuvent lire des journaux expurgés mais toujours sensibles | permissions du fichier journal du Gateway | oui |
fs.synced_dir |
avertissement | L’état/la configuration dans iCloud/Dropbox/Drive élargit l’exposition des jetons/transcriptions | déplacer la configuration/l’état hors des dossiers synchronisés | non |
gateway.bind_no_auth |
critique | Liaison distante sans secret partagé | gateway.bind, gateway.auth.* |
non |
gateway.loopback_no_auth |
critique | Un loopback soumis à un proxy inverse peut devenir non authentifié | gateway.auth.*, configuration du proxy |
non |
gateway.trusted_proxies_missing |
avertissement | Des en-têtes de proxy inverse sont présents mais ne sont pas approuvés | gateway.trustedProxies |
non |
gateway.http.no_auth |
avertissement/critique | API HTTP du Gateway accessibles avec auth.mode="none" |
gateway.auth.mode, gateway.http.endpoints.* |
non |
gateway.http.session_key_override_enabled |
info | Les appelants de l’API HTTP peuvent remplacer sessionKey |
gateway.http.allowSessionKeyOverride |
non |
gateway.tools_invoke_http.dangerous_allow |
avertissement/critique | Réactive les outils dangereux via l’API HTTP | gateway.tools.allow |
non |
gateway.nodes.allow_commands_dangerous |
avertissement/critique | Active des commandes de nœud à fort impact (caméra/écran/contacts/calendrier/SMS) | gateway.nodes.allowCommands |
non |
gateway.nodes.deny_commands_ineffective |
avertissement | Les entrées de refus de type motif ne correspondent pas au texte shell ni aux groupes | gateway.nodes.denyCommands |
non |
gateway.tailscale_funnel |
critique | Exposition à l’Internet public | gateway.tailscale.mode |
non |
gateway.tailscale_serve |
info | L’exposition au tailnet est activée via Serve | gateway.tailscale.mode |
non |
gateway.control_ui.allowed_origins_required |
critique | Control UI non loopback sans liste d’autorisation explicite des origines de navigateur | gateway.controlUi.allowedOrigins |
non |
gateway.control_ui.allowed_origins_wildcard |
avertissement/critique | allowedOrigins=["*"] désactive la liste d’autorisation des origines de navigateur |
gateway.controlUi.allowedOrigins |
non |
gateway.control_ui.host_header_origin_fallback |
avertissement/critique | Active le repli de l’origine sur l’en-tête Host (affaiblissement du durcissement contre le DNS rebinding) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback |
non |
gateway.control_ui.insecure_auth |
avertissement | Option de compatibilité d’authentification non sécurisée activée | gateway.controlUi.allowInsecureAuth |
non |
gateway.control_ui.device_auth_disabled |
critique | Désactive la vérification de l’identité de l’appareil | gateway.controlUi.dangerouslyDisableDeviceAuth |
non |
gateway.real_ip_fallback_enabled |
avertissement/critique | Faire confiance au repli X-Real-IP peut permettre l’usurpation d’IP source via une mauvaise configuration du proxy |
gateway.allowRealIpFallback, gateway.trustedProxies |
non |
gateway.token_too_short |
avertissement | Un jeton partagé court est plus facile à attaquer par force brute | gateway.auth.token |
non |
gateway.auth_no_rate_limit |
avertissement | Une authentification exposée sans limitation de débit augmente le risque de force brute | gateway.auth.rateLimit |
non |
gateway.trusted_proxy_auth |
critique | L’identité du proxy devient désormais la limite d’authentification | gateway.auth.mode="trusted-proxy" |
non |
gateway.trusted_proxy_no_proxies |
critique | L’authentification par proxy approuvé sans IP de proxy approuvé est dangereuse | gateway.trustedProxies |
non |
gateway.trusted_proxy_no_user_header |
critique | L’authentification par proxy approuvé ne peut pas résoudre l’identité utilisateur de manière sûre | gateway.auth.trustedProxy.userHeader |
non |
gateway.trusted_proxy_no_allowlist |
avertissement | L’authentification par proxy approuvé accepte tout utilisateur amont authentifié | gateway.auth.trustedProxy.allowUsers |
non |
gateway.trusted_proxy_allow_loopback |
warn | L’authentification par proxy de confiance accepte les sources de proxy loopback explicitement autorisées | gateway.auth.trustedProxy.allowLoopback |
non |
gateway.probe_auth_secretref_unavailable |
warn | La sonde approfondie n’a pas pu résoudre les SecretRefs d’authentification dans ce chemin de commande | source d’authentification de sonde approfondie / disponibilité des SecretRefs | non |
gateway.probe_failed |
warn/critical | La sonde Gateway en direct a échoué | accessibilité/authentification du gateway | non |
discovery.mdns_full_mode |
warn/critical | Le mode complet mDNS annonce les métadonnées cliPath/sshPort sur le réseau local |
discovery.mdns.mode, gateway.bind |
non |
config.insecure_or_dangerous_flags |
warn | Des indicateurs de débogage non sécurisés/dangereux sont activés | plusieurs clés (voir le détail du constat) | non |
config.secrets.gateway_password_in_config |
