--- read_when: - Je zag een specifieke `checkId` in de uitvoer van `openclaw security audit` en wilt weten wat die betekent - Je hebt de fixsleutel/het fixpad nodig voor een bepaalde bevinding - Je beoordeelt de ernstniveaus binnen een beveiligingsauditrun summary: Referentiecatalogus van checkIds die door openclaw security audit worden uitgegeven title: Beveiligingsauditcontroles x-i18n: generated_at: "2026-05-11T20:31:51Z" model: gpt-5.5 provider: openai source_hash: adc0fad7740fd20845ee0205d1a357fc6b6bd0d05fa9e97b6aa7403a94bbdb69 source_path: gateway/security/audit-checks.md workflow: 16 --- `openclaw security audit` geeft gestructureerde bevindingen uit die zijn geïndexeerd op `checkId`. Deze pagina is de referentiecatalogus voor die ID's. Voor het dreigingsmodel op hoofdlijnen en richtlijnen voor hardening, zie [Beveiliging](/nl/gateway/security). Waardevolle `checkId`-waarden die u waarschijnlijk in echte implementaties zult zien (niet uitputtend): | `checkId` | Ernst | Waarom dit belangrijk is | Primaire herstelsleutel/-pad | Automatisch herstellen | | ------------------------------------------------------------- | ------------- | ------------------------------------------------------------------------------------ | ---------------------------------------------------------------------------------------------------- | -------- | | `fs.state_dir.perms_world_writable` | kritiek | Andere gebruikers/processen kunnen de volledige OpenClaw-status wijzigen | bestandssysteemrechten op `~/.openclaw` | ja | | `fs.state_dir.perms_group_writable` | waarschuwing | Groepsgebruikers kunnen de volledige OpenClaw-status wijzigen | bestandssysteemrechten op `~/.openclaw` | ja | | `fs.state_dir.perms_readable` | waarschuwing | Statusmap is leesbaar voor anderen | bestandssysteemrechten op `~/.openclaw` | ja | | `fs.state_dir.symlink` | waarschuwing | Doel van de statusmap wordt een andere vertrouwensgrens | bestandssysteemindeling van de statusmap | nee | | `fs.config.perms_writable` | kritiek | Anderen kunnen auth-/toolbeleid/config wijzigen | bestandssysteemrechten op `~/.openclaw/openclaw.json` | ja | | `fs.config.symlink` | waarschuwing | Gesymlinkte configuratiebestanden worden niet ondersteund voor schrijven en voegen een andere vertrouwensgrens toe | vervang door een regulier configuratiebestand of laat `OPENCLAW_CONFIG_PATH` naar het echte bestand wijzen | nee | | `fs.config.perms_group_readable` | waarschuwing | Groepsgebruikers kunnen configuratietokens/-instellingen lezen | bestandssysteemrechten op configuratiebestand | ja | | `fs.config.perms_world_readable` | kritiek | Configuratie kan tokens/instellingen blootstellen | bestandssysteemrechten op configuratiebestand | ja | | `fs.config_include.perms_writable` | kritiek | Configuratie-include-bestand kan door anderen worden gewijzigd | rechten voor include-bestand waarnaar wordt verwezen vanuit `openclaw.json` | ja | | `fs.config_include.perms_group_readable` | waarschuwing | Groepsgebruikers kunnen opgenomen geheimen/instellingen lezen | rechten voor include-bestand waarnaar wordt verwezen vanuit `openclaw.json` | ja | | `fs.config_include.perms_world_readable` | kritiek | Opgenomen geheimen/instellingen zijn wereldwijd leesbaar | rechten voor include-bestand waarnaar wordt verwezen vanuit `openclaw.json` | ja | | `fs.auth_profiles.perms_writable` | kritiek | Anderen kunnen opgeslagen modelreferenties injecteren of vervangen | rechten voor `agents//agent/auth-profiles.json` | ja | | `fs.auth_profiles.perms_readable` | waarschuwing | Anderen kunnen API-sleutels en OAuth-tokens lezen | rechten