--- read_when: - '`openclaw security audit` の出力に特定の `checkId` が表示され、その意味を知りたい' - 指定された検出結果の修正キー/パスが必要です - セキュリティ監査の実行全体にわたって重大度をトリアージしています。 summary: openclaw security audit が出力する checkIds のリファレンスカタログ title: セキュリティ監査チェック x-i18n: generated_at: "2026-05-10T19:36:54Z" model: gpt-5.5 provider: openai source_hash: adc0fad7740fd20845ee0205d1a357fc6b6bd0d05fa9e97b6aa7403a94bbdb69 source_path: gateway/security/audit-checks.md workflow: 16 --- `openclaw security audit` は、`checkId` をキーとする構造化された検出結果を出力します。このページは、それらの ID の参照カタログです。大まかな脅威モデルとハードニングのガイダンスについては、[セキュリティ](/ja-JP/gateway/security)を参照してください。 実環境で目にする可能性が特に高い、高シグナルの `checkId` 値(網羅的な一覧ではありません): | `checkId` | 重大度 | 重要な理由 | 主な修正キー/パス | 自動修正 | | ------------------------------------------------------------- | ------------- | ------------------------------------------------------------------------------------ | ---------------------------------------------------------------------------------------------------- | -------- | | `fs.state_dir.perms_world_writable` | 重大 | 他のユーザー/プロセスが OpenClaw の状態全体を変更できる | `~/.openclaw` のファイルシステム権限 | はい | | `fs.state_dir.perms_group_writable` | 警告 | グループユーザーが OpenClaw の状態全体を変更できる | `~/.openclaw` のファイルシステム権限 | はい | | `fs.state_dir.perms_readable` | 警告 | 状態ディレクトリを他者が読み取れる | `~/.openclaw` のファイルシステム権限 | はい | | `fs.state_dir.symlink` | 警告 | 状態ディレクトリのターゲットが別の信頼境界になる | 状態ディレクトリのファイルシステムレイアウト | いいえ | | `fs.config.perms_writable` | 重大 | 他者が認証/ツールポリシー/設定を変更できる | `~/.openclaw/openclaw.json` のファイルシステム権限 | はい | | `fs.config.symlink` | 警告 | シンボリックリンクされた設定ファイルは書き込みがサポートされず、別の信頼境界を追加する | 通常の設定ファイルに置き換えるか、`OPENCLAW_CONFIG_PATH` を実ファイルに向ける | いいえ | | `fs.config.perms_group_readable` | 警告 | グループユーザーが設定のトークン/設定値を読み取れる | 設定ファイルのファイルシステム権限 | はい | | `fs.config.perms_world_readable` | 重大 | 設定からトークン/設定値が露出する可能性がある | 設定ファイルのファイルシステム権限 | はい | | `fs.config_include.perms_writable` | 重大 | 設定インクルードファイルを他者が変更できる | `openclaw.json` から参照されるインクルードファイルの権限 | はい | | `fs.config_include.perms_group_readable` | 警告 | グループユーザーが含まれるシークレット/設定値を読み取れる | `openclaw.json` から参照されるインクルードファイルの権限 | はい | | `fs.config_include.perms_world_readable` | 重大 | 含まれるシークレット/設定値が誰でも読み取り可能になっている | `openclaw.json` から参照されるインクルードファイルの権限 | はい | | `fs.auth_profiles.perms_writable` | 重大 | 他者が保存済みモデル認証情報を挿入または置換できる | `agents//agent/auth-profiles.json` の権限 | はい | | `fs.auth_profiles.perms_readable` | 警告 | 他者が API キーと OAuth トークンを読み取れる | `agents//agent/auth-profiles.json` の権限 | はい | | `fs.credentials_dir.perms_writable` | 重大 | 他者がチャネルのペアリング/認証情報状態を変更できる | `~/.openclaw/credentials` のファイルシステム権限 | はい | | `fs.credentials_dir.perms_readable` | 警告 | 他者がチャネル認証情報の状態を読み取れる | `~/.openclaw/credentials` のファイルシステム権限 | はい | | `fs.sessions_store.perms_readable` | 警告 | 他者がセッションのトランスクリプト/メタデータを読み取れる | セッションストアの権限 | はい | | `fs.log_file.perms_readable` | 警告 | 他者が編集済みだが依然として機微なログを読み取れる | Gateway ログファイルの権限 | はい | | `fs.synced_dir` | 警告 | iCloud/Dropbox/Drive 内の状態/設定により、トークン/トランスクリプトの露出範囲が広がる | 設定/状態を同期フォルダの外へ移動する | いいえ | | `gateway.bind_no_auth` | 重大 | 共有シークレットなしのリモートバインド | `gateway.bind`, `gateway.auth.