warn | Le mot de passe du Gateway est stocké directement dans la configuration | gateway.auth.password |
non |
config.secrets.hooks_token_in_config |
warn | Le jeton porteur de hook est stocké directement dans la configuration | hooks.token |
non |
hooks.token_reuse_gateway_token |
critical | Le jeton d’entrée du hook déverrouille aussi l’authentification du Gateway | hooks.token, gateway.auth.token |
non |
hooks.token_too_short |
warn | Force brute facilitée sur l’entrée du hook | hooks.token |
non |
hooks.default_session_key_unset |
warn | Les exécutions de l’agent hook se dispersent dans des sessions générées par requête | hooks.defaultSessionKey |
non |
hooks.allowed_agent_ids_unrestricted |
warn/critical | Les appelants hook authentifiés peuvent router vers n’importe quel agent configuré | hooks.allowedAgentIds |
non |
hooks.request_session_key_enabled |
warn/critical | L’appelant externe peut choisir sessionKey |
hooks.allowRequestSessionKey |
non |
hooks.request_session_key_prefixes_missing |
warn/critical | Aucune contrainte sur les formes de clés de session externes | hooks.allowedSessionKeyPrefixes |
non |
hooks.path_root |
critical | Le chemin du hook est /, ce qui facilite les collisions ou les mauvais routages de l’entrée |
hooks.path |
non |
hooks.installs_unpinned_npm_specs |
warn | Les enregistrements d’installation de hook ne sont pas épinglés à des spécifications npm immuables | métadonnées d’installation de hook | non |
hooks.installs_missing_integrity |
warn | Les enregistrements d’installation de hook n’ont pas de métadonnées d’intégrité | métadonnées d’installation de hook | non |
hooks.installs_version_drift |
warn | Les enregistrements d’installation de hook divergent des paquets installés | métadonnées d’installation de hook | non |
logging.redact_off |
warn | Des valeurs sensibles fuient vers les journaux/le statut | logging.redactSensitive |
oui |
browser.control_invalid_config |
warn | La configuration du contrôle du navigateur est invalide avant l’exécution | browser.* |
non |
browser.control_no_auth |
critical | Le contrôle du navigateur est exposé sans authentification par jeton/mot de passe | gateway.auth.* |
non |
browser.remote_cdp_http |
warn | Le CDP distant sur HTTP en clair n’a pas de chiffrement de transport | cdpUrl du profil de navigateur |
non |
browser.remote_cdp_private_host |
warn | Le CDP distant cible un hôte privé/interne | cdpUrl du profil de navigateur, browser.ssrfPolicy.* |
non |
sandbox.docker_config_mode_off |
warn | La configuration Docker du sandbox est présente mais inactive | agents.*.sandbox.mode |
non |
sandbox.bind_mount_non_absolute |
warn | Les montages bind relatifs peuvent se résoudre de façon imprévisible | agents.*.sandbox.docker.binds[] |
non |
sandbox.dangerous_bind_mount |
critical | Le montage bind du sandbox cible des chemins système, d’identifiants ou de socket Docker bloqués | agents.*.sandbox.docker.binds[] |
non |
sandbox.dangerous_network_mode |
critical | Le réseau Docker du sandbox utilise le mode host ou container:* de jointure d’espace de noms |
agents.*.sandbox.docker.network |
non |
sandbox.dangerous_seccomp_profile |
critical | Le profil seccomp du sandbox affaiblit l’isolation du conteneur | agents.*.sandbox.docker.securityOpt |
non |
sandbox.dangerous_apparmor_profile |
critical | Le profil AppArmor du sandbox affaiblit l’isolation du conteneur | agents.*.sandbox.docker.securityOpt |
non |
sandbox.browser_cdp_bridge_unrestricted |
warn | Le pont de navigateur du sandbox est exposé sans restriction de plage source | sandbox.browser.cdpSourceRange |
non |
sandbox.browser_container.non_loopback_publish |
critical | Le conteneur de navigateur existant publie le CDP sur des interfaces non loopback | configuration de publication du conteneur de sandbox du navigateur | non |
sandbox.browser_container.hash_label_missing |
warn | Le conteneur de navigateur existant est antérieur aux étiquettes de hachage de configuration actuelles | openclaw sandbox recreate --browser --all |
non |
sandbox.browser_container.hash_epoch_stale |
warn | Le conteneur de navigateur existant est antérieur à l’époque de configuration actuelle du navigateur | openclaw sandbox recreate --browser --all |
non |
tools.exec.host_sandbox_no_sandbox_defaults |
warn | exec host=sandbox échoue en mode fermé quand le sandbox est désactivé |
tools.exec.host, agents.defaults.sandbox.mode |
non |
tools.exec.host_sandbox_no_sandbox_agents |
warn | Le exec host=sandbox par agent échoue en mode fermé quand le sandbox est désactivé |
agents.list[].tools.exec.host, agents.list[].sandbox.mode |
non |
tools.exec.security_full_configured |
warn/critical | L’exécution sur l’hôte fonctionne avec security="full" |
tools.exec.security, agents.list[].tools.exec.security |
non |
tools.exec.fs_tools_disabled_but_exec_enabled |
warn | La stratégie des outils de système de fichiers ne rend pas l’exécution shell en lecture seule | tools.deny, agents.list[].tools.deny, agents.*.sandbox.workspaceAccess |