voor `agents//agent/auth-profiles.json` | ja | | `fs.credentials_dir.perms_writable` | kritiek | Anderen kunnen koppelings-/referentiestatus van kanalen wijzigen | bestandssysteemrechten op `~/.openclaw/credentials` | ja | | `fs.credentials_dir.perms_readable` | waarschuwing | Anderen kunnen de referentiestatus van kanalen lezen | bestandssysteemrechten op `~/.openclaw/credentials` | ja | | `fs.sessions_store.perms_readable` | waarschuwing | Anderen kunnen sessietranscripten/metadata lezen | rechten voor sessieopslag | ja | | `fs.log_file.perms_readable` | waarschuwing | Anderen kunnen geredigeerde maar nog steeds gevoelige logs lezen | rechten voor Gateway-logbestand | ja | | `fs.synced_dir` | waarschuwing | Status/configuratie in iCloud/Dropbox/Drive vergroot blootstelling van tokens/transcripten | verplaats configuratie/status uit gesynchroniseerde mappen | nee | | `gateway.bind_no_auth` | kritiek | Externe binding zonder gedeeld geheim | `gateway.bind`, `gateway.auth.*` | nee | | `gateway.loopback_no_auth` | kritiek | Loopback via reverse proxy kan ongeauthenticeerd worden | `gateway.auth.*`, proxyconfiguratie | nee | | `gateway.trusted_proxies_missing` | waarschuwing | Reverse-proxyheaders zijn aanwezig maar niet vertrouwd | `gateway.trustedProxies` | nee | | `gateway.http.no_auth` | waarschuwing/kritiek | Gateway HTTP-API's bereikbaar met `auth.mode="none"` | `gateway.auth.mode`, `gateway.http.endpoints.*` | nee | | `gateway.http.session_key_override_enabled` | informatie | HTTP API-aanroepers kunnen `sessionKey` overschrijven | `gateway.http.allowSessionKeyOverride` | nee | | `gateway.tools_invoke_http.dangerous_allow` | waarschuwing/kritiek | Schakelt gevaarlijke tools opnieuw in via HTTP API | `gateway.tools.allow` | nee | | `gateway.nodes.allow_commands_dangerous` | waarschuwing/kritiek | Schakelt Node-opdrachten met grote impact in (camera/scherm/contacten/agenda/SMS) | `gateway.nodes.allowCommands` | nee | | `gateway.nodes.deny_commands_ineffective` | waarschuwing | Patroonachtige deny-vermeldingen matchen geen shelltekst of groepen | `gateway.nodes.denyCommands` | nee | | `gateway.tailscale_funnel` | kritiek | Blootstelling aan het openbare internet | `gateway.tailscale.mode` | nee | | `gateway.tailscale_serve` | informatie | Tailnet-blootstelling is ingeschakeld via Serve | `gateway.tailscale.mode` | nee | | `gateway.control_ui.allowed_origins_required` | kritiek | Niet-loopback Control UI zonder expliciete allowlist voor browser-origins | `gateway.controlUi.allowedOrigins` | nee | | `gateway.control_ui.allowed_origins_wildcard` | waarschuwing/kritiek | `allowedOrigins=["*"]` schakelt allowlisting voor browser-origins uit | `gateway.controlUi.allowedOrigins` | nee | | `gateway.control_ui.host_header_origin_fallback` | waarschuwing/kritiek | Schakelt Host-header-origin-fallback in (verlaging van hardening tegen DNS-rebinding) | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback` | nee | | `gateway.control_ui.insecure_auth` | waarschuwing | Compatibiliteitsschakelaar voor onveilige auth ingeschakeld | `gateway.controlUi.allowInsecureAuth` | nee | | `gateway.control_ui.device_auth_disabled` | kritiek | Schakelt controle van apparaatidentiteit uit | `gateway.controlUi.dangerouslyDisableDeviceAuth` | nee | | `gateway.real_ip_fallback_enabled` | waarschuwing/kritiek | Vertrouwen op `X-Real-IP`-fallback kan spoofing van bron-IP mogelijk maken via verkeerde proxyconfiguratie | `gateway.allowRealIpFallback`, `gateway.trustedProxies` | nee | | `gateway.token_too_short` | waarschuwing | Kort gedeeld token is eenvoudiger te brute-forcen | `gateway.auth.token` | nee | | `gateway.auth_no_rate_limit` | waarschuwing | Blootgestelde auth zonder rate limiting vergroot brute-force-risico | `gateway.auth.rateLimit` | nee | | `gateway.trusted_proxy_auth` | kritiek | Proxy-identiteit wordt nu de auth-grens | `gateway.auth.mode="trusted-proxy"` | nee | | `gateway.trusted_proxy_no_proxies` | kritiek | Trusted-proxy-auth zonder vertrouwde proxy-IP's is onveilig | `gateway.trustedProxies` | nee | | `gateway.trusted_proxy_no_user_header` | kritiek | Trusted-proxy-auth kan gebruikersidentiteit niet veilig bepalen | `gateway.auth.trustedProxy.userHeader` | nee | | `gateway.trusted_proxy_no_allowlist` | waarschuwing | Trusted-proxy-auth accepteert elke geauthenticeerde upstream-gebruiker | `gateway.auth.trustedProxy.allowUsers` | nee | | `gateway.trusted_proxy_allow_loopback` | warn | Trusted-proxy-auth accepteert expliciet toegestane loopback-proxybronnen | `gateway.auth.trustedProxy.allowLoopback` | nee | | `gateway.probe_auth_secretref_unavailable` | warn | Deep probe kon auth-SecretRefs in dit commandopad niet omzetten | deep-probe-authbron / beschikbaarheid van SecretRef | nee | | `gateway.probe_failed` | warn/critical | Live Gateway-probe mislukt | bereikbaarheid/auth van Gateway | nee | | `discovery.mdns_full_mode` | warn/critical | volledige mDNS-modus adverteert `cliPath`/`sshPort`-metadata op het lokale netwerk | `discovery.mdns.mode`, `gateway.bind` | nee | | `config.insecure_or_dangerous_flags` | warn | Onveilige/gevaarlijke debugvlaggen zijn ingeschakeld | meerdere sleutels (zie details van bevinding) | nee | | `config.secrets.gateway_password_in_config` | warn | Gateway-wachtwoord wordt rechtstreeks in de configuratie opgeslagen | `gateway.auth.password` | nee | | `config.secrets.hooks_token_in_config` | warn | Hook-bearer-token wordt rechtstreeks in de configuratie opgeslagen | `hooks.token` | nee | | `hooks.token_reuse_gateway_token` | critical | Hook-ingress-token ontgrendelt ook Gateway-auth | `hooks.token`, `gateway.auth.token` | nee | | `hooks.token_too_short` | warn | Brute force op hook-ingress wordt eenvoudiger | `hooks.token` | nee | | `hooks.default_session_key_unset` | warn | Hook-agentruns waaieren uit naar gegenereerde sessies per verzoek | `hooks.defaultSessionKey` | nee | | `hooks.allowed_agent_ids_unrestricted` | warn/critical | Geauthenticeerde hook-aanroepers kunnen naar elke geconfigureerde agent routeren | `hooks.allowedAgentIds` | nee | | `hooks.request_session_key_enabled` | warn/critical | Externe aanroeper kan sessionKey kiezen | `hooks.allowRequestSessionKey` | nee | | `hooks.request_session_key_prefixes_missing` | warn/critical | Geen begrenzing op vormen van externe sessiesleutels | `hooks.allowedSessionKeyPrefixes` | nee | | `hooks.path_root` | critical | Hook-pad is `/`, waardoor ingress makkelijker kan botsen of verkeerd kan routeren | `hooks.path` | nee | | `hooks.installs_unpinned_npm_specs` | warn | Hook-installatierecords zijn niet vastgezet op onveranderlijke npm-specificaties | hook-installatiemetadata | nee | | `hooks.installs_missing_integrity` | warn | Hook-installatierecords missen integriteitsmetadata | hook-installatiemetadata | nee | | `hooks.installs_version_drift` | warn | Hook-installatierecords wijken af van geinstalleerde pakketten | hook-installatiemetadata | nee | | `logging.redact_off` | warn | Gevoelige waarden lekken naar logs/status | `logging.redactSensitive` | ja | | `browser.control_invalid_config` | warn | Browserbesturingsconfiguratie is ongeldig voor runtime | `browser.