*` | いいえ | | `gateway.loopback_no_auth` | 重大 | リバースプロキシされたループバックが未認証になる可能性がある | `gateway.auth.*`, プロキシ設定 | いいえ | | `gateway.trusted_proxies_missing` | 警告 | リバースプロキシヘッダーは存在するが信頼されていない | `gateway.trustedProxies` | いいえ | | `gateway.http.no_auth` | 警告/重大 | `auth.mode="none"` で Gateway HTTP API に到達できる | `gateway.auth.mode`, `gateway.http.endpoints.*` | いいえ | | `gateway.http.session_key_override_enabled` | 情報 | HTTP API 呼び出し元が `sessionKey` を上書きできる | `gateway.http.allowSessionKeyOverride` | いいえ | | `gateway.tools_invoke_http.dangerous_allow` | 警告/重大 | HTTP API 経由で危険なツールを再び有効にする | `gateway.tools.allow` | いいえ | | `gateway.nodes.allow_commands_dangerous` | 警告/重大 | 影響の大きいノードコマンド(カメラ/画面/連絡先/カレンダー/SMS)を有効にする | `gateway.nodes.allowCommands` | いいえ | | `gateway.nodes.deny_commands_ineffective` | 警告 | パターン風の拒否エントリはシェルテキストやグループに一致しない | `gateway.nodes.denyCommands` | いいえ | | `gateway.tailscale_funnel` | 重大 | 公開インターネットへの露出 | `gateway.tailscale.mode` | いいえ | | `gateway.tailscale_serve` | 情報 | Serve 経由で Tailnet 露出が有効になっている | `gateway.tailscale.mode` | いいえ | | `gateway.control_ui.allowed_origins_required` | 重大 | 非ループバックの Control UI に明示的なブラウザーオリジン許可リストがない | `gateway.controlUi.allowedOrigins` | いいえ | | `gateway.control_ui.allowed_origins_wildcard` | 警告/重大 | `allowedOrigins=["*"]` はブラウザーオリジン許可リストを無効化する | `gateway.controlUi.allowedOrigins` | いいえ | | `gateway.control_ui.host_header_origin_fallback` | 警告/重大 | Host ヘッダーのオリジンフォールバックを有効にする(DNS リバインディング強化の低下) | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback` | いいえ | | `gateway.control_ui.insecure_auth` | 警告 | 非安全認証の互換性トグルが有効になっている | `gateway.controlUi.allowInsecureAuth` | いいえ | | `gateway.control_ui.device_auth_disabled` | 重大 | デバイス ID チェックを無効化する | `gateway.controlUi.dangerouslyDisableDeviceAuth` | いいえ | | `gateway.real_ip_fallback_enabled` | 警告/重大 | `X-Real-IP` フォールバックを信頼すると、プロキシ設定ミス経由の送信元 IP 偽装が可能になる場合がある | `gateway.allowRealIpFallback`, `gateway.trustedProxies` | いいえ | | `gateway.token_too_short` | 警告 | 短い共有トークンは総当たり攻撃を受けやすい | `gateway.auth.token` | いいえ | | `gateway.auth_no_rate_limit` | 警告 | レート制限なしで認証が露出すると、総当たり攻撃のリスクが高まる | `gateway.auth.rateLimit` | いいえ | | `gateway.trusted_proxy_auth` | 重大 | プロキシ ID が認証境界になる | `gateway.auth.mode="trusted-proxy"` | いいえ | | `gateway.trusted_proxy_no_proxies` | 重大 | 信頼済みプロキシ IP なしの trusted-proxy 認証は安全でない | `gateway.trustedProxies` | いいえ | | `gateway.trusted_proxy_no_user_header` | 重大 | trusted-proxy 認証ではユーザー ID を安全に解決できない | `gateway.auth.trustedProxy.userHeader` | いいえ | | `gateway.trusted_proxy_no_allowlist` | 