--- read_when: - Vous avez vu un `checkId` spécifique dans la sortie de `openclaw security audit` et vous voulez savoir ce que cela signifie - Vous avez besoin de la clé/du chemin du correctif pour un constat donné - Vous évaluez les niveaux de gravité sur l’ensemble d’une exécution d’audit de sécurité summary: Catalogue de référence des checkIds émis par openclaw security audit title: Contrôles d’audit de sécurité x-i18n: generated_at: "2026-05-11T20:38:55Z" model: gpt-5.5 provider: openai source_hash: adc0fad7740fd20845ee0205d1a357fc6b6bd0d05fa9e97b6aa7403a94bbdb69 source_path: gateway/security/audit-checks.md workflow: 16 --- `openclaw security audit` émet des résultats structurés indexés par `checkId`. Cette page est le catalogue de référence pour ces ID. Pour le modèle de menace général et les conseils de renforcement, consultez [Sécurité](/fr/gateway/security). Valeurs de `checkId` à forte pertinence que vous verrez le plus probablement dans des déploiements réels (liste non exhaustive) : | `checkId` | Gravité | Pourquoi c’est important | Clé/chemin de correction principal | Correction automatique | | ------------------------------------------------------------- | ------------- | ------------------------------------------------------------------------------------ | ---------------------------------------------------------------------------------------------------- | -------- | | `fs.state_dir.perms_world_writable` | critique | D’autres utilisateurs/processus peuvent modifier tout l’état OpenClaw | permissions du système de fichiers sur `~/.openclaw` | oui | | `fs.state_dir.perms_group_writable` | avertissement | Les utilisateurs du groupe peuvent modifier tout l’état OpenClaw | permissions du système de fichiers sur `~/.openclaw` | oui | | `fs.state_dir.perms_readable` | avertissement | Le répertoire d’état est lisible par d’autres | permissions du système de fichiers sur `~/.openclaw` | oui | | `fs.state_dir.symlink` | avertissement | La cible du répertoire d’état devient une autre limite de confiance | disposition du système de fichiers du répertoire d’état | non | | `fs.config.perms_writable` | critique | D’autres peuvent modifier la politique d’authentification/des outils/la configuration | permissions du système de fichiers sur `~/.openclaw/openclaw.json` | oui | | `fs.config.symlink` | avertissement | Les fichiers de configuration liés par symlink ne sont pas pris en charge pour l’écriture et ajoutent une autre limite de confiance | remplacer par un fichier de configuration standard ou pointer `OPENCLAW_CONFIG_PATH` vers le fichier réel | non | | `fs.config.perms_group_readable` | avertissement | Les utilisateurs du groupe peuvent lire les jetons/paramètres de configuration | permissions du système de fichiers sur le fichier de configuration | oui | | `fs.config.perms_world_readable` | critique | La configuration peut exposer des jetons/paramètres | permissions du système de fichiers sur le fichier de configuration | oui | | `fs.config_include.perms_writable` | critique | Le fichier inclus de configuration peut être modifié par d’autres | permissions du fichier inclus référencé depuis `openclaw.json` | oui | | `fs.config_include.perms_group_readable` | avertissement | Les utilisateurs du groupe peuvent lire les secrets/paramètres inclus | permissions du fichier inclus référencé depuis `openclaw.json` | oui | | `fs.config_include.perms_world_readable` | critique | Les secrets/paramètres inclus sont lisibles par tout le monde | permissions du fichier inclus référencé depuis `openclaw.json` | oui | | `fs.auth_profiles.perms_writable` | critique | D’autres peuvent injecter ou remplacer des identifiants de modèle stockés | permissions de `agents//agent/auth-profiles.json` | oui | | `fs.auth_profiles.perms_readable` | avertissement | D’autres peuvent lire les clés API et les jetons OAuth | permissions de `agents//agent/auth-profiles.json` | oui | | `fs.credentials_dir.perms_writable` | critique | D’autres