non |
tools.exec.auto_allow_skills_enabled |
warn | Les approbations d’exécution font implicitement confiance aux binaires de Skills | ~/.openclaw/exec-approvals.json |
non |
tools.exec.allowlist_interpreter_without_strict_inline_eval |
warn | Les listes d’autorisation d’interpréteurs permettent l’évaluation en ligne sans réapprobation forcée | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, liste d’autorisation des approbations d’exécution |
non |
tools.exec.safe_bins_interpreter_unprofiled |
warn | Les binaires d’interpréteur/runtime dans safeBins sans profils explicites élargissent le risque d’exécution |
tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* |
non |
tools.exec.safe_bins_broad_behavior |
warn | Les outils à comportement large dans safeBins affaiblissent le modèle de confiance à faible risque fondé sur le filtrage de stdin |
tools.exec.safeBins, agents.list[].tools.exec.safeBins |
non |
tools.exec.safe_bin_trusted_dirs_risky |
warn | safeBinTrustedDirs inclut des répertoires mutables ou risqués |
tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs |
non |
skills.workspace.symlink_escape |
warn | Le skills/**/SKILL.md de l’espace de travail se résout hors de la racine de l’espace de travail (dérive de chaîne de liens symboliques) |
état du système de fichiers skills/** de l’espace de travail |
non |
plugins.extensions_no_allowlist |
warn | Les Plugins sont installés sans liste d’autorisation explicite de Plugins | plugins.allowlist |
non |
plugins.installs_unpinned_npm_specs |
warn | Les enregistrements de l’index des Plugins ne sont pas épinglés à des spécifications npm immuables | métadonnées d’installation des Plugins | non |
plugins.installs_missing_integrity |
warn | Les enregistrements de l’index des Plugins ne comportent pas de métadonnées d’intégrité | métadonnées d’installation des Plugins | non |
plugins.installs_version_drift |
warn | Les enregistrements de l’index des Plugins divergent des paquets installés | métadonnées d’installation des Plugins | non |
plugins.code_safety |
warn/critical | L’analyse du code des Plugins a détecté des motifs suspects ou dangereux | code du Plugin / source d’installation | non |
plugins.code_safety.entry_path |
warn | Le chemin d’entrée du Plugin pointe vers des emplacements cachés ou node_modules |
manifeste du Plugin entry |
non |
plugins.code_safety.entry_escape |
critical | L’entrée du Plugin sort du répertoire du Plugin | manifeste du Plugin entry |
non |
plugins.code_safety.scan_failed |
warn | L’analyse du code du Plugin n’a pas pu se terminer | chemin du Plugin / environnement d’analyse | non |
skills.code_safety |
warn/critical | Les métadonnées ou le code de l’installateur de Skill contiennent des motifs suspects ou dangereux | source d’installation de Skill | non |
skills.code_safety.scan_failed |
warn | L’analyse du code de Skill n’a pas pu se terminer | environnement d’analyse de Skill | non |
security.exposure.open_channels_with_exec |
warn/critical | Les salons partagés/publics peuvent atteindre des agents avec l’exécution activée | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* |
non |
security.exposure.open_groups_with_elevated |
critical | Les groupes ouverts et les outils élevés créent des chemins d’injection de prompt à fort impact | channels.*.groupPolicy, tools.elevated.* |
non |
security.exposure.open_groups_with_runtime_or_fs |
critical/warn | Les groupes ouverts peuvent atteindre des outils de commande/fichier sans garde-fous de bac à sable/espace de travail | channels.*.groupPolicy, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode |
non |
security.trust_model.multi_user_heuristic |
warn | La configuration semble multi-utilisateur alors que le modèle de confiance du Gateway est celui d’un assistant personnel | séparer les limites de confiance, ou renforcer l’usage partagé (sandbox.mode, refus d’outils/périmètre de l’espace de travail) |
non |
tools.profile_minimal_overridden |
warn | Les remplacements d’agent contournent le profil minimal global | agents.list[].tools.profile |
non |
plugins.tools_reachable_permissive_policy |
warn | Les outils d’extension sont accessibles dans des contextes permissifs | tools.profile + autorisation/refus d’outils |
non |
models.legacy |
warn | Des familles de modèles héritées sont encore configurées | sélection du modèle | non |
models.weak_tier |
warn | Les modèles configurés sont inférieurs aux niveaux actuellement recommandés | sélection du modèle | non |
models.small_params |
critical/info | Les petits modèles et les surfaces d’outils non sûres augmentent le risque d’injection | choix du modèle + politique de bac à sable/outils | non |
summary.attack_surface |
info | Résumé global de la posture d’authentification, de canal, d’outils et d’exposition | plusieurs clés (voir le détail du constat) | non |