警告 | trusted-proxy 認証が認証済みの任意の上流ユーザーを受け入れる | `gateway.auth.trustedProxy.allowUsers` | いいえ | | `gateway.trusted_proxy_allow_loopback` | 警告 | 信頼済みプロキシ認証が、明示的に許可されたループバックプロキシソースを受け入れる | `gateway.auth.trustedProxy.allowLoopback` | いいえ | | `gateway.probe_auth_secretref_unavailable` | 警告 | このコマンドパスで、deep probe が認証 SecretRefs を解決できなかった | deep-probe 認証ソース / SecretRef の可用性 | いいえ | | `gateway.probe_failed` | 警告/重大 | ライブ Gateway プローブに失敗した | gateway 到達性/認証 | いいえ | | `discovery.mdns_full_mode` | 警告/重大 | mDNS フルモードがローカルネットワーク上で `cliPath`/`sshPort` メタデータをアドバタイズする | `discovery.mdns.mode`, `gateway.bind` | いいえ | | `config.insecure_or_dangerous_flags` | 警告 | 安全でない、または危険なデバッグフラグが有効になっている | 複数のキー(検出事項の詳細を参照) | いいえ | | `config.secrets.gateway_password_in_config` | 警告 | Gateway パスワードが config に直接保存されている | `gateway.auth.password` | いいえ | | `config.secrets.hooks_token_in_config` | 警告 | フックの bearer token が config に直接保存されている | `hooks.token` | いいえ | | `hooks.token_reuse_gateway_token` | 重大 | フック ingress token が Gateway 認証も解除する | `hooks.token`, `gateway.auth.token` | いいえ | | `hooks.token_too_short` | 警告 | フック ingress に対するブルートフォースが容易になる | `hooks.token` | いいえ | | `hooks.default_session_key_unset` | 警告 | フックエージェントの実行が、生成されたリクエストごとのセッションへファンアウトする | `hooks.defaultSessionKey` | いいえ | | `hooks.allowed_agent_ids_unrestricted` | 警告/重大 | 認証済みのフック呼び出し元が、設定済みの任意のエージェントへルーティングできる | `hooks.allowedAgentIds` | いいえ | | `hooks.request_session_key_enabled` | 警告/重大 | 外部呼び出し元が sessionKey を選択できる | `hooks.allowRequestSessionKey` | いいえ | | `hooks.request_session_key_prefixes_missing` | 警告/重大 | 外部セッションキーの形状に制限がない | `hooks.allowedSessionKeyPrefixes` | いいえ | | `hooks.path_root` | 重大 | フックパスが `/` であり、ingress の衝突や誤ルーティングが起きやすくなる | `hooks.path` | いいえ | | `hooks.installs_unpinned_npm_specs` | 警告 | フックインストールレコードが immutable な npm specs に固定されていない | フックインストールメタデータ | いいえ | | `hooks.installs_missing_integrity` | 警告 | フックインストールレコードに整合性メタデータがない | フックインストールメタデータ | いいえ | | `hooks.installs_version_drift` | 警告 | フックインストールレコードがインストール済みパッケージからドリフトしている | フックインストールメタデータ | いいえ | | `logging.redact_off` | 警告 | 機密値がログ/status に漏えいする | `logging.redactSensitive` | はい | | `browser.control_invalid_config` | 警告 | Browser control config が runtime 前に無効である | `browser.*` | いいえ | | `browser.control_no_auth` | 重大 | Browser control が token/password 認証なしで公開されている | `gateway.auth.*` | いいえ | | `browser.remote_cdp_http` | 警告 | プレーン HTTP 経由のリモート CDP にはトランスポート暗号化がない | browser profile `cdpUrl` | いいえ | | `browser.remote_cdp_private_host` | 警告 | リモート CDP が private/internal ホストを対象にしている | browser profile `cdpUrl`, `browser.ssrfPolicy.*` | いいえ | | `sandbox.docker_config_mode_off` | 警告 | Sandbox Docker config が存在するが非アクティブである | `agents.*.sandbox.mode` | いいえ | | `sandbox.bind_mount_non_absolute` | 警告 | 相対 bind mount は予測不能に解決される可能性がある | `agents.