peuvent modifier l’état d’association/d’identifiants du canal | permissions du système de fichiers sur `~/.openclaw/credentials` | oui | | `fs.credentials_dir.perms_readable` | avertissement | D’autres peuvent lire l’état des identifiants du canal | permissions du système de fichiers sur `~/.openclaw/credentials` | oui | | `fs.sessions_store.perms_readable` | avertissement | D’autres peuvent lire les transcriptions/métadonnées de session | permissions du stockage des sessions | oui | | `fs.log_file.perms_readable` | avertissement | D’autres peuvent lire des journaux expurgés mais toujours sensibles | permissions du fichier journal du Gateway | oui | | `fs.synced_dir` | avertissement | L’état/la configuration dans iCloud/Dropbox/Drive élargit l’exposition des jetons/transcriptions | déplacer la configuration/l’état hors des dossiers synchronisés | non | | `gateway.bind_no_auth` | critique | Liaison distante sans secret partagé | `gateway.bind`, `gateway.auth.*` | non | | `gateway.loopback_no_auth` | critique | Un loopback soumis à un proxy inverse peut devenir non authentifié | `gateway.auth.*`, configuration du proxy | non | | `gateway.trusted_proxies_missing` | avertissement | Des en-têtes de proxy inverse sont présents mais ne sont pas approuvés | `gateway.trustedProxies` | non | | `gateway.http.no_auth` | avertissement/critique | API HTTP du Gateway accessibles avec `auth.mode="none"` | `gateway.auth.mode`, `gateway.http.endpoints.*` | non | | `gateway.http.session_key_override_enabled` | info | Les appelants de l’API HTTP peuvent remplacer `sessionKey` | `gateway.http.allowSessionKeyOverride` | non | | `gateway.tools_invoke_http.dangerous_allow` | avertissement/critique | Réactive les outils dangereux via l’API HTTP | `gateway.tools.allow` | non | | `gateway.nodes.allow_commands_dangerous` | avertissement/critique | Active des commandes de nœud à fort impact (caméra/écran/contacts/calendrier/SMS) | `gateway.nodes.allowCommands` | non | | `gateway.nodes.deny_commands_ineffective` | avertissement | Les entrées de refus de type motif ne correspondent pas au texte shell ni aux groupes | `gateway.nodes.denyCommands` | non | | `gateway.tailscale_funnel` | critique | Exposition à l’Internet public | `gateway.tailscale.mode` | non | | `gateway.tailscale_serve` | info | L’exposition au tailnet est activée via Serve | `gateway.tailscale.mode` | non | | `gateway.control_ui.allowed_origins_required` | critique | Control UI non loopback sans liste d’autorisation explicite des origines de navigateur | `gateway.controlUi.allowedOrigins` | non | | `gateway.control_ui.allowed_origins_wildcard` | avertissement/critique | `allowedOrigins=["*"]` désactive la liste d’autorisation des origines de navigateur | `gateway.controlUi.allowedOrigins` | non | | `gateway.control_ui.host_header_origin_fallback` | avertissement/critique | Active le repli de l’origine sur l’en-tête Host (affaiblissement du durcissement contre le DNS rebinding) | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback` | non | | `gateway.control_ui.insecure_auth` | avertissement | Option de compatibilité d’authentification non sécurisée activée | `gateway.controlUi.allowInsecureAuth` | non | | `gateway.control_ui.device_auth_disabled` | critique | Désactive la vérification de l’identité de l’appareil | `gateway.controlUi.dangerouslyDisableDeviceAuth` | non | | `gateway.real_ip_fallback_enabled` | avertissement/critique | Faire confiance au repli `X-Real-IP` peut permettre l’usurpation d’IP source via une mauvaise configuration du proxy | `gateway.allowRealIpFallback`, `gateway.trustedProxies` | non | | `gateway.token_too_short` | avertissement | Un jeton partagé court est plus facile à attaquer par force brute | `gateway.auth.token` | non | | `gateway.auth_no_rate_limit` | avertissement | Une authentification exposée sans limitation de débit augmente le risque de force brute | `gateway.auth.rateLimit` | non | | `gateway.trusted_proxy_auth` | critique | L’identité