*` | nee | | `browser.control_no_auth` | critical | Browserbesturing blootgesteld zonder token-/wachtwoordauth | `gateway.auth.*` | nee | | `browser.remote_cdp_http` | warn | Externe CDP via gewone HTTP mist transportversleuteling | browserprofiel `cdpUrl` | nee | | `browser.remote_cdp_private_host` | warn | Externe CDP richt zich op een private/interne host | browserprofiel `cdpUrl`, `browser.ssrfPolicy.*` | nee | | `sandbox.docker_config_mode_off` | warn | Sandbox-Docker-configuratie aanwezig maar inactief | `agents.*.sandbox.mode` | nee | | `sandbox.bind_mount_non_absolute` | warn | Relatieve bind-mounts kunnen onvoorspelbaar worden omgezet | `agents.*.sandbox.docker.binds[]` | nee | | `sandbox.dangerous_bind_mount` | critical | Sandbox-bind-mount richt zich op geblokkeerde systeem-, credential- of Docker-socketpaden | `agents.*.sandbox.docker.binds[]` | nee | | `sandbox.dangerous_network_mode` | critical | Sandbox-Docker-netwerk gebruikt `host`- of `container:*`-namespace-joinmodus | `agents.*.sandbox.docker.network` | nee | | `sandbox.dangerous_seccomp_profile` | critical | Sandbox-seccomp-profiel verzwakt containerisolatie | `agents.*.sandbox.docker.securityOpt` | nee | | `sandbox.dangerous_apparmor_profile` | critical | Sandbox-AppArmor-profiel verzwakt containerisolatie | `agents.*.sandbox.docker.securityOpt` | nee | | `sandbox.browser_cdp_bridge_unrestricted` | warn | Sandbox-browserbrug wordt blootgesteld zonder beperking op bronbereik | `sandbox.browser.cdpSourceRange` | nee | | `sandbox.browser_container.non_loopback_publish` | critical | Bestaande browsercontainer publiceert CDP op niet-loopback-interfaces | publicatieconfiguratie van browser-sandboxcontainer | nee | | `sandbox.browser_container.hash_label_missing` | warn | Bestaande browsercontainer dateert van voor huidige config-hashlabels | `openclaw sandbox recreate --browser --all` | nee | | `sandbox.browser_container.hash_epoch_stale` | warn | Bestaande browsercontainer dateert van voor huidige browserconfiguratie-epoch | `openclaw sandbox recreate --browser --all` | nee | | `tools.exec.host_sandbox_no_sandbox_defaults` | warn | `exec host=sandbox` faalt gesloten wanneer sandbox uit staat | `tools.exec.host`, `agents.defaults.sandbox.mode` | nee | | `tools.exec.host_sandbox_no_sandbox_agents` | warn | Per-agent `exec host=sandbox` faalt gesloten wanneer sandbox uit staat | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode` | nee | | `tools.exec.security_full_configured` | warn/critical | Host-exec draait met `security="full"` | `tools.exec.security`, `agents.list[].tools.exec.security` | nee | | `tools.exec.fs_tools_disabled_but_exec_enabled` | warn | Bestandssysteemtoolbeleid maakt shell-uitvoering niet alleen-lezen | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess` | nee | | `tools.exec.auto_allow_skills_enabled` | warn | Exec-goedkeuringen vertrouwen skill-bins impliciet | `~/.openclaw/exec-approvals.json` | nee | | `tools.exec.allowlist_interpreter_without_strict_inline_eval` | warn | Interpreter-allowlists staan inline-eval toe zonder verplichte hergoedkeuring | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, exec-goedkeuringenallowlist | nee | | `tools.exec.safe_bins_interpreter_unprofiled` | warn | Interpreter-/runtime-bins in `safeBins` zonder expliciete profielen verbreden exec-risico | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*` | nee | | `tools.exec.safe_bins_broad_behavior` | warn | Tools met breed gedrag in `safeBins` verzwakken het low-risk stdin-filter-vertrouwensmodel | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins` | nee | | `tools.exec.safe_bin_trusted_dirs_risky` | warn | `safeBinTrustedDirs` bevat muteerbare of risicovolle mappen | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs` | nee | | `skills.workspace.symlink_escape` | warn | Workspace `skills/**/SKILL.md` wordt buiten de workspaceroot omgezet (symlink-ketenafwijking) | filesystemstatus van workspace `skills/**` | nee | | `plugins.extensions_no_allowlist` | warn | Plugins zijn geïnstalleerd zonder expliciete Plugin-allowlist | `plugins.allowlist` | no | | `plugins.installs_unpinned_npm_specs` | warn | Plugin-indexrecords zijn niet vastgepind op onveranderlijke npm-specificaties | Plugin-installatiemetadata | no | | `plugins.installs_missing_integrity` | warn | Plugin-indexrecords missen integriteitsmetadata | Plugin-installatiemetadata | no | | `plugins.installs_version_drift` | warn | Plugin-indexrecords wijken af van geïnstalleerde pakketten | Plugin-installatiemetadata | no | | `plugins.code_safety` | warn/critical | Plugin-codescan heeft verdachte of gevaarlijke patronen gevonden | Plugin-code / installatiebron | no | | `plugins.code_safety.entry_path` | warn | Plugin-invoerpad verwijst naar verborgen locaties of `node_modules`-locaties | Plugin-manifest `entry` | no | | `plugins.code_safety.entry_escape` | critical | Plugin-invoer ontsnapt uit de Plugin-map | Plugin-manifest `entry` | no | | `plugins.code_safety.scan_failed` | warn | Plugin-codescan kon niet worden voltooid | Plugin-pad / scanomgeving | no | | `skills.code_safety` | warn/critical | Metadata/code van het Skill-installatieprogramma bevat verdachte of gevaarlijke patronen | Skill-installatiebron | no | | `skills.code_safety.scan_failed` | warn | Skill-codescan kon niet worden voltooid | Skill-scanomgeving | no | | `security.exposure.open_channels_with_exec` | warn/critical | Gedeelde/openbare ruimtes kunnen exec-ingeschakelde agents bereiken | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*` | no | | `security.exposure.open_groups_with_elevated` | critical | Open groepen + verhoogde tools creëren prompt-injectiepaden met grote impact | `channels.*.groupPolicy`, `tools.elevated.*` | no | | `security.exposure.open_groups_with_runtime_or_fs` | critical/warn | Open groepen kunnen command-/bestandstools bereiken zonder sandbox-/werkruimtebeveiligingen | `channels.*.groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode` | no | | `security.trust_model.multi_user_heuristic` | warn | Configuratie lijkt multi-user terwijl het Gateway-vertrouwensmodel personal-assistant is | gesplitste vertrouwensgrenzen, of hardening voor gedeelde gebruikers (`sandbox.mode`, tool-deny/werkruimteafbakening) | no | | `tools.profile_minimal_overridden` | warn | Agent-overschrijvingen omzeilen het globale minimale profiel | `agents.list[].tools.profile` | no | | `plugins.tools_reachable_permissive_policy` | warn | Plugin-tools bereikbaar in permissieve contexten | `tools.profile` + tool-allow/deny | no | | `models.legacy` | warn | Legacy-modelfamilies zijn nog steeds geconfigureerd | modelselectie | no | | `models.weak_tier` | warn | Geconfigureerde modellen liggen onder de huidige aanbevolen tiers | modelselectie | no | | `models.small_params` | critical/info | Kleine modellen + onveilige tool-oppervlakken verhogen het injectierisico | modelkeuze + sandbox-/toolbeleid | no | | `summary.attack_surface` | info | Samenvattend overzicht van auth-, kanaal-, tool- en blootstellingspostuur | meerdere sleutels (zie bevindingdetails) | no | ## Gerelateerd - [Beveiliging](/nl/gateway/security) - [Configuratie](/nl/gateway/configuration) - [Vertrouwde proxy-authenticatie](/nl/gateway/trusted-proxy-auth)