*.sandbox.docker.binds[]` | いいえ | | `sandbox.dangerous_bind_mount` | 重大 | Sandbox bind mount が、ブロック対象のシステム、認証情報、または Docker socket パスを対象にしている | `agents.*.sandbox.docker.binds[]` | いいえ | | `sandbox.dangerous_network_mode` | 重大 | Sandbox Docker network が `host` または `container:*` namespace-join モードを使用している | `agents.*.sandbox.docker.network` | いいえ | | `sandbox.dangerous_seccomp_profile` | 重大 | Sandbox seccomp profile がコンテナ分離を弱める | `agents.*.sandbox.docker.securityOpt` | いいえ | | `sandbox.dangerous_apparmor_profile` | 重大 | Sandbox AppArmor profile がコンテナ分離を弱める | `agents.*.sandbox.docker.securityOpt` | いいえ | | `sandbox.browser_cdp_bridge_unrestricted` | 警告 | Sandbox browser bridge がソース範囲制限なしで公開されている | `sandbox.browser.cdpSourceRange` | いいえ | | `sandbox.browser_container.non_loopback_publish` | 重大 | 既存の browser container が non-loopback インターフェースで CDP を公開している | browser sandbox container publish config | いいえ | | `sandbox.browser_container.hash_label_missing` | 警告 | 既存の browser container が現在の config-hash labels より前のものである | `openclaw sandbox recreate --browser --all` | いいえ | | `sandbox.browser_container.hash_epoch_stale` | 警告 | 既存の browser container が現在の browser config epoch より前のものである | `openclaw sandbox recreate --browser --all` | いいえ | | `tools.exec.host_sandbox_no_sandbox_defaults` | 警告 | sandbox がオフの場合、`exec host=sandbox` は fail closed する | `tools.exec.host`, `agents.defaults.sandbox.mode` | いいえ | | `tools.exec.host_sandbox_no_sandbox_agents` | 警告 | sandbox がオフの場合、エージェントごとの `exec host=sandbox` は fail closed する | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode` | いいえ | | `tools.exec.security_full_configured` | 警告/重大 | Host exec が `security="full"` で実行されている | `tools.exec.security`, `agents.list[].tools.exec.security` | いいえ | | `tools.exec.fs_tools_disabled_but_exec_enabled` | 警告 | ファイルシステムツールポリシーはシェル実行を読み取り専用にしない | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess` | いいえ | | `tools.exec.auto_allow_skills_enabled` | 警告 | Exec approvals が skill bins を暗黙的に信頼する | `~/.openclaw/exec-approvals.json` | いいえ | | `tools.exec.allowlist_interpreter_without_strict_inline_eval` | 警告 | Interpreter allowlists が、強制的な再承認なしで inline eval を許可する | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, exec approvals allowlist | いいえ | | `tools.exec.safe_bins_interpreter_unprofiled` | 警告 | 明示的なプロファイルなしで `safeBins` に含まれる interpreter/runtime bins が exec リスクを広げる | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*` | いいえ | | `tools.exec.safe_bins_broad_behavior` | 警告 | `safeBins` 内の broad-behavior tools が低リスク stdin-filter 信頼モデルを弱める | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins` | いいえ | | `tools.exec.safe_bin_trusted_dirs_risky` | 警告 | `safeBinTrustedDirs` に mutable またはリスクのあるディレクトリが含まれている | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs` | いいえ | | `skills.workspace.symlink_escape` | 警告 | ワークスペースの `skills/**/SKILL.md` がワークスペースルート外に解決される(symlink-chain drift) | ワークスペース `skills/**` ファイルシステム状態 | いいえ | | `plugins.extensions_no_allowlist` | warn | Plugins が明示的な plugin allowlist なしでインストールされています | `plugins.allowlist` | no | | `plugins.installs_unpinned_npm_specs` | warn | Plugin インデックスレコードが不変の npm spec にピン留めされていません | plugin インストールメタデータ | no | | `plugins.installs_missing_integrity` | warn | Plugin インデックスレコードに integrity メタデータがありません | plugin インストールメタデータ | no | | `plugins.installs_version_drift` | warn | Plugin インデックスレコードがインストール済みパッケージからずれています | plugin インストールメタデータ | no | | `plugins.code_safety` | warn/critical | Plugin コードスキャンで疑わしい、または危険なパターンが見つかりました | plugin コード / インストール元 | no | | `plugins.code_safety.entry_path` | warn | Plugin エントリパスが隠し場所または `node_modules` の場所を指しています | plugin manifest `entry` | no | | `plugins.code_safety.entry_escape` | critical | Plugin エントリが plugin ディレクトリの外へ抜け出しています | plugin manifest `entry` | no | | `plugins.code_safety.scan_failed` | warn | Plugin コードスキャンを完了できませんでした | plugin パス / スキャン環境 | no | | `skills.code_safety` | warn/critical | Skill インストーラーメタデータ/コードに疑わしい、または危険なパターンが含まれています | skill インストール元 | no | | `skills.code_safety.scan_failed` | warn | Skill コードスキャンを完了できませんでした | skill スキャン環境 | no | | `security.exposure.open_channels_with_exec` | warn/critical | 共有/公開ルームが exec 有効のエージェントに到達できます | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*` | no | | `security.exposure.open_groups_with_elevated` | critical | オープングループ + 昇格ツールは影響の大きいプロンプトインジェクション経路を作ります | `channels.*.groupPolicy`, `tools.elevated.*` | no | | `security.exposure.open_groups_with_runtime_or_fs` | critical/warn | オープングループが sandbox/workspace ガードなしでコマンド/ファイルツールに到達できます | `channels.*.groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode` | no | | `security.trust_model.multi_user_heuristic` | warn | Gateway の信頼モデルがパーソナルアシスタントである一方、設定はマルチユーザーに見えます | 信頼境界を分割する、または共有ユーザー向けの強化(`sandbox.mode`、ツール deny/workspace スコープ設定) | no | | `tools.profile_minimal_overridden` | warn | エージェントの override がグローバルな最小 profile をバイパスしています | `agents.list[].tools.profile` | no | | `plugins.tools_reachable_permissive_policy` | warn | 拡張ツールが許容的なコンテキストで到達可能です | `tools.profile` + ツール allow/deny | no | | `models.legacy` | warn | レガシーモデルファミリーがまだ設定されています | モデル選択 | no | | `models.weak_tier` | warn | 設定済みモデルが現在の推奨 tier を下回っています | モデル選択 | no | | `models.small_params` | critical/info | 小規模モデル + 安全でないツールサーフェスによりインジェクションリスクが高まります | モデル選択 + sandbox/ツールポリシー | no | | `summary.attack_surface` | info | 認証、チャネル、ツール、露出状況の集約サマリー | 複数のキー(finding の詳細を参照) | no | ## 関連 - [セキュリティ](/ja-JP/gateway/security) - [設定](/ja-JP/gateway/configuration) - [信頼済みプロキシ認証](/ja-JP/gateway/trusted-proxy-auth)