du proxy devient désormais la limite d’authentification | `gateway.auth.mode="trusted-proxy"` | non | | `gateway.trusted_proxy_no_proxies` | critique | L’authentification par proxy approuvé sans IP de proxy approuvé est dangereuse | `gateway.trustedProxies` | non | | `gateway.trusted_proxy_no_user_header` | critique | L’authentification par proxy approuvé ne peut pas résoudre l’identité utilisateur de manière sûre | `gateway.auth.trustedProxy.userHeader` | non | | `gateway.trusted_proxy_no_allowlist` | avertissement | L’authentification par proxy approuvé accepte tout utilisateur amont authentifié | `gateway.auth.trustedProxy.allowUsers` | non | | `gateway.trusted_proxy_allow_loopback` | warn | L’authentification par proxy de confiance accepte les sources de proxy loopback explicitement autorisées | `gateway.auth.trustedProxy.allowLoopback` | non | | `gateway.probe_auth_secretref_unavailable` | warn | La sonde approfondie n’a pas pu résoudre les SecretRefs d’authentification dans ce chemin de commande | source d’authentification de sonde approfondie / disponibilité des SecretRefs | non | | `gateway.probe_failed` | warn/critical | La sonde Gateway en direct a échoué | accessibilité/authentification du gateway | non | | `discovery.mdns_full_mode` | warn/critical | Le mode complet mDNS annonce les métadonnées `cliPath`/`sshPort` sur le réseau local | `discovery.mdns.mode`, `gateway.bind` | non | | `config.insecure_or_dangerous_flags` | warn | Des indicateurs de débogage non sécurisés/dangereux sont activés | plusieurs clés (voir le détail du constat) | non | | `config.secrets.gateway_password_in_config` | warn | Le mot de passe du Gateway est stocké directement dans la configuration | `gateway.auth.password` | non | | `config.secrets.hooks_token_in_config` | warn | Le jeton porteur de hook est stocké directement dans la configuration | `hooks.token` | non | | `hooks.token_reuse_gateway_token` | critical | Le jeton d’entrée du hook déverrouille aussi l’authentification du Gateway | `hooks.token`, `gateway.auth.token` | non | | `hooks.token_too_short` | warn | Force brute facilitée sur l’entrée du hook | `hooks.token` | non | | `hooks.default_session_key_unset` | warn | Les exécutions de l’agent hook se dispersent dans des sessions générées par requête | `hooks.defaultSessionKey` | non | | `hooks.allowed_agent_ids_unrestricted` | warn/critical | Les appelants hook authentifiés peuvent router vers n’importe quel agent configuré | `hooks.allowedAgentIds` | non | | `hooks.request_session_key_enabled` | warn/critical | L’appelant externe peut choisir `sessionKey` | `hooks.allowRequestSessionKey` | non | | `hooks.request_session_key_prefixes_missing` | warn/critical | Aucune contrainte sur les formes de clés de session externes | `hooks.allowedSessionKeyPrefixes` | non | | `hooks.path_root` | critical | Le chemin du hook est `/`, ce qui facilite les collisions ou les mauvais routages de l’entrée | `hooks.path` | non | | `hooks.installs_unpinned_npm_specs` | warn | Les enregistrements d’installation de hook ne sont pas épinglés à des spécifications npm immuables | métadonnées d’installation de hook | non | | `hooks.installs_missing_integrity` | warn | Les enregistrements d’installation de hook n’ont pas de métadonnées d’intégrité | métadonnées d’installation de hook | non | | `hooks.installs_version_drift` | warn | Les enregistrements d’installation de hook divergent des paquets installés | métadonnées d’installation de hook | non | | `logging.redact_off` | warn | Des valeurs sensibles fuient vers les journaux/le statut | `logging.redactSensitive` | oui | | `browser.control_invalid_config` | warn | La configuration du contrôle du navigateur est invalide avant l’exécution | `browser.*` | non | | `browser.control_no_auth` | critical | Le contrôle du navigateur est exposé sans authentification par jeton/mot de passe | `gateway.auth.*` | non | | `browser.remote_cdp_http` | warn | Le CDP distant sur HTTP en clair n’a pas de chiffrement de transport | `cdpUrl` du profil de navigateur | non | | `browser.remote_cdp_private_host` | warn | Le CDP distant cible un hôte privé/interne | `cdpUrl` du profil de navigateur, `browser.ssrfPolicy.*` | non | | `sandbox.docker_config_mode_off` | warn | La configuration Docker du sandbox est présente mais inactive | `agents.*.sandbox.mode` | non | | `sandbox.bind_mount_non_absolute` | warn | Les montages bind relatifs peuvent se résoudre de façon imprévisible | `agents.*.sandbox.docker.binds[]` | non | | `sandbox.dangerous_bind_mount` | critical | Le montage bind du sandbox cible des chemins système, d’identifiants ou de socket Docker bloqués | `agents.*.sandbox.docker.binds[]` | non | | `sandbox.dangerous_network_mode` | critical | Le réseau Docker du sandbox utilise le mode `host` ou `container:*` de jointure d’espace de noms | `agents.*.sandbox.docker.network` | non | | `sandbox.dangerous_seccomp_profile` | critical | Le profil seccomp du sandbox affaiblit l’isolation du conteneur | `agents.*.sandbox.docker.securityOpt` | non | | `sandbox.dangerous_apparmor_profile` | critical | Le profil AppArmor du sandbox affaiblit l’isolation du conteneur | `agents.*.sandbox.docker.securityOpt` | non | | `sandbox.browser_cdp_bridge_unrestricted` | warn | Le pont de navigateur du sandbox est exposé sans restriction de plage source | `sandbox.browser.cdpSourceRange` | non | | `sandbox.browser_container.non_loopback_publish` | critical | Le conteneur de navigateur existant publie le CDP sur des interfaces non loopback | configuration de publication du conteneur de sandbox du navigateur | non | | `sandbox.browser_container.hash_label_missing` | warn | Le conteneur de navigateur existant est antérieur aux étiquettes de hachage de configuration actuelles | `openclaw sandbox recreate --browser --all` | non | | `sandbox.browser_container.hash_epoch_stale` | warn | Le conteneur de navigateur existant est antérieur à l’époque de configuration actuelle du navigateur | `openclaw sandbox recreate --browser --all` | non | | `tools.exec.host_sandbox_no_sandbox_defaults` | warn | `exec host=sandbox` échoue en mode fermé quand le sandbox est désactivé | `tools.exec.host`, `agents.defaults.sandbox.mode` | non | | `tools.exec.host_sandbox_no_sandbox_agents` | warn | Le `exec host=sandbox` par agent échoue en mode fermé quand le sandbox est désactivé | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode` | non | | `tools.exec.security_full_configured` | warn/critical | L’exécution sur l’hôte fonctionne avec `security="full"` | `tools.exec.security`, `agents.list[].tools.exec.security` | non | | `tools.exec.fs_tools_disabled_but_exec_enabled` | warn | La stratégie des outils de système de fichiers ne rend pas l’exécution shell en lecture seule | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess` | non | | `tools.exec.auto_allow_skills_enabled` | warn | Les approbations d’exécution font implicitement confiance aux binaires de Skills | `~/.openclaw/exec-approvals.json` | non | | `tools.exec.allowlist_interpreter_without_strict_inline_eval` | warn | Les listes d’autorisation d’interpréteurs permettent l’évaluation en ligne sans réapprobation forcée | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, liste d’autorisation des approbations d’exécution | non | | `tools.exec.safe_bins_interpreter_unprofiled` | warn | Les binaires d’interpréteur/runtime dans `safeBins` sans profils explicites élargissent le risque d’exécution | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*` | non | | `tools.exec.safe_bins_broad_behavior` | warn | Les outils à comportement large dans `safeBins` affaiblissent le modèle de confiance à faible risque fondé sur le filtrage de stdin | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins` | non | | `tools.exec.safe_bin_trusted_dirs_risky` | warn | `safeBinTrustedDirs` inclut des répertoires mutables ou risqués | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs` | non | | `skills.workspace.symlink_escape` | warn | Le `skills/**/SKILL.md` de l’espace de travail se résout hors de la racine de l’espace de travail (dérive de chaîne de liens symboliques) | état du système de fichiers `skills/**` de l’espace de travail | non | | `plugins.extensions_no_allowlist` | warn | Les Plugins sont installés sans liste d’autorisation explicite de Plugins | `plugins.allowlist` | non | | `plugins.installs_unpinned_npm_specs` | warn | Les enregistrements de l’index des Plugins ne sont pas épinglés à des spécifications npm immuables | métadonnées d’installation des Plugins | non | | `plugins.installs_missing_integrity` | warn | Les enregistrements de l’index des Plugins ne comportent pas de métadonnées d’intégrité | métadonnées d’installation des Plugins | non | | `plugins.installs_version_drift` | warn | Les enregistrements de l’index des Plugins divergent des paquets installés | métadonnées d’installation des Plugins | non | | `plugins.code_safety` | warn/critical | L’analyse du code des Plugins a détecté des motifs suspects ou dangereux | code du Plugin / source d’installation | non | | `plugins.code_safety.entry_path` | warn | Le chemin d’entrée du Plugin pointe vers des emplacements cachés ou `node_modules` | manifeste du Plugin `entry` | non | | `plugins.code_safety.entry_escape` | critical | L’entrée du Plugin sort du répertoire du Plugin | manifeste du Plugin `entry` | non | | `plugins.code_safety.scan_failed` | warn | L’analyse du code du Plugin n’a pas pu se terminer | chemin du Plugin / environnement d’analyse | non | | `skills.code_safety` | warn/critical | Les métadonnées ou le code de l’installateur de Skill contiennent des motifs suspects ou dangereux | source d’installation de Skill | non | | `skills.code_safety.scan_failed` | warn | L’analyse du code de Skill n’a pas pu se terminer | environnement d’analyse de Skill | non | | `security.exposure.open_channels_with_exec` | warn/critical | Les salons partagés/publics peuvent atteindre des agents avec l’exécution activée | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*` | non | | `security.exposure.open_groups_with_elevated` | critical | Les groupes ouverts et les outils élevés créent des chemins d’injection de prompt à fort impact | `channels.*.groupPolicy`, `tools.elevated.*` | non | | `security.exposure.open_groups_with_runtime_or_fs` | critical/warn | Les groupes ouverts peuvent atteindre des outils de commande/fichier sans garde-fous de bac à sable/espace de travail | `channels.*.groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode` | non | | `security.trust_model.multi_user_heuristic` | warn | La configuration semble multi-utilisateur alors que le modèle de confiance du Gateway est celui d’un assistant personnel | séparer les limites de confiance, ou renforcer l’usage partagé (`sandbox.mode`, refus d’outils/périmètre de l’espace de travail) | non | | `tools.profile_minimal_overridden` | warn | Les remplacements d’agent contournent le profil minimal global | `agents.list[].tools.profile` | non | | `plugins.tools_reachable_permissive_policy` | warn | Les outils d’extension sont accessibles dans des contextes permissifs | `tools.profile` + autorisation/refus d’outils | non | | `models.legacy` | warn | Des familles de modèles héritées sont encore configurées | sélection du modèle | non | | `models.weak_tier` | warn | Les modèles configurés sont inférieurs aux niveaux actuellement recommandés | sélection du modèle | non | | `models.small_params` | critical/info | Les petits modèles et les surfaces d’outils non sûres augmentent le risque d’injection | choix du modèle + politique de bac à sable/outils | non | | `summary.attack_surface` | info | Résumé global de la posture d’authentification, de canal, d’outils et d’exposition | plusieurs clés (voir le détail du constat) | non | ## Articles connexes - [Sécurité](/fr/gateway/security) - [Configuration](/fr/gateway/configuration) - [Authentification par proxy approuvé](/fr/gateway/trusted